Trojan Horse et (je crains !) plus...

[sherpa572]

Bonjour à tous,

L'info, normalement, c'est mon job, mais là, il doit me manquer quelque chose et je sèche lamentablement.

Machine : PIII sous Win XP Pro

Description du pb :

1°) http://search-links.net comme page irremplaçable d'IE

2°) au lancement de l'Explorateur (et uniquement dans ce cas ! ?), message de Norton : virus "Trojan Horse" (fichier ineffaçable !) générant un objet "msdirectx.sys" dans "C:\Documents and Settings\Administrateur\Local Settings\Temp". Ce fichier est, quoi que je fasse, introuvable (ben tiens !)

3°) un fichier "KB32.exe" dans "C:\WINDOWS\system32", et déclaré comme nuisible, est identifié par "Security Task Manager" et apparaît (je corrige à l'instant : apparaissait !) dans le Gestionnaire des tâches (j'ai apparemment réussi à m'en débarrasser, mais le fichier est toujours là !). Dans son contenu figure "msdirectx.sys" ainsi que "MS Alchemy". L'appli. "MS Alchemy" est visible dans "Ajout/Suppression de prog." du Panneau de config et déclarée nuisible sur divers sites (sauf français !). Dans les paramètres figure une autre appli. : "Webspecials", également répertoriée comme nocive sur certains sites (sauf français, toujours !). Quand je renommai le fichier "KB32.exe" et relançai le PC, hors le fond du bureau, plus rien n'était affiché : ni icônes, ni barre des tâches !

Procédures mises en oeuvre :

- Ad-Aware (dernière m.à.j) : trouve CWS

- Spybot (idem) : ne trouve rien

- Norton 2005 (idem) : trouve

- CWShredder (idem) : ne trouve rien

- Microsoft AntiSpyware (idem) :

- Security Task Manager (v. 1.06e) : ne trouvait rien de nuisible, hors KB32.exe

- HijackThis (v. 1.99.1) : mise en oeuvre sur les bases indiquées ici ! (aurais-je oublié quelque chose ?)

Toutes les m.à.j. ont été réalisées en lancement normal et les procédures employées en mode sans échec. Tous les dossiers "Cookies", tous les dossiers "Temp", tous les dossiers "Temporary Internet Files", "Historique", etc..., ont été intégralement vidés !

 

Résultat du scan HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 19:56:17, on 14/06/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\devldr32.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Logiciels\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Administrateur

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my='>http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=

O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

Les lignes en gras ont été supprimées à répétition : sans effet, elles reviennent toujours !

 

J'y perds mon latin ! Qu'oublie-je ?

 

Afin d'éviter la réinstal, peut-on désinstaller sans problème "MS Alchemy" et "Webspecials" ?

 

Merci de votre aide ! et cordialement.

[ipl_001]

Bonsoir sherpa572, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum !

 

Petites remarques à mon collègue :-1-

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Je ne te cacherai pas que tu as des années de retard dans tes mises à jour ! LOL

-2- utilises-tu ton ordinateur avec avec des droits d'administrateur ? local ? réseau ?

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[Invité Stonangel]

Bonsoir, juste une remarque: il est nécessaire de désactiver Tea Timer de SSD pour effectuer les corrections avec Hijackthis d'où tes difficultés.

[ipl_001]

Rebonsoir,

 

Voici quelques informations relatives à Troj/Malche-A

ProfileProfile

Name  Troj/Malche-A

Type  Trojan

Troj/Malche-A is a stealthing startpage Trojan.

Affected operating systems  Windows

Side effects 

    * Modifies data on the computer

    * Drops more malware

    * Downloads code from the internet

    * Installs itself in the Registry

Aliases 

    * Trojan.Win32.StartPage.vo

    * StartPage-BA

 

Protection available since  6 April 2005 16:06:09 (GMT)

-----

Troj/Malche-A is a stealthing startpage Trojan.

 

Troj/Malche-A drops a file to the Windows temp folder called MSDIRECTX.SYS. Troj/Malche-A runs this using the service control manager as a kernel-mode driver named MSDIRECTX and uses it to hide itself from being monitored. This dropped file is detected as Troj/Rootkit-V.

