[résolu]Problèmes virus, espions....

[chercheur]

Bonsoir,

 

* Pour les fichiers hosts, télécharge cet outil:

Hoster - Toadbee 2004

 

http://members.aol.com/toadbee/hoster.zip"]Hoster - Toadbee 2004

 

Lance Hoster - Toadbee 2004 et clique sur " Restore original Hosts "

 

 

* Reposte un rapport HijackThis, il y a d'autres solutions.

 

* Et un tutorial pour Spybot.

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

[Syjo]

Bonjour,

Je te remets donc un hijack mais il a sûrement changé depuis hier.

Depuis ces jours où je ne suis pas venue, je n'ai pas arrêté de refaire en boucle les même nettoyages en mode ss échec. j'aurais dû prendre Sysiphe comme pseudo.

Je n'ai pas pu installer ton logiciel pour les hosts, le lien ne fonctionnait pas mais après un nettoyage et une réparation de win, ces messages sur les hosts avaient disparu.

Hier j'ai ouvert le gestionnaire des tâches pour voir si je n'avais pas des prog indésirables au démarrage, j'ai trouvé média access, je cliquais pour arrêter et il revenait aussitôt et l'UC était à 100 %, grosse panique.

Il était même ds la liste des prog au démarrage avec Ad tools et Shop at home

J'ai pu y arriver mais je crois que des problèmes viennent de là aussi et de la base de registre car j'ai eu aussi une alerte de win sécurité inquiétante. Ma base doit être surchargée, j'ai vu d'ailleurs le fichier interface, avec une liste de n°s impressionnante et à un moment quand je l'ouvrais, elle se refermait aussitôt. Le cheval de Troie est bien dans la place, mais par où ils rentrent ?

J'avais aussi une fenêtre internet qui se lançait, je crois avoir lu que c'était active X, mais ça a été supprimé aussi.

J'ai téléchargé Antivir et lui m'a trouvé 53 virus et trojans... Et cela a l'air d'aller mieux depuis mais l'ordi rame, je pense à cause des ces troyens que je n'arrive pas à dénicher. Mon antivirus a trouvé aussi 4 virus.

J'ai réussi à me débarrasser de click me et Là je suis connectée normalement.

Voilà en gros, il y en a eu tellement. J'espère que ça va durer et surtout trouver des parades efficaces ensuite, après tant de temps dans cette galére.

Merci à toi

 

Logfile of HijackThis v1.99.0

Scan saved at 16:28:50, on 21/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

F:\OUTILS\Antivir\AVWUPSRV.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\D-Tools\daemon.exe

F:\OUTILS\Antivir\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\iriver\iriver plus\iAgent.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\System32\w?auboot.exe

C:\Documents and Settings\freddo.FRED\Application Data\suhs.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

F:\Hijackthis\HijackThis.exe

C:\WINDOWS\SoftwareDistribution\Download\Install\IE6.0-KB834707-WindowsXP-x86-FRA.exe

f:\b40c90b9279a2e6b4ebec6c3ee\update\update.exe

C:\WINDOWS\system32\cidaemon.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {4FD58FDF-1C49-71EB-43C7-42717C0BD59E} - C:\WINDOWS\System32\yfit.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\OUTILS\SEARCH~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {C06A9C2E-03ED-6616-ED80-53C0C7E00C99} - C:\WINDOWS\System32\kivfbjqi.dll

O2 - BHO: (no name) - {D0A9AEC4-3305-03AA-5D88-63530E7C4697} - C:\WINDOWS\System32\mgzyjw.dll

O2 - BHO: (no name) - {E9849A5D-5CCE-3233-9CD3-5630286E2E96} - C:\WINDOWS\System32\aufiwfmq.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [notes] notepaad.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [AVGCtrl] "F:\OUTILS\Antivir\AVGNT.EXE" /min

O4 - HKLM\..\RunServices: [notes] notepaad.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Oopt] C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe

O4 - HKCU\..\Run: [Ostu] C:\Documents and Settings\freddo.FRED\Application Data\hwoa.exe

O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe

O4 - HKCU\..\Run: [Aood] C:\Documents and Settings\freddo.FRED\Application Data\aoai.exe

O4 - HKCU\..\Run: [Windows Compliant] tjjhmc.exe

O4 - HKCU\..\Run: [Qzlsahg] C:\WINDOWS\System32\w?auboot.exe

O4 - HKCU\..\Run: [Wult] C:\Documents and Settings\freddo.FRED\Application Data\suas.exe

O4 - HKCU\..\Run: [Eceu] C:\Documents and Settings\freddo.FRED\Application Data\suhs.exe

O4 - HKCU\..\Run: [Gta San Andreas] gta.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c5.cab

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\OUTILS\Antivir\AVWUPSRV.EXE

O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Smart Card Client - Unknown - C:\WINDOWS\System32\notepaad.exe (file missing)

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield - Unknown - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

[ipl_001]

Bonjour Syjo, chercheur, bonjour à tous,

 

Félicitations à chercheur et à toi pour tout le bon travail déjà effectué mais ce n'est pas fini !

