[Résolu] Troyen ou Virus? A l'aide au secours

[ipl_001]

Rebonjour Savat2dwa, rebonjour à tous,

 

Les propos qui suivent ne sont pas une critique pour enfoncer Savat2dwa, ce n'est pas mon genre !

Mes lignes sont un message adressé à ceux qui conseillent de désactiver le système de restauration pour nettoyer une infection...

 

Je voudrais juste rappeler ce que j'écris périodiquement : Il ne faut pas toucher au système de restauration avant que le système soit complètement désinfecté car mieux vaut restaurer quelques malwares que ne rien pouvoir restaurer du tout !

[Savat2dwa]

C'est vrai , méa coulpa, et dans ce cas ci j'en fais les frais, j'assume mon erreur mais si je ne l'avais pas lu je ne l'aurais pas fait.

Bon eh bien maintenant que me conseillez vous?

[Sacles]

Re,

 

Si tu as déactivé la restauration, tu n'auras plus de possibilité de réaliser une restauration (effacement de tous les points de restauration lors de la désactivation).

ça il l'avait remarqué

Non, ce qu'il avait fait remarquer c'est :

 

J'ai une autre problème qui se pose c'est que j'avais désactivé la restaurarion du système pour une manip que j'avais fait et comme on ne peut l'activer qu'en mode normal ...et vu que je ne peux pas y aller, je crie, au secours!!!!

Je voudrais juste rappeler ce que j'écris périodiquement : Il ne faut pas toucher au système de restauration avant que le système soit complètement désinfecté car mieux vaut restaurer quelques malwares que ne rien pouvoir restaurer du tout !

Entièrement d'accord.

 

Cordialement

Modifié le 10 juillet 2005 par Sacles

[Savat2dwa]

Il y a quelque temps j'avais formaté le PC de mon fils qui lui a un DC XP d'installation j'avais donc choisi de réparer, mais mon cas est encore différent car j'ai acheté mon PC avec les programme deja installé, et j'ai donc du faire avec 4CD de programme de restauration (Master CD), donc dans ce cas la je ne sais pas s'il ya une option Réparation? Est ce que quelqu'un est au courant?

En tout cas vous etes tres sympas et je vous remercie tous de m'aider dans ma descente aux enfers

[ipl_001]

Rebonjour Savat2dwa, rebonjour à tous,

 

Je vois beaucoup de programmes installés dans ton système et en particulier des traces de 3 antivirus résidents : j'ai vu AntiVir, McAfee, des choses de Symantec... les as-tu installés tout récemment, depuis tes soucis ? ou tes ennuis viennent-ils de conflits entre AV ? désinstalle pour n'en garder qu'un !

 

Supprime les fichiers inutiles de ton disque par

Démarrer / Exécuter / tape CleanMgr et clique sur OK... coche toutes les cases et valide !

 

Je vois ewido qui est un excellent anti-malware, l'as-tu lancé récemment ? sinon fais le, à condition qu'il s'agisse de la version full !

 

Sinon, lance deux des programmes suivants :

Spysweeper http://www.webroot.com/downloads/?WRSID=ca...4a8c66981b574e5

Microsoft Anti-spyware http://www.microsoft.com/athome/security/s...re/default.mspx

Ad-aware se http://www.lavasoft.de/software/adaware/

Ewido http://www.ewido.net

Counterspy http://www.sunbeltsoftware.com

 

Lance au moins deux des scanners en ligne suivants :

jotti -> http://virusscan.jotti.org/

Panda Active Scan http://www.pandasoftware.com/activescan/co...n_principal.htm

House Call (Trend Micro) http://housecall.trendmicro.com/

BitDefender Free Online Virus Scan http://www.bitdefender.com/scan/licence.php

F-Secure Free Online Virus Scan http://support.f-secure.com/enu/home/ols.shtml

Symantec Security Scan & Virus Detection http://security.symantec.com/sscv6/home.as...IHKERRDTIPOKYJL

RAV AntiVirus Online Virus Scan! http://www.ravantivirus.com/scan/

Danish Antivirus scan http://www.virus112.com/index.php?page=onl...an_registration

McAfee Antivirus scan http://us.mcafee.com/root/catalog.asp?catid=free

[Savat2dwa]

Bonjour ipl 001,

Il y a une chose qui est passée a la trappe, c'est ce fameux dossier vide "Links" qui vient se mettre dans mes favoris, ca ne peut etre qu'un virus ou un troyen, non? si on pouvait l'enlever le probleme se resolverait peut etre non? le pire c'est qu'aucun antivirus ne le trouve ce "Links", je dis bien aucun.

Bien alors commencons par les antivirus, j'ai effectivement Mcafee, que je venais d'installer quand le PC a commencer a faire des siennes, je n'ai donc meme pas pu faire la mise à jour.