 

Troj/Malche-A copies itself to the Windows system folder and sets the following entry in the registry so as to run itself on system startup:

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\

Debugger

<Windows system folder>\kb32.exe

 

Troj/Malche-A sets the following entries in the registry:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\MS alchemy\

DisplayName

MS alchemy

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\MS alchemy\

UninstallString

<Windows system folder>\kb32.exe --uninstall

 

Troj/Malche-A may drop and execute the following batch scripts in the Windows temp folder in order to delete its own files:

 

temp0001806.bat

temp0001807.bat

 

Troj/Malche-A contacts a script at http://lucky-dreams.com to see if it needs to update itself and may drop the update temporarily to the file UPD00137.EXE in the Windows temp folder.

 

Troj/Malche-A attempts to change the following registry entries so as to redirect certain internet browsers to pages at the site http://search-links.net:

 

HKCU\Software\Microsoft\Internet Explorer\Main\

Start Page

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\

www

 

HKCU\SOFTWARE\Microsoft\Internet Explorer\Search\

SearchAssistant

 

HKCU\SOFTWARE\Microsoft\Internet Explorer\Search\

CustomizeSearch

 

Troj/Malche-A attempts to modify the HOSTS file in the drivers\etc subfolder of the Windows system folder, appending the following line so as to prevent access to the specified Microsoft website by directing it to the loopback address:

 

127.0.0.1 auto.search.msn.com

(source : http://www.sophos.com/virusinfo/analyses/trojmalchea.html )

 

Je te cherche la même en Français ! ---édition : zut ! Je ne la trouve pas !

[ipl_001]

Rebonsoir sherpa572, Stonangel, rebonsoir à tous,

 

S'il te plaît, désactive TeaTimer dans SpyBot Search and Destroy !

De même, je te fais désactiver tes restrictions...

Tu réinstalleras tout çà lorsque ton système sera propre !

 

Télécharge et installe DelDomains.inf de Mike Burgess ( http://www.mvps.org/winhelp2002/DelDomains.inf ) - clic droit / Enregistrer la cible sous...

 

Copie ce post dans un fichier de manière à le conserver hors connexion.

 

J'hésite en voyant ton processus C:\WINDOWS\System32\devldr32.exe :

Il peut s'agir du malware http://castlecops.com/s954-devldr32_exe.html

ou du légitime http://www.liutilities.com/products/wintas...slibrary/lsass/

Veux-tu bien lire les quelques lignes et juger ?

 

 

 

Démarre ton ordinateur en mode sans échec.

 

RegFix-gM :

- ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les tirets-

-----

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]

@="http://"'>http://"'>http://"'>http://"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes]

"ftp"="ftp://"

"gopher"="gopher://"

"home"="http://"

"mosaic"="http://"

"www"="http://"

 

----- (14 lignes y compris une ligne vide en fin)

- Fichier / Enregistrer sous

--- Enregistrer dans : Bureau

--- Nom du fichier : RegFix-gM.reg

--- Type : tous les fichiers

--- cliquer sur Enregistrer

- quitter Notepad

- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

 

Lance Del_Domains.inf : clic droit / Installer (pas besoin de redémarrer)

N.B. : Ceci va enlever toutes les entrées des "Sites de confiance" et de "Domaines".

 

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Administrateur

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

 

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

Les lignes O13 et O15 ne seront certainement plus présentes car éliminées par les outils RegFix-gM et Del_Domains

O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my='>http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=

O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

 

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- suppression des fichiers inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

[megataupe]

Bonsoir IPL . Celui-là semble légitime :

 

User Comments On devldr32.exe

 

devldr32.exe is installed with Creative Labs audio hardware. Installed to start automatically by default, this process is crucial to Creative Labs AudioHQ, Creative Mixer and audio input. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.

[ipl_001]

Bonsoir IPL . Celui-là semble légitime :

 

User Comments On devldr32.exe

 

devldr32.exe is installed with Creative Labs audio hardware. Installed to start automatically by default, this process is crucial to Creative Labs AudioHQ, Creative Mixer and audio input. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.

