comment supprimer le trojan"specialgoods"?

[annana]

bonjour à tous !

j'ai un problème avec le trojan "specialgoods" qui est sacrément coriace, j'ai un antivirus, un firewall, et un antispyware, rien n'y fait...et puis comme beaucoup de mortels je ne connait rien à l'informatique!...on m'a dit de copié collé mon log sur ce forum, alors le voici....

 

est ce que quelqun peut m'aider à supprimer cette chose rapidemment et facilement siouplait.... merci d'avance.

anna

 

Logfile of HijackThis v1.99.1

Scan saved at 22:07:38, on 24/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe

C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe

C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

C:\Norman\Bin\ZLH.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\zeropop.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Norman\Bin\Zanda.exe

C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe

C:\Program Files\eMule\emule.exe

C:\Norman\Nvc\bin\nvcoas.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\BIN\nipsvc.exe

C:\Norman\bin\NJEEVES.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Real\RealPlayer\realplay.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe

C:\Documents and Settings\Anna\Bureau\nvcforwindows.exe

C:\DOCUME~1\Anna\LOCALS~1\Temp\pft5D.tmp\Disk1\Setup.exe

C:\PROGRA~1\FICHIE~1\INSTAL~1\Engine\6\INTEL3~1\IKernel.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\System32\msdtc.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

C:\Documents and Settings\Anna\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis_199[1].zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0413/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [MSN PLUS XP] wspad.exe

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\RunServices: [MSN PLUS XP] wspad.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: 0pop.lnk = C:\Program Files\zeropop.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/070552351df2fa...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118227945156

O17 - HKLM\System\CCS\Services\Tcpip\..\{D610FAD1-4475-4279-81DF-21B5DD1ACEF1}: NameServer = 80.118.196.40 80.118.192.110

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

[ipl_001]

Bonsoir annana, tesgaz, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Applique la procédure de megataupe... cette procédure à pour but de déblayer efficacement le terrain par un nettoyage et des scans AntiVir et HijackThis en mode sans échec.

Nous gardons l'oeil sur ta discussion et nous répondrons dès que tu auras terminé cette première étape !

 

C:\Documents and Settings\Anna\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis_199[1].zip\HijackThis.exe

Déplace le programme dans un autre dossier comme C:\HijackThis car sinon, dans un fichier temporaire, il risque de se faire supprimer ainsi que les ficheirs backups qu'il va créer !

 

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'Hijackthis ( http://www.merijn.org/files/hijackthis.zip )

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure décrite sous ce lien :

http://minilien.com/?ZBcNwM6Om1

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'Hijackthis

 

-- créer un nouveau dossier à la racine de C: soit C:\Program Files\hijackthis (et pas dans un fichier temporaire); dézipper le programme précédemment téléchargé dans ce répertoire, créer un raccourci sur le bureau

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\hijackthis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : hijackthis 1, hijackthis 2...)

 

NB : en cas de problème, appliquer la procédure de BipBip (avec copies d'écran) :

My Webpage

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

[Invité tesgaz]

Salut,

 

redémarres en mode sans echec (appuyer sur la touche F8 du clavier juste au démarrage de la machine)

 

ensuite tu relance hijackthis et tu coches ses lignes et tu cliques sur fixcheked

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0413/

 

O4 - HKLM\..\Run: [MSN PLUS XP] wspad.exe

 

 

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\RunServices: [MSN PLUS XP] wspad.exe

 

O4 - Startup: 0pop.lnk = C:\Program Files\zeropop.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{D610FAD1-4475-4279-81DF-21B5DD1ACEF1}: NameServer = 80.118.196.40 80.118.192.110

 

80.118.192.110 ne correspondent à aucun FAI

donc tu supprimes cette ligne, il faudra sans doute remettre tes parametre de connexion

 

 

ensuite, tu fais une recherche de ces fichiers sur ton disque dur :

wspad.exe

C:\Program Files\zeropop.exe

 

et tu les supprimes,

 

tu redémarres en mode sans echec toujours, et tu refais un log que tu repost ici

 

 

 

oups, désolé ipl, je n'ai pas vu que tu postais en meme temps que moi

Modifié le 24 juin 2005 par tesgaz

[Champagne]

Salut,

 

Pour le O17 - HKLM\System\CCS\Services\Tcpip\..\{D610FAD1-4475-4279-81DF-21B5DD1ACEF1}: NameServer = 80.118.196.40 80.118.192.110

 

il s'agit de :

 

KAPTECH

92300 LEVALLOIS PERRET

Services de telecommunications, operateur en telephonie fixe.

