PC surrinfecté !!!

mike80 · le 23 septembre 2005

errur de frappe ds le dernier message :

Je NE voulais PAS que vous vous enméliez les pinceaux ....pfff....je suis fatigué ......

je me remets de mes émotions de cette semaine ...

ipl_001 · le 23 septembre 2005

Bonsoir mike80, bonsoir à tous,

salut Megataupe et Charles ingals et les autres bien sur ,

je ne pourrais effectué les manip que lundi matin au bureau mais pouvez vous me dire au moins si c'est grave ou c'est juste une question de restauration du système ?

576995[/snapback]

Non, ce n'est pas grave !

Surtout pas de restauration car les points de contrôle sont encore plus infectés que ton système !

Oublie les C:\System Volume Information\_restore pour le moment ! oublie Ewido : on s'en occupera lorsque le système lui-même (hors zone de restauration) sera propre !

BipBip07 · le 23 septembre 2005

Je n'ai pu vous répondre rapidement suite a qques petits pb de santé .
Et je viens d'apprendre que je vais etre PAPA !!!

Quel bonheur , la vie est tellement bele .......

Je crois bien que mon pC est mortellemnt infecté !!!

non ?

Félicitation et oui ton PC a une infection

Y a-t-il quelqu'un pour me répondre ? svp ?

576917[/snapback]

Sisi cela faisait un petit moment que je n'avais pas resuivi ton message... J'espere que ce n'est pas le PC que j'avias désinfecté a tes début!

Allez au boulot maintenant.

Norton 2005\Crack\snis2514\Keygen.exe -> TrojanDropper.Delf.fd
C:\RECYCLER\S-1-5-21-2273660475-864594668-2996095181-1007\Dc2.rar/Norton Internet Security 2005 FR + Crack-Par LE GAULOIS\Norton Internet Security 2005 FR + Crack-Par LE GAULOIS\Crack NIS 2005\Crack\snis2514\Keygen.exe -> TrojanDropper.Delf.fd : Erreur durant le nettoyage

Je note que tu as de mauvaises habitudes ! Il n'est pas bon d'utiliser des crack pour utiliser les logiciels payant ! car ils sont souvent piégés et source d'infection ! Si tu n'as pas les moyen je te conseil d'utiliser des logiciels gratuis notamament pour ton antivirus ... :-P

Télécharger AboutBuster

Ou la http://www.bleepingcomputer.com/files/spyw...boutBuster5.zip

Supprimer la restauration système: ( aide visuelle ):

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {B01B9E0D-C419-8FB0-E86C-22ABCC8ADA46} - C:\WINDOWS\system32\ntny.dll

O4 - HKLM\..\Run: [addeu.exe] C:\WINDOWS\addeu.exe

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appsa32.exe

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici

et supprimer les fichiers ci dessous si ils sont présent :

C:\Documents and Settings\mickael\Bureau\MICKAËL\TRAVAIL UTC MICKAEL\perso\MICKAËL\Norton 2005\

C:\WINDOWS\system32\ntny.dll

C:\WINDOWS\addeu.exe

C:\WINDOWS\appsa32.exe

C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\windows\Downloaded Program Files\ <-- supprimer tout le contenu du dossier

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.

Lancer:

Ewido;

Adaware;

Spybot;

AboutBuster: Dezip le, Lance le programme et sauvegarder le rapport et tu le postes ici.

Remettre la restauration système:

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Désélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs».

Cliquez sur Appliquer puis sur OK. Redémarre.

viens remettre un rapport AboutBuster, HJT et Ewido

issu de mon message du sujet en doublon

Thanos · le 23 septembre 2005

salut ipl,BipBip,Jack...

Mike fais gaffe à ceci =>

Security 2005 FR + Crack-Par LE GAULOIS\Norton Internet Security 2005 FR + Crack-Par LE GAULOIS\Crack NIS 2005\Crack\snis2514\Keygen.exe -> TrojanDropper.Delf.fd :

Je veux pas me la jouer chiant mais tout viens de là: en téléchargeant un log cracké

,entre autres, c'est ton DD (et les fichiers auxquels tu tiens )que tu met en danger

En noir, la cause, en rouge : l'effet!!

mike80 · le 27 septembre 2005

Salut a tous , salut Pollux , ca va ?

J'ai annalysé mon pc ( du bureau ) et voici les résultats de ewido et hijackthis :

--------------------------------------ewido----------------------------

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

+ Créé le: 09:15:44, 27/09/2005

+ Somme de contrôle: 4A70509D

+ Résultats du scan:

HKLM\SOFTWARE\Classes\WinSurferHelperWinSurferHelper\CLSID\\ -> Spyware.MyBHOSpy : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\WinSurferHelperWinSurferHelper.1\CLSID\\ -> Spyware.MyBHOSpy : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

C:\Program Files\AVPersonal\INFECTED\A0118543.EXE.VIR -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\Program Files\AVPersonal\INFECTED\APPSA32.EXE.VIR -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\appbo.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\DtcInstall.log:icyice -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\javast32.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\lqkek.log:ncqiyy -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\msmm32.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\Q817472.log:mkyyht -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\sdkpq32.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\sysic.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\system32\crqs32.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\system32\ieqq.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\system32\mfcya.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\system32\msvd.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\system32\sysux32.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\syswe.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder

::----------------------------------------Fin du rapport ewido ----------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 09:16:10, on 27/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jtytv.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jtytv.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jtytv.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jtytv.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jtytv.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jtytv.dll/sp.html#93256

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jtytv.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyweb.utc.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {38D7B7AF-8225-46C7-D3F6-14944118DEB3} - C:\WINDOWS\crsy.dll

O2 - BHO: Class - {CEAC592B-F6D3-16F9-AF51-E5B628A6E207} - C:\WINDOWS\system32\ntfd32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe

O4 - HKLM\..\Run: [HydraVisionViewport] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraMD.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [atlje.exe] C:\WINDOWS\system32\atlje.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127472494031

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkec32.exe" /s (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\Program Files\ATI Technologies\Fire GL Control Panel\atiisrgl.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab7\webserver\bin\win32\matlabserver.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

----------------------------------------------------------------------------------

C'est déjà nettement mieux ! mais est-ce finis ?

mike80 · le 27 septembre 2005

Re bonjour a tous ,

quelqu'un peut-il me dire si ces deux rapports sont bons ou pas ?

merci d'avance !

ipl_001 · le 27 septembre 2005

Bonjour mike80, Pollux_63, bonjour à tous,

Désolé de n epas être plus explicite (je donne en général tous les détails necessaires) mais je n'ai pas de temps pour t'aider en journée :

- si Ewido a bien supprimé les fichiers infectés, c'est OK

- non, ton système n'est pas propre ! Le rapport HijackThis dénote la présence de malwares !

Utilise au moins SpSeHjfix... http://gerard.melone.free.fr/IT/IT-HJT2.html#OPnq

mike80 · le 27 septembre 2005

Voila c'est chose faite , voici les rapports :

(9/27/05 13:56:19) SPSeHjFix started v1.1.2

(9/27/05 13:56:19) OS: WinXP Service Pack 1 (5.1.2600)

(9/27/05 13:56:19) Language: français

(9/27/05 13:56:19) Win-Path: C:\WINDOWS

(9/27/05 13:56:19) System-Path: C:\WINDOWS\System32

(9/27/05 13:56:19) Temp-Path: C:\DOCUME~1\mickael\LOCALS~1\Temp\

(9/27/05 13:56:22) Disinfection started

(9/27/05 13:56:22) Bad-Dll(IEP): c:\windows\jtytv.dll

(9/27/05 13:56:22) UBF: 5 - UBB: 1 - UBR: 6

(9/27/05 13:56:22) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\jtytv.dll/sp.html#93256

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\jtytv.dll/sp.html#93256

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\jtytv.dll/sp.html#93256

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\jtytv.dll/sp.html#93256

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\jtytv.dll/sp.html#93256

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\windows\jtytv.dll/sp.html#93256

deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\jtytv.dll/sp.html#93256

(9/27/05 13:56:22) Stealth-String not found

(9/27/05 13:56:22) No locked Files to delete. End without Reboot

(9/27/05 13:56:24) Disinfection started

(9/27/05 13:56:24) Bad-Dll(IEP): c:\windows\jtytv.dll

(9/27/05 13:56:24) UBF: 5 - UBB: 1 - UBR: 6

(9/27/05 13:56:24) Bad IE-pages: (none)

(9/27/05 13:56:24) Stealth-String not found

(9/27/05 13:56:24) No locked Files to delete. End without Reboot

(9/27/05 13:56:38) Disinfection started

(9/27/05 13:56:38) Bad-Dll(IEP): c:\windows\jtytv.dll

(9/27/05 13:56:38) UBF: 5 - UBB: 1 - UBR: 6

(9/27/05 13:56:38) Bad IE-pages: (none)

(9/27/05 13:56:38) Stealth-String not found

(9/27/05 13:56:38) No locked Files to delete. End without Reboot

(9/27/05 13:56:58) SPSeHjFix started v1.1.2

(9/27/05 13:56:58) OS: WinXP Service Pack 1 (5.1.2600)

(9/27/05 13:56:58) Language: français

(9/27/05 13:56:58) Win-Path: C:\WINDOWS

(9/27/05 13:56:58) System-Path: C:\WINDOWS\System32

(9/27/05 13:56:58) Temp-Path: C:\DOCUME~1\mickael\LOCALS~1\Temp\

(9/27/05 13:57:01) Disinfection started

(9/27/05 13:57:01) Bad-Dll(IEP): (not found)

(9/27/05 13:57:01) Bad-Dll(IEP) in BHO: (not found)

(9/27/05 13:57:01) UBF: 5 - UBB: 1 - UBR: 6

(9/27/05 13:57:01) Bad IE-pages: (none)

(9/27/05 13:57:01) Stealth-String not found

(9/27/05 13:57:01) Not infected->END

-----------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 13:58:17, on 27/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\sdkec32.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ATI Technologies\Fire GL Control Panel\atiisrgl.exe

C:\Matlab7\webserver\bin\win32\matlabserver.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe

C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraMD.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\atlje.exe

C:\Compaq\EAKDRV\EAUSBKBD.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE

C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE

C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =