[résolu]alerte virus

ipl_001 · le 7 juillet 2005

Rebonsoir rimbaut, Stonangel, angelique, bonsoir à tous,

bonsoir à tous,
j'ai eefectue la procedure indique point par point. Cependant qd je redemarre un mode normal le fs d'ecran noir reapparait avec l'incitation à utiliser l'antiviral proposé en grand âu centre de mon bureau ( voir la teneur du message sur envoi precedent).

J'ai fait un scan hj dont je vous soumets le log

...

Mais j'ai l'impression qu'a chque fois que je desinfecte et que je redemarre en mode normal les virus se reinstallent car il faudrait que j'arrive à supprimer cet incitation à utiliser cet antivirus dont je ne sais d'ou il vient. De tps en tps il se connecte sur internet et antivir reagit en me signalant une alerte. AIDEZ MOI A SUPPRIMER CETTE SALOPERIE

Merci d'avance

Tu n'as pas bien effectué la procédure puisqu'elle demande un scan HJT en mode sans échec, ce qui n'est pas le cas du tien !

Le procédure est un prénettoyage, elle n'enlève pas tous les malwares !

Si on n'enlève pas tous les éléments infectieux, il y a réinfection et tout est à recommencer !

Ne t'inquiète pas ! Stonangel va supprimer les malwares et en même temps, ton message !

ipl_001 · le 7 juillet 2005

Bonsoir angelique,

Très bien d'avoir effectué un pas en mettant le doigt sur quelques lignes Run Once, visiblement néfastes !

Il y a d'autres lignes bien douteuses... essaie de les trouver aussi !

le 7 juillet 2005

Re, télécharge:

EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

About:Buster

http://downloads.subratam.org/AboutBuster.zip

Mets à jour et place un raccourci sur le bureau

SpSeHjfix

http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix

Installe dans un réoertoire dédié et place un raccourci sur le bureau

Tu le lances et tu cliques sur "start disinfection". En cas d'infection le pc sera redémarré.

Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne

Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I)

Double clique sur la ligne

Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\WINDOWS\system32\ieat.exe" /s dans Type de démarrage, sélectionne Désactiver et valide la modification.

Démarre en mode sans échec (F8 ou F5)

Assure toi d'avoir accès à tous les fichiers.

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xugdu.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xugdu.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xugdu.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xugdu.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xugdu.dll/sp.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xugdu.dll/sp.html#37049

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {4F9A4F6D-CA0E-3F49-D4C7-79FE3EB7E433} - C:\WINDOWS\appar32.dll

O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [ipus32.exe] C:\WINDOWS\system32\ipus32.exe

O4 - HKLM\..\RunOnce: [ieat.exe] C:\WINDOWS\system32\ieat.exe

O4 - HKLM\..\RunOnce: [netjn32.exe] C:\WINDOWS\netjn32.exe

O4 - HKLM\..\RunOnce: [syswj32.exe] C:\WINDOWS\system32\syswj32.exe

O4 - HKLM\..\RunOnce: [mfcpg32.exe] C:\WINDOWS\mfcpg32.exe

O4 - HKLM\..\RunOnce: [iejv.exe] C:\WINDOWS\system32\iejv.exe

O4 - HKLM\..\RunOnce: [sdkox32.exe] C:\WINDOWS\sdkox32.exe

O4 - HKLM\..\RunOnce: [appro32.exe] C:\WINDOWS\appro32.exe

O4 - HKLM\..\RunOnce: [appjy32.exe] C:\WINDOWS\system32\appjy32.exe

O4 - HKLM\..\RunOnce: [winnq.exe] C:\WINDOWS\system32\winnq.exe

O4 - HKLM\..\RunOnce: [winlz.exe] C:\WINDOWS\system32\winlz.exe

O4 - HKLM\..\RunOnce: [winyn32.exe] C:\WINDOWS\system32\winyn32.exe

O4 - HKLM\..\RunOnce: [winfk32.exe] C:\WINDOWS\winfk32.exe

O4 - HKLM\..\RunOnce: [ntdr32.exe] C:\WINDOWS\ntdr32.exe

O4 - HKLM\..\RunOnce: [mshj32.exe] C:\WINDOWS\mshj32.exe

O4 - HKLM\..\RunOnce: [sdkfr32.exe] C:\WINDOWS\system32\sdkfr32.exe

O4 - HKLM\..\RunOnce: [javafh.exe] C:\WINDOWS\system32\javafh.exe

O4 - HKLM\..\RunOnce: [sdkoh.exe] C:\WINDOWS\sdkoh.exe

O4 - HKLM\..\RunOnce: [iedw32.exe] C:\WINDOWS\system32\iedw32.exe

O4 - HKLM\..\RunOnce: [appte32.exe] C:\WINDOWS\system32\appte32.exe

O4 - HKLM\..\RunOnce: [winpp.exe] C:\WINDOWS\winpp.exe

O4 - HKLM\..\RunOnce: [javaof32.exe] C:\WINDOWS\javaof32.exe

O4 - HKLM\..\RunOnce: [netmm32.exe] C:\WINDOWS\system32\netmm32.exe

O4 - HKLM\..\RunOnce: [ipmc.exe] C:\WINDOWS\ipmc.exe

O4 - HKLM\..\RunOnce: [netud.exe] C:\WINDOWS\system32\netud.exe

O4 - HKLM\..\RunOnce: [d3gw.exe] C:\WINDOWS\system32\d3gw.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieat.exe" /s (file missing)