 

Si tu n'a rien à voir avec eux, fix aussi.

[Invité tesgaz]

Salut,

 

Pour le O17 - HKLM\System\CCS\Services\Tcpip\..\{D610FAD1-4475-4279-81DF-21B5DD1ACEF1}: NameServer = 80.118.196.40 80.118.192.110

 

il s'agit de :

 

KAPTECH

92300  LEVALLOIS PERRET 

Services de telecommunications, operateur en telephonie fixe. 

 

Si tu n'a rien à voir avec eux, fix aussi.

523731[/snapback]

 

 

exacte, mon whois de tout à l'heure me donnait rien,

serait-ce du à la panne de tiscali que j'ai eu dans la journée jusqu'a ce soir ? (le temps de remettre toutes les DNS en route )

 

donc, ne fixe pas si c'est ton fai

[ipl_001]

... donc, ne fixe pas si c'est ton fai

... ou ta société !

 

Mais, dans le cas présent, ces IP semblent être les DNS de 9 Télécom ! http://www.clubic.com/wiki/Neuf_Telecom

[angelique]

C:\Program Files\eMule\emule.exe=nid à saloperie

[Pollux_63]

bizarre tout ça!

 

Personellement je trouve que c'est neuf telecom!

 

(édité par ipl_001 : bien vu Pollux_63 ! désolé, j'ai continué mes recherches et édité mon post avant de voir ta réponse)

[ipl_001]

C:\Program Files\eMule\emule.exe

 

Bien vu angelique !

[Invité tesgaz]

c'est la meme maison :

 

80.118.196.40 (40-196-118-80.kaptech.net)

 

BW whois 2.9 by Bill Weinman (http://whois.bw.org/)

Copyright 1999-2001 William E. Weinman

Request: 80.118.196.40

connecting to whois.arin.net [69.25.34.144:43] ...

connecting to whois.ripe.net [193.0.0.135:43] ...

% This is the RIPE Whois query server #1.

% The objects are in RPSL format.

%

% Note: the default output of the RIPE Whois server

% is changed. Your tools may need to be adjusted. See

% http://www.ripe.net/db/news/abuse-proposal-20050331.html

% for more details.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

 

% Note: This output has been filtered.

% To receive output for a database update, use the "-B" flag.

 

% Information related to '80.118.192.0 - 80.118.201.255'

 

inetnum: 80.118.192.0 - 80.118.201.255

netname: N9UF-INFRA

descr: Gaoland backbone

country: FR

admin-c: LD699-RIPE

tech-c: LDC76-RIPE

status: ASSIGNED PA

remarks: *************************************************************

remarks: * For spam & abuse issues please email to [email protected] *

remarks: *************************************************************

mnt-by: LDCOM-MNT

source: RIPE # Filtered

 

role: LDCOM Legal Contact

address: neuf telecom

address: Immeuble Quai Ouest

address: 40-42 Quai du point du jour

address: 92659 Boulogne Billancourt

address: France

fax-no: +33 1 58 63 18 18

admin-c: LD699-RIPE

tech-c: LM5867-RIPE

nic-hdl: LD699-RIPE

abuse-mailbox: [email protected]

mnt-by: LDCOM-MNT

source: RIPE # Filtered

 

role: LDCOM Networks Tech Contact

address: neuf telecom

address: Immeuble Quai Ouest

address: 40-42 Quai du point du jour

address: 92659 Boulogne Billancourt

address: France

fax-no: +33 1 70 18 15 70

admin-c: LM5867-RIPE

tech-c: DG1056-RIPE

nic-hdl: LDC76-RIPE

abuse-mailbox: [email protected]

mnt-by: LDCOM-MNT

source: RIPE # Filtered

 

% Information related to 'LD699-RIPE'

 

route: 80.118.0.0/15

descr: LDCOM Networks

descr: Ex Kaptech Internet Services

descr: FRANCE

origin: AS15557

mnt-by: LDCOM-MNT

source: RIPE # Filtered

Modifié le 24 juin 2005 par tesgaz