517763[/snapback]

Oui, c'est ce que je dis presque en demandant à sherpa572 de regarder !

Ce programme peut être légitime ou pas... la date de création du fichier et l'utilisation de produits de Creative Labs peuvent donner une piste.

[sherpa572]

Bonsoir IPL 001, bonsoir à tous !

 

Tiens, IPL (?), c'est un terme de mainframe, ça !

Quelqu'un aurait-il bossé sur de grosses bécanes avant de passer aux PC's ?

 

Bon: avant tout, un grand merci !

Mais rien n'est parfait en ce bas monde (de l'informatique, surtout... !)

1er passage intégral de la procédure et ma salo...ie est toujours présente !

Je refais ce soir un second passage par acquit de conscience.

Juste pour l'info : toutes les lignes du scan HijackThis étaient supprimées sauf les 013 !

 

Le fichier Creative Labs semble correct et consécutif à la SB Live installée.

 

Par contre : ces foutus "KB32.exe" dit "MS Alchemy" et "WebSpecials"... sont-ils désinstallables sans conséquence ? (puisque renommer "KB32.exe" désactive toutes les icônes du bureau ainsi que la barre des tâches lors du reboot).

 

Merci pour vos réponses à tous. Dans tous les cas, je vous tiens au courant.

 

Cordialement.

 

Rebonsoir sherpa572, Stonangel, rebonsoir à tous,

 

S'il te plaît, désactive TeaTimer dans SpyBot Search and Destroy !

De même, je te fais désactiver tes restrictions...

Tu réinstalleras tout çà lorsque ton système sera propre !

 

Télécharge et installe DelDomains.inf de Mike Burgess ( http://www.mvps.org/winhelp2002/DelDomains.inf ) - clic droit / Enregistrer la cible sous...

 

Copie ce post dans un fichier de manière à le conserver hors connexion.

 

J'hésite en voyant ton processus C:\WINDOWS\System32\devldr32.exe :

Il peut s'agir du malware http://castlecops.com/s954-devldr32_exe.html

ou du légitime http://www.liutilities.com/products/wintas...slibrary/lsass/

Veux-tu bien lire les quelques lignes et juger ?

Démarre ton ordinateur en mode sans échec.

 

RegFix-gM :

- ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les tirets-

-----

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]

@="http://"'>http://"'>http://"'>http://"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes]

"ftp"="ftp://"

"gopher"="gopher://"

"home"="http://"

"mosaic"="http://"

"www"="http://"

 

----- (14 lignes y compris une ligne vide en fin)

- Fichier / Enregistrer sous

--- Enregistrer dans : Bureau

--- Nom du fichier : RegFix-gM.reg

--- Type : tous les fichiers

--- cliquer sur Enregistrer

- quitter Notepad

- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

 

Lance Del_Domains.inf : clic droit / Installer (pas besoin de redémarrer)

N.B. : Ceci va enlever toutes les entrées des "Sites de confiance" et de "Domaines".

 

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Administrateur

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

 

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

Les lignes O13 et O15 ne seront certainement plus présentes car éliminées par les outils RegFix-gM et Del_Domains

O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my='>http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=

O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

 

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- suppression des fichiers inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

517758[/snapback]

[queruak]

Salut,

 

sherpa572

 

Fais ceci s 'il te plait,

 

Démarrer -->Exécuter-->Insere la commande suivante:

 

regedit /e C:\Look.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"

 

Tu valides par OK

 

Puis ouvre C,et cherche un fichier du nom de Look.txt .

Tu colles son contenu ici.

[sherpa572]

Salut,

 

sherpa572

 

Fais ceci s 'il te plait,

 

Démarrer -->Exécuter-->Insere la commande suivante:

 

regedit /e C:\Look.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"

 

Tu valides par OK

 

Puis ouvre C,et cherche un fichier du nom de Look.txt .

Tu colles son contenu ici.

518489[/snapback]

 

Merci et que voili-voilou !

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]

"Debugger"="C:\\WINDOWS\\System32\\kb32.exe"

 

Une idée sur ce fichu "KB32.exe" ?

 

En attendant, merci !

Cordialement.