[résolu]alerte virus

[BipBip07]

Ok,

repose un rapport Hijackthis de la session "vérolée".

A+

[rimbaut]

voilà l rapport hj

gfile of HijackThis v1.99.1

Scan saved at 14:15:48, on 11/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\hijackthis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

 

je constate ds les processus dont j'accede par ewido les suivants;

c:\program files\intel\wireless\bin\OprotSvc.exe

c:\program files\intel\wireless\bin\ifrmewrk.exe

c:\program files\intel\wireless\bin\EOUWiz.exe

 

Ds demarrage tjrs en accedant par ewido :

fichier sans nom (seul l'icone fichier apparait); l'emplacement = reg\hklm\run; chemin non specifié;

intelwireless; reg\HKCU\run; chemin= c\program files\intel\wireless\bin\ifrmwrk.e..

CTFMONEXE; reg\HKCU\run ; c:\windows\system32\ctfmon.exe

est ce normal ?????

A+

[BipBip07]

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

R3 - Default URLSearchHook is missing

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, Easycleaner (registre), et Ccleaner .

 

Redémarrer normalement,

 

et viens nous dire ce qu'il en est de tes soucis.

 

A suivre

[rimbaut]

he ben je n'arrive tjrs pas à me connecter sur ie ds la session infectée et mon fds d'ecran qui avait disparu( stonangel est au courant) celui ci n'a tjrs pas réapparu. cependant j'ai lancé adware qui a trouve des saloperies et spybot lui, en 2e, n'a rien trouvé. Je ne suis pas sur que la bete est morte car ttes ces manip je les ai fait au 50 fois et souvent en mode sans echec.

Que dois je faire à present ? Essayer de me retablir l'acces à ie et me redonner mon fds d'ecran car j'ai eu les problemes qd un placard me sollicitant d'installer un antivirus est venu se positionner au milieu du bureau et le fds d'ecran est devenu noir: ds la barre des taches de tps en tps apparaissait une icone qui me disait que mon pc etait contaminé et m'invitait à installer ce prog ce que je n'ai pas fait.

Voilà un peu le topo

j'attends tes instructions a+

[angelique]

t'es multi infecté.(donc pour trojan-spy.html.smitfraud.c,c'est en dessous)

désactives la restau system,

affiches les fichiers cachés et fais une recherche de wp.exe et de wp.bmp

et tu supprimes ça.

puis regedit,edition,rechercher,donc wp.exe,decoches mot entier seulement,qd à droite de la fenetre,une ligne contenant wp.exe est trouvé tu la jartes.

puis F3 pour les valeurs suivantes.

idem opération avec wp.bmp

ensuite qd y'a plus ces valeurs,

tu vas à:

HKCU/software/microsoft/windows/current version/policies puis tu cliques sur lr dossier system pour le selectionner.

A droite de la fenetre,tu recherche la valeur NoDispBackgroundPage.

Si elle n'éxiste pas,tu crees une nouvelle valeur dword et tu renommes Nouvelle valeur#1 en NoDispBackgroundPage,tu doubles cliques dessus et ds la fenetre qui s'ouvre tu mets 0

tu reboots ,tu t'attribues ton fond d'écran.

un tour chez www.secuser.com,outils en ligne,et scan antivirus

tu recommences avec adaware,spybot et ton av à jour,les scans en MSE.

tu repostes un hijack.

Modifié le 11 juillet 2005 par angelique

[BipBip07]

Telecharge ce fichier ici:

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

 

Démarrer en mode sans echec:

double clic sur smitfraud.reg et accepte de fusionner

 

Ensuite,

Demarrer > panneau de configuration > affichage > bureau >

ensuite remet un fond d'écran

 

> personnalisation du bureau

onglet web

supprime tout ce qui se touve là, sauf ma page d'acceuil que tu laissera décochée.

 

Repasser Ewido et ton antivirus

 

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

[blue] Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici[/blue]

 

et supprimer les fichiers ci dessous si ils sont présent :

 

C:\wp.exe

C:\wp.bmp

C:\bsw.exe

C:\Windows\System32\sites.ini

C:\Windows\System32\popuper.exe

C:\Windows\System32\hhk.dll

C:\Windows\System32\wldr.dll

C:\Windows\System32\helper.exe

C:\Windows\System32\intmon.exe

C:\Windows\System32\shnlog.exe

C:\Windows\System32\hookdump.exe

C:\Windows\System32\perfcii.ini

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\System32\msole32.exe

C:\Windows\System32\ole32vbs.exe

C:\Program Files\Search Maid

C:\Program Files\Virtual Maid

C:\Program Files\Security IGuard

C:\Program Files\Spyware Vanisher

C:\Program Files\PSGuard

 

 

Réinstaller la connexion internet sous cette session.

 

Redemarrer normalement et tiens nous informé

Modifié le 11 juillet 2005 par BipBip07

[rimbaut]

Telecharge ce fichier ici:

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

 

Démarrer en mode sans echec:

double clic sur smitfraud.reg et accepte de fusionner

 

Ensuite,

Demarrer > panneau de configuration > affichage > bureau >

ensuite remet un fond d'écran

 

> personnalisation du bureau

onglet web

supprime tout ce qui se touve là, sauf ma page d'acceuil que tu laissera décochée.

 

Repasser Ewido et ton antivirus

 

Réinstaller la connexion internet sous cette session.

euh, j'ai deja utilsé smitfraud et le fds d'ecran est passé de noir à bleu mais c'est tout.

Qd à réinstaller la connexion internet comment fait on sachant qu'elle fonctionne sur un autre utilisateur (l'autre session en fait) ??????

Redemarrer normalement et tiens nous informé

533414[/snapback]

[BipBip07]

Réinstaller la connexion internet sous cette session.

 

Tu doit avoir un CD d'installation ?

[rimbaut]

t'es multi infecté.(donc pour trojan-spy.html.smitfraud.c,c'est en dessous)

désactives la restau system,

affiches les fichiers cachés et fais une recherche de wp.exe et de wp.bmp

et tu supprimes ça.

puis regedit,edition,rechercher,donc wp.exe,decoches mot entier seulement,qd à droite de la fenetre,une ligne contenant wp.exe est trouvé tu la jartes.

puis F3 pour les valeurs suivantes.

idem opération avec wp.bmp

ensuite qd y'a plus ces valeurs,

tu vas à:

HKCU/software/microsoft/windows/current version/policies  puis tu cliques sur lr dossier system pour le selectionner.

A droite de la fenetre,tu recherche la valeur  NoDispBackgroundPage.

Si elle n'éxiste pas,tu crees une nouvelle valeur dword et tu renommes Nouvelle valeur#1 en NoDispBackgroundPage,tu doubles cliques dessus et ds la fenetre qui s'ouvre tu mets 0

tu reboots ,tu t'attribues ton fond d'écran.

un tour chez www.secuser.com,outils en ligne,et scan antivirus

tu recommences avec adaware,spybot et ton av à jour,les scans en MSE.

tu repostes un hijack.

533413[/snapback]

 

Bonjour Angelique,

1°)Comment fait on pr désactiver la restauration systeme?

2°) Si je comprends bien je lance une "recherche de ts les fichiers contenant wp.exe et wp.bmp";

3°) tu mes dis "tu vas à HKCU........ puis tu cliques sur lr dossier systeme pr le selectionner" ce dossier se nomme t'il lr dossier systeme ou autre car là je suis au boulot et j'ai regardé ds regedit et point de dossier lr ?

4°) qu'est ce que les scans en MSE ?

Merci pr ton aide à +

[Invité Stonangel]

Bonjour rimbaut, suis les indications de BipBip