virus

[clis]

bonjour tous le monde

voila je me dirige vers vous car il me semblerais etre infecter par le virus ou cheval de troie win32.bube.m

plusieur programme antivirus ne l'appel pas pareil .

apres avoir fait qq analyse en ligne (panda, trend micro, kaspersky)

+ mon antivirus resident antivir freeware, et avast freeware aussi (qui se trouve sur l'autre systeme exploitation), j'arrive tjrs pas a m'en debarasser.

j'ai fait du nettoyage avec hijackthis sur qq .exe que j'avais reperer qui n'avais pas lieux etre la, (procedure preconiser suivi)

pi voila hai hai hai

toujours infecter!!!

.....s.o.s ......

qu'est ce que je peux faire s'il vous plait ?

[angelique]

postes ton rapport hijack

 

ps:tes scans ont été realisés en mode sans echec???

Modifié le 16 septembre 2005 par angelique

[clis]

bonjour angelique,

d'abord merci de bien vouloir m'aider,

j'ai 2 windows d'installer (un sur C: et un autre sur D:)

C: est sein je l'appel " le propre"

D: est le labo et c'est la qu'il y a un bleme

oui j'ai scanner avec antivir (resident de D:) en mode sans echec, il a rien pu faire

j'ai scanner avec avast (resident de C:) il a supprimer qq infection...

avec hijackthis qq .exe comme "popcorn320.exe" " cool.exe"

mais .....

apres tous ca, retour sur le net pour faire des scan en ligne

et resultat , il me reste "explorer.exe" et "Operating system" de contaminer

j'ai comparer les 2 explorer.exe de C: et D:

et j'ai rien trouver

seul chose C'est que celui de C: pese 984ko et celui de D: 988ko

voila le rapport hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 10:59:24, on 16/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] D:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123491966309

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://zone.msn.com/bingame/feed/default/SproutLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/isan/default/popcaploader_v6.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...581/mcfscan.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

et si besoin

 

1er --> rapport de panda en ligne

Virus:W32/Admincash.F Disinfected Operating system Virus:W32/Admincash.F Disinfected D:\WINDOWS\explorer.exe Virus:W32/Admincash.F Disinfected D:\WINDOWS\ServicePackFiles\i386\explorer.exe Virus:W32/Admincash.F Disinfected D:\WINDOWS\sys3920.exe Virus:W32/Admincash.F Disinfected D:\WINDOWS\system32\dllcache\explorer.exe Virus:W32/Admincash.F Disinfected D:\WINDOWS\system32\svc.exe Virus:W32/Admincash.F Disinfected D:\WINDOWS\system32\sys3920.exe

 

et apres nettoyage 2eme scan en ligne chez panda

Virus:W32/Admincash.F Disinfected Operating system

Virus:W32/Admincash.F Disinfected D:\WINDOWS\explorer.exe

 

j'aurais une question a propos d'une ligne dans hijackthis SVP

en mode normal je tombe sur cette ligne et je sais pas dutout a quoi elle correspond

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0E28557-3DD5-4E35-AD04-847417F4A6D1}: NameServer = 80.118.192.112 80.118.196.42

 

merci pour ton aide

[Jack_Burton]

Bonjour clis, j analyse ton rapport réponse dans un petit moment

[clis]

merci bien Jack_Burton

[Jack_Burton]

Re

 

Je ne vois rien d infectueux sur ton rapport, juste quelques lignes superflues :

Tu peux fixer ces lignes suivantes :

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

 

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123491966309

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://zone.msn.com/bingame/feed/default/SproutLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/isan/default/popcaploader_v6.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...581/mcfscan.cab

 

j'aurais une question a propos d'une ligne dans hijackthis SVP

en mode normal je tombe sur cette ligne et je sais pas dutout a quoi elle correspond

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0E28557-3DD5-4E35-AD04-847417F4A6D1}: NameServer = 80.118.192.112 80.118.196.42

 

 

C est juste la ligne qui correspond a ton réseau ou a ta connexion internet faite manuellement.

 

 

Je vois 2 antivirus sur ton rapport, penses a en désinstaller un, car 2 antivirus qui travaillent en meme temps ne font pas mon ménage.

Modifié le 16 septembre 2005 par Jack_Burton

[Pollux_63]

salut.

 

Pour cette ligne

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0E28557-3DD5-4E35-AD04-847417F4A6D1}: NameServer = 80.118.192.112 80.118.196.42

http://www.dnsstuff.com/tools/whois.ch?ip=...2+80.118.196.42

--> légitime

 

je jette un oeil sur le reste du rapport.<== correction: ben non, Jack a été le plus rapide

Modifié le 16 septembre 2005 par Pollux_63

[clis]

ok merci

[Jack_Burton]

ah désolé pollux, j avais pas vu que tu étais également sur ce post. Vraiment désolé.

[Pollux_63]

ah désolé pollux, j avais pas vu que tu étais également sur ce post. Vraiment désolé.

572641[/snapback]

T'inquiète pas, ya pas de mal. Tant que clis a la réponse à son log... c'est tout ce qui compte