Quand a AntiVir, il est conseillé par Zébulon donc je l'ai téléchargé et installé comme il était dit, pensant pouvoir désinstaller Mcafee par la suite, mais ce fut impossible. Les choses de Symantec qui restent c'est juste le centre de sécurité car le log lui meme a été desinstallé il y a plusieurs mois.

Pour Ewido il y etait deja et j'ai deja fait un scan avec en MSE qui n'a pas donné grand chose.

Dis moi si je dois enlever antiVir? ou Mcafee? par contre ce dernier ne veut pas s'enlever et je ne sais pas comment l'enlever autrement que passer par ajout/suppression de programme.

ClearMgr c'est fait, et le reste également antiSpyware et scan en ligne et ils disent tous que le PC est "Sain" et pourtant il est evident qu'il est atteint et il y a cette fameuse apparition de "Links" dans les favoris. Je suis persuadé que c'est la base du mal qui est en train de rongé le PC, je ne sais pas si tu es mon avis.

J'attend la suite des opérations je ne formaterais qu'au dernier moment. Merci a toi et a tous les autres. Bonne journée

[Invité tesgaz]

Salut,

 

on va essayer de faire le ménage avant de penser à formater, ca va etre un gros ménage de printemps

 

donc, tu redémarres en mode sans echec, et tu coches toutes ces lignes ensuite tu cliquera sur fix-checked

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

 

 

O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

 

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c

O4 - HKLM\..\Run: [iSUSPM Startup] c:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

 

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

 

 

 

O8 - Extra context menu item: &Point&&Go - C:\Program Files\Fichiers communs\Expert System\PGPlatform\PGPlatform.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Masquer les images - C:\WINDOWS\web\MaskImage.htm

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm

 

O8 - Extra context menu item: Surligner en Vert - C:\WINDOWS\web\MarqueurFluoGreen.htm

 

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Micro Application Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Anti-Popup - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

 

 

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)

O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)

O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)

O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)

O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {78A730D4-0DF3-4B65-8DD2-BFCD433CEE30} - http://www.surfsecret.com/inst/PPInstaller.exe

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

 

 

 

passons aux services

 

menu démarrer, executer : services msc

tu vas sur les lignes indiquées et tu désactives ces services :

 

O23 - Service: Adobe LM Service

O23 - Service: ATI Smart

O23 - Service: Diskeeper -

O23 - Service: EPSON Printer Status Agent2

O23 - Service: ewido security suite control

O23 - Service: Service Framework McAfee

O23 - Service: Network Associates McShield

O23 - Service: Network Associates Task Manager

O23 - Service: MysqlInventime

O23 - Service: Panda Process Protection Service

O23 - Service: SmartLinkService (SLService)

O23 - Service: SymWMI Service (SymWSC)

O23 - Service: TuneUp WinStyler Theme Service

 

tant qu'on est dans les services, on va modifier le comportement de RPC

Appel de procédure distante (RPC) --> onglet récuperation --> et tu mets dans les 2 cases : ne rien faire

ensuite "appliquer"

 

maintenant, tu ouvres l'explorateur,

tu vas dans C:\Documents And Settings\Ton comptes\Favoris\ et tu supprimes le dossiers : link

 

voila, tu redémarres en mode sans echec, tu refais un log que tu conserves et que tu nous fera passer ici

 

ensuite, tu redémarres en mode normal, et tu nous dis ce qui se passe

[Savat2dwa]

Bonjour Tesgaz et bonjour a tous,

Je vais commencer a faire ce que tu as demandé mais avant tout je voudrais savoir une chose enfin 2 pour ne pas me planter encore.

Quand tu dis demarrer, executer, services msc (j'ai tapé "services msc " pour essayer mais cela ne donne rien)

ensuite une derniere chose ou se trouve l'appel de procédure distante? et comment fait on pour y aller (tu excuseras mon ignorance, mais si je ne demandes pas de précision, je vais faire des betises).

Voilà c'est les deux ponits que je voulais que tu me precises sinon je te remercie encore pour tout ainsi que toute l'equipe d'ailleurs.

[Invité tesgaz]

oui

 

c'est moi qui est fait une faute de frappe, cest : services.msc

 

l'appel de procédure distante est aussi dans les services,

[Savat2dwa]

J'y crois pas Tesgaz, je suiis en mode normal...Qu'est ce que je suis heureux dis donc...comme un gamin, Merci Tesgaz et merci a tout le monde maintenant je vais te demander un conseil, quel anti virus mettre et quel antispyware ect..

Tu ne peux pas savoir comme je suis content, je m'etais deja resigné a formater et perdre tous mes dossiers, mais Zébulon est là...Merci les mecs, je te passes le dernier Log et j'attends vos conseils.

Logfile of HijackThis v1.99.1

Scan saved at 12:10:46, on 11/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\HighjackThis\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

A tout a l'heure