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

Lance deux fois About Buster

Supprime les fichiers/dossiers incriminés (s'ils existent encore):

C:\WINDOWS\system32\xugdu.dll

C:\WINDOWS\appar32.dll

C:\WINDOWS\system32\ipus32.exe

C:\WINDOWS\system32\ieat.exe

C:\WINDOWS\netjn32.exe

C:\WINDOWS\system32\syswj32.exe

C:\WINDOWS\mfcpg32.exe

C:\WINDOWS\system32\iejv.exe

C:\WINDOWS\sdkox32.exe

C:\WINDOWS\appro32.exe

C:\WINDOWS\system32\appjy32.exe

C:\WINDOWS\system32\winnq.exe

C:\WINDOWS\system32\winlz.exe

C:\WINDOWS\system32\winyn32.exe

C:\WINDOWS\winfk32.exe

C:\WINDOWS\ntdr32.exe

C:\WINDOWS\mshj32.exe

C:\WINDOWS\system32\sdkfr32.exe

C:\WINDOWS\system32\javafh.exe

C:\WINDOWS\sdkoh.exe

C:\WINDOWS\system32\iedw32.exe

C:\WINDOWS\system32\appte32.exe

C:\WINDOWS\winpp.exe

C:\WINDOWS\javaof32.exe

C:\WINDOWS\system32\netmm32.exe

C:\WINDOWS\ipmc.exe

C:\WINDOWS\system32\netud.exe

C:\WINDOWS\system32\d3gw.exe

C:\WINDOWS\system32\ieat.exe" /s

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

Exécute EasyCleaner Inutiles et Registre seulement. Ne pas toucher à la fonction doublon.

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

Edit: En effet Angélique tout ça n'est pas très orthodoxe...

Bien vu megataupe cette dll non plus

Modifié le 7 juillet 2005 par Stonangel

megataupe · le 7 juillet 2005

Bonsoir IPL, bonsoir à tous. Allez, megataupe ajoute un suspect sur la liste :

xugdu.dll

avec un nom pareil, doit pas être catholique ce xugdu

edit : toujours grillé par Angelstone :-(

Modifié le 7 juillet 2005 par megataupe

rimbaut · le 7 juillet 2005

re bonsoir,

je pense avoir fait la procedure comme il se doit mais le message est tjrs present sur le bureau et le fds d'ecran est tjrs noir. Comment puis je retablir ma situation.

voici mon nouveao log hj

gfile of HijackThis v1.99.1

Scan saved at 00:19:55, on 08/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\AntiViral Toolkit Pro\avpm.exe

C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\AA\Bureau\SpSeHjfix112.exe

C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Class - {07DD92D4-CC5A-5DAA-B7C4-DEC0B6D55959} - C:\WINDOWS\atlzt.dll

O2 - BHO: Class - {07F54D26-6DD1-1746-CC42-EC74F8DBE04C} - C:\WINDOWS\system32\iefn32.dll

O2 - BHO: Class - {2005B9B5-C183-DBA7-D764-F4CD01F0DAA3} - C:\WINDOWS\sdkmq32.dll

O2 - BHO: Class - {7B79D3C0-5BA6-4760-51E7-D201FEA013C7} - C:\WINDOWS\system32\javacu32.dll

O2 - BHO: Class - {8CBAAF48-7FE8-39B9-CD03-FE0CF7DEE5BB} - C:\WINDOWS\system32\iehw32.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Class - {D30FD21A-58EE-A738-E2D6-65F036BF9ACB} - C:\WINDOWS\system32\sdkkp.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieat.exe" /s (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

merci pour votre aide

rimbaut · le 7 juillet 2005

re,

je viens de constater que des que je me connecte à internet antivir intervient pour bolquer des trojans. J' en ai notè un :

c:\windows\ECACR.DLL

is the trojan horse

TR/start pa.Du.DLL.1

Je pense que le message se trouvant sur mon bureau est un trojan ou une application m'infestant de trojan

que faire ?

à + et merci pour votre prècieuse aide

angelique · le 7 juillet 2005

ECACR.DLL

tu la trouves (afficher les fichiers cachés)et peux tu la virer à la main?

mais cette Dll doit forcément se raporter à un residu d'exe,voir des traces ds la bdr.

je ne suis pas une chef la dedans...............

Modifié le 7 juillet 2005 par angelique

Thanos · le 7 juillet 2005

salut angelique,rimbaut

concernant ton trojan ,tu peux comme dit angelique le virer manuellement.

(Il est possible que tu en trouve une trace dans la bdr:dans

HKLM\Software\Microsoft\Windows\CurrentVersion\Run et

HKCU\Software\Microsoft\Windows\CurrentVersion\Run)

Un outil tres efficace pour lutter contre les trojans:a² , dont tu peux télécharger la

version gratos ici:http://www.emsisoft.net/fr/software/free/

Il m'a viré plusieurs cookies douteux.Mets le à jour et scanne tes disques.

tu peux aussi aller faire un scan chez windowsecurity:http://www.windowsecurity.com/trojanscan/.

Modifié le 7 juillet 2005 par charles ingals

Thanos · le 7 juillet 2005

quelques daubes encore sur ton log :-(

C:\Program Files\AntiViral Toolkit Pro\avpm.exe

O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe

Ce ver(Lirva=>avpm.exe) essaye de terminer les processus d'antivirus et de firewall.