 

Tu as beaucoup de patience et de persévérance et je t'en félicite et remercie car il ne sert à rien de reformater si les bonnes habitudes de protection ne sont pas appliquées !

 

Il ne faut pas plus de 20 minutes pour qu'un ordinateur sans protection relié à l'Internet soit sérieusement atteint !

 

En matière de malwares, il ne faut pas d'à peu près sinon c'est la réinfection assurée !

 

Je laisse encore quelque temps à chercheur pour continuer son aide mais je remarque que :

- tu n'utilises pas la dernière version d'HijackThis

- ton système d'exploitation en est à des années en arrière avec plein de failles de sécurité (je vois ça au fait que tu n'as même pas le service pack 1 et pas non plus SP2)

 

Syjo, comme le dit ma signature, n'abandonne pas ! Nous allons continuer à t'aider et nous réussirons à éliminer tous ces parasites !

[chercheur]

Bonsoir,

 

1 Télécharge et installe CleanUp !

http://cleanup.stevengould.org/

 

 

2 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

 

Dans la liste des services, cherche et sélectionne

" Smart Card Client " / double clique sur la ligne

/ vérifie dans Chemin d'accès des fichiers exécutables qu'il

s'agit bien de " C:\WINDOWS\System32\notepaad.exe " / dans Type de démarrage,

sélectionne Désactiver / valide la modification.

 

 

1 Termine les processus suivants

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->clique sur le processus--->terminer processus

 

w?auboot.exe

suhs.exe

 

 

4 Relance un scan HijackThis et coche les lignes en gras ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {4FD58FDF-1C49-71EB-43C7-42717C0BD59E} - C:\WINDOWS\System32\yfit.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\OUTILS\SEARCH~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {C06A9C2E-03ED-6616-ED80-53C0C7E00C99} - C:\WINDOWS\System32\kivfbjqi.dll

O2 - BHO: (no name) - {D0A9AEC4-3305-03AA-5D88-63530E7C4697} - C:\WINDOWS\System32\mgzyjw.dll

O2 - BHO: (no name) - {E9849A5D-5CCE-3233-9CD3-5630286E2E96} - C:\WINDOWS\System32\aufiwfmq.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [notes] notepaad.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [AVGCtrl] "F:\OUTILS\Antivir\AVGNT.EXE" /min

O4 - HKLM\..\RunServices: [notes] notepaad.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Oopt] C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe

O4 - HKCU\..\Run: [Ostu] C:\Documents and Settings\freddo.FRED\Application Data\hwoa.exe

O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe

O4 - HKCU\..\Run: [Aood] C:\Documents and Settings\freddo.FRED\Application Data\aoai.exe

O4 - HKCU\..\Run: [Windows Compliant] tjjhmc.exe

O4 - HKCU\..\Run: [Qzlsahg] C:\WINDOWS\System32\w?auboot.exe

O4 - HKCU\..\Run: [Wult] C:\Documents and Settings\freddo.FRED\Application Data\suas.exe

O4 - HKCU\..\Run: [Eceu] C:\Documents and Settings\freddo.FRED\Application Data\suhs.exe

O4 - HKCU\..\Run: [Gta San Andreas] gta.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c5.cab

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\OUTILS\Antivir\AVWUPSRV.EXE

O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Smart Card Client - Unknown - C:\WINDOWS\System32\notepaad.exe (file missing)

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield - Unknown - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

 

5 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

 

Démarre l'ordinateur.

Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.

En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

 

6 Assure toi d'avoir accés à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\WINDOWS\System32\yfit.dll

C:\WINDOWS\System32\kivfbjqi.dll

C:\WINDOWS\System32\mgzyjw.dll

C:\WINDOWS\System32\aufiwfmq.dll

C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe

C:\Documents and Settings\freddo.FRED\Application Data\hwoa.exe

sscs.exe --> Fais une recherche sur l'ordinateur, probablement dans C:\WINDOWS\System32\

C:\Documents and Settings\freddo.FRED\Application Data\aoai.exe

tjjhmc.exe --> Fais une recherche sur l'ordinateur, probablement dans C:\WINDOWS\System32\

C:\WINDOWS\System32\w?auboot.exe

C:\Documents and Settings\freddo.FRED\Application Data\suas.exe

C:\Documents and Settings\freddo.FRED\Application Data\suhs.exe

gta.exe --> Fais une recherche sur l'ordinateur, probablement dans C:\WINDOWS\System32\

C:\WINDOWS\System32\notepaad.exe

 

 

8 Lance et exécute CleanUp !.

Dans Options, tu coches Standard CleanUp puis OK

Lance CleanUp !

 

-Vide la corbeille

 

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

9 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

 

Deux antivirus = risque de conflit.

 

Et n'oublie pas les mises à jour. Elles permettent de supprimer de nombreuses failles de sécurité.

[Syjo]

Bonjour,

Me revoilà ! j'ai suivi à la lettre tes instructions et voici le dernier hijack.

J'ai eu une frayeur quand j'ai lancé cleanup : j'ai pas eu le temps de voir si c'était standard qu'il était parti et m'a supprimé 2600 et quelques fichiers, c'est pas possible, rassure moi, il ne m'a pas supprimé des fichiers utiles ? (surtout que c'est pas les miens) ah! l'anglais!

J'ai eu l'impression d'avoir un autre bureau, les couleurs, la résolution me semblent différentes. On dirait qu'il y a une nette amélioration. Que penses-tu de ce rapport ?

Merci mille fois pour tout.

 

 

Logfile of HijackThis v1.99.0

Scan saved at 15:49:37, on 23/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Softwin\BitDefender8\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\D-Tools\daemon.exe

F:\OUTILS\Antivir\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\iriver\iriver plus\iAgent.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

F:\OUTILS\Antivir\AVWUPSRV.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

F:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\OUTILS\SEARCH~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O4 - HKLM\..\Run: [bDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [AVGCtrl] "F:\OUTILS\Antivir\AVGNT.EXE" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\OUTILS\Antivir\AVWUPSRV.EXE

O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield - Unknown - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

[Syjo]

Bonjour IPL 001

 

Merci pour ce message sympa et tes encouragements, ça fait chaud au coeur d'être soutenue, surtout que ça dure depuis février à peu près. Si j'avais su, j'aurais demandé de l'aide plus vite. C'est vrai qu'on était réticents à télécharger, tellement on était infestés de partout et qu'on ne connaissait pas les bons outils et un site comme le vôtre, sérieux, de bon conseil (où télécharger les bons logiciels, de source sûre) et avec des membres aussi généreux.

Tout ce temps qu'on aurait pu gagner, mais ça ne nous était jamais arrivé avant tant de virus, troyens et autres à la fois, alors on pensait qu'un formatage, et puis un autre, l'antivirus etc. suffiraient.

J'avais téléchargé le pack 2 mais comme l'ordi bloquait, j'ai pensé que c'en était la cause, au milieu des autres problèmes et je l'avais désinstallé. Il a fallu nombre de jours et l'aide de chercheur pour apprendre au fur et à mesure les origines des différents problèmes, j'ai appris des tas de choses et dorénavant je serais vigilante et je vais faire un dossier sécurité avec tous les logiciels conseillés.

Quant au pack 1, ça ne me paraissait pas possible qu'on ne l'ait pas. En fait, je viens de voir qu'il est sur le disque nommé F et je ne comprends pas ce qu'il fait à cet emplacement. J'ai SP 1 et SP 2 ???? (que je n'ai pas réinstallé encore)

Encore merci pour ta gentillesse et tes encouragements, je te suis bien reconnaissante.

[chercheur]

Bonjour,

 

Félicitation, le rapport est propre.

CleanUp est très efficace, même moi qui pensait bien faire, il m'en a trouvé beaucoup la première fois que je l'ai utilisé. Mais pas 2600 . Rassure toi, il ne supprime rien d'utile.

 

Installe bien les packs SP1 et SP2, cela te permettra d'être mieux protèger.

 

 

Comme tu était bien infectée, tu va finaliser les recherches en faisant une analyse antivirus en ligne sur Panda

http://www.pandasoftware.com/activescan/co...n_principal.htm

 

Colle ensuite le rapport ici.

 

 

Présentes tu encore des dysfonctionnements ?

[Syjo]

Bonjour chercheur,

J'ai donc fait une analyse avec panda (ça a duré 2h) voici le rapport, j'ai tout enlevé manuellement.

 

_______________________________________________

Incident Status Location

 

Adware:Adware/PurityScan No disinfected C:\Documents and Settings\freddo\Application Data\alit.exe

Adware:Adware/nCase No disinfected C:\WINDOWS\Downloaded Program Files\ClientAX.inf

Adware:Adware/WinAD No disinfected C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MediaAccX.dll

Spyware:Spyware/Media-motor No disinfected C:\WINDOWS\Downloaded Program Files\m67m.inf

Adware:Adware/SAHAgent No disinfected C:\WINDOWS\Downloaded Program Files\setup4002b.ini

Adware:Adware/Atlas No disinfected C:\WINDOWS\switpa.exe

Spyware:Spyware/ISTbar No disinfected C:\WINDOWS\system32\1.html

Adware:Adware/WUpd No disinfected C:\WINDOWS\system32\2.html

Adware:Adware/Ucmore No disinfected C:\WINDOWS\system32\3.html

Adware:Adware/WUpd No disinfected C:\WINDOWS\system32\iexxa.exe

Virus:W32/Gaobot.EWU.worm Disinfected C:\WINDOWS\system32\nvcsv32.exe

Virus:W32/Gaobot.FFH.worm Disinfected C:\WINDOWS\system32\TFTP1768

Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\ukx.dll

Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\vzefwpym.dll

Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\WACLT~1.EXE

Adware:Adware/ValueAd No disinfected C:\WINDOWS\system32\WCRTUP~1.EXE

Virus:W32/Sdbot.BNX.worm Disinfected C:\WINDOWS\system32\zuro.exe

Virus:Trj/Clicker.EO Disinfected C:\WINDOWS\system32\ERINIT~1.EXE

Spyware:Spyware/Media-motor No disinfected C:\WINDOWS\unstall.exe

Adware:Adware/PurityScan No disinfected F:\Hijackthis\backups\backup-20050523-143633-992.dll

Virus:W32/Gaobot.GPK.worm Disinfected F:\OUTILS\Antivir\INFECTED\atapidrv.VIR

Virus:W32/Gaobot.GPK.worm Disinfected F:\OUTILS\Antivir\INFECTED\atapidrv.VIR00 _______________________________

[Syjo]

Bonjour chercheur,

J'ai donc fait une analyse avec panda (ça a duré 2h) voici le rapport, j'ai tout enlevé manuellement.

 

_______________________________________________

Incident Status Location

 

Adware:Adware/PurityScan No disinfected C:\Documents and Settings\freddo\Application Data\alit.exe

Adware:Adware/nCase No disinfected C:\WINDOWS\Downloaded Program Files\ClientAX.inf

Adware:Adware/WinAD No disinfected C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MediaAccX.dll

Spyware:Spyware/Media-motor No disinfected C:\WINDOWS\Downloaded Program Files\m67m.inf

Adware:Adware/SAHAgent No disinfected C:\WINDOWS\Downloaded Program Files\setup4002b.ini

Adware:Adware/Atlas No disinfected C:\WINDOWS\switpa.exe

Spyware:Spyware/ISTbar No disinfected C:\WINDOWS\system32\1.html

Adware:Adware/WUpd No disinfected C:\WINDOWS\system32\2.html

Adware:Adware/Ucmore No disinfected C:\WINDOWS\system32\3.html

Adware:Adware/WUpd No disinfected C:\WINDOWS\system32\iexxa.exe

Virus:W32/Gaobot.EWU.worm Disinfected C:\WINDOWS\system32\nvcsv32.exe

Virus:W32/Gaobot.FFH.worm Disinfected C:\WINDOWS\system32\TFTP1768

Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\ukx.dll

Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\vzefwpym.dll

Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\WACLT~1.EXE

Adware:Adware/ValueAd No disinfected C:\WINDOWS\system32\WCRTUP~1.EXE

Virus:W32/Sdbot.BNX.worm Disinfected C:\WINDOWS\system32\zuro.exe

Virus:Trj/Clicker.EO Disinfected C:\WINDOWS\system32\ERINIT~1.EXE

Spyware:Spyware/Media-motor No disinfected C:\WINDOWS\unstall.exe

Adware:Adware/PurityScan No disinfected F:\Hijackthis\backups\backup-20050523-143633-992.dll

Virus:W32/Gaobot.GPK.worm Disinfected F:\OUTILS\Antivir\INFECTED\atapidrv.VIR

Virus:W32/Gaobot.GPK.worm Disinfected F:\OUTILS\Antivir\INFECTED\atapidrv.VIR00 _______________________________

 

Non, je ne vois apparemment plus de dysfonctionnements maintenant.

L'ordinateur est en "meilleure forme", plus rapide. Je ne savais plus ce qu'était un ordi normal.

Bit défender n'a trouvé aucun virus et scanne plus vite. Par contre, Antivir m'a éliminé les virus ? 666-E et Micro-128 ©. Je suppose qu'ils ont chacun des bases de données qui varient). J'ai aussi réinstallé le pack 2 et viré ces soi-disants packs 1 et 2 sur le lecteur F qui ne me semblaient pas catholiques puisque je n'avais pas réinstallé le pack 2 et je pense qu'on avait pas le pack 1, et pourquoi sur le F:?

J'ai aussi mis à jour la base de spywareBlaster, incroyable le nombre de variantes.

Maintenant, il faut surtout penser à protéger car il y a toujours un truc par ci par là qui pénètre, ce matin était affiché à l'écran Getfile.dat que j'ai éliminé.

C'est à toi que reviennent les félicitations, tu m'a sortie d'un guépier où je ne m'en serais jamais sortie toute seule. Quand je pense comment on a tourné en rond et les fois inutiles où on a formaté et autres nettoyages pour revenir toujours au point zéro. (Quand je vois l'hijack du début à la situation actuelle) vraiment, quel chemin parcouru! Tu nous as rendu le sourire et grâce à toi ça nous fait des préoccupations en moins.

Je te dis donc un grand bravo et merci mille fois pour ce temps que tu m'a consacrée.

Bien amicalement

[chercheur]

Bonjour Syjo

 

Bonjour chercheur,

J'ai donc fait une analyse avec panda (ça a duré 2h) voici le rapport, j'ai tout enlevé manuellement.

Comme je te l'avais dit, il devait rester des choses. Et tu as bien fait de tout éliminer

 

Non, je ne vois apparemment plus de dysfonctionnements maintenant. 

L'ordinateur est en "meilleure forme", plus rapide. Je ne savais plus ce qu'était un ordi normal.

Tu peux l'optimiser encore plus en cherchant des astuces sur Zebulon et en allant voir sur le site de Tesgaz les services que tu peux désactiver.

http://speedweb1.free.fr/frames2.php?page=service3

 

Maintenant, il faut surtout penser à protéger car il y a toujours un truc par ci par là qui pénètre, ce matin était affiché à l'écran Getfile.dat que j'ai éliminé.

C'est à toi que reviennent les félicitations, tu m'a sortie d'un guépier où je ne m'en serais jamais sortie toute seule. Quand je pense comment on a tourné en rond et les fois inutiles où on a formaté et autres nettoyages pour revenir toujours au point zéro. (Quand je vois l'hijack du début à la situation actuelle) vraiment, quel chemin parcouru! Tu nous as rendu le sourire et grâce à toi ça nous fait des préoccupations en moins.

Je te dis donc un grand bravo et merci mille fois pour ce temps que tu m'a consacrée.

Bien amicalement

508224[/snapback]

Je te remercie de tout ces mots gentils. Et remercie aussi Ipl_001 qui as été le créateur du tutorial sur HijackThis et qui m'a appris plein de choses.

Et maintenant quelques conseils sur la prévention.

 

Protection minimale :

 

- système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases

( http://windowsupdate.microsoft.com/ )

 

- pare-feu bien paramétré, gratuit

par exemple ZoneAlarm

et son tutorial

 

- antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit

par exemple AVAST Home Edition FREE avec souscription obligatoire

et son tutorial

 

- antitroyen gratuit passé périodiquement, par exemple A2 en le téléchargeant

Il est nécessaire de s'enregistrer pour bénéficier des mises à jour

 

- antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE Personnal

et son tutorial

et Spybot Search and Destroy 1.3

et son tutorial

 

- Se protèger des ActiveX nuisibles avec SpywareBlaster et son tutorial

 

- comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts)

 

- attitude vigilante quant aux dysfonctionnements de ton système.

 

- maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

 

Tous ces programmes parfaitement mis à jour avant chaque utilisation.

 

Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html

 

Fais passer le message sur la prévention autour de toi !!