Infection !

B2oBa · le 30 novembre 2005

Bonjour !!

Je suis infecté par un virus, j' ai donc suivi la procédure de nettoyage et voici mon rapport :

Logfile of HijackThis v1.99.1

Scan saved at 18:46:40, on 30/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Tyler\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"

O4 - HKLM\..\Run: [shell32] C:\WINDOWS\System32\wuauclt10.exe

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\smmss.exe

O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\System32\wudupdate.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [system service79] C:\WINDOWS\etb\pokapoka79.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www3.photoweb.fr/telechargement/Photoweb_uploader.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Voila, merci d' avance pour votre aide

S.Birkoff · le 30 novembre 2005

Bonsoir B2oBa,

Belle infection ! Je démarre une analyse. Réponse dans un moment !

Modifié le 30 novembre 2005 par S.Birkoff

S.Birkoff · le 30 novembre 2005

Re B2oba,

Tout d'abord, télécharge les utilitaires suivants, et mets les de coté :
LQFix.exe
Ewido

[*]Lance Hijackthis, et coche les entrées suivantes :

R0 - H

K

CU\

S

oftware\Micro

s

oft\Internet Explorer\Main,Local Page =

O4 - H

K

LM\..\Run: [NeroFilterChec

k

] C:\WINDOW

S

\

s

y

s

tem32\NeroChec

k

.exe

O4 - H

K

LM\..\Run: [T

k

BellExe] "C:\Program File

s

\Fichier

s

commun

s

\Real\Update_OB\real

s

ched.exe" -o

s

boot

O4 - H

K

LM\..\Run: [Quic

k

Time Ta

s

k

] "C:\Program File

s

\Quic

k

Time\qtta

s

k

.exe" -atboottime

O4 - H

K

LM\..\Run: [Media Gateway] C:\Program File

s

\Media Gateway\MediaGateway.exe

O4 - H

K

LM\..\Run: [

s

hell32] C:\WINDOW

S

\

S

y

s

tem32\wuauclt10.exe

O4 - H

K

LM\..\Run: [Client

S

erver Runtime Proce

s

] C:\WINDOW

S

\

S

y

s

tem32\

s

mm

s

.exe

O4 - H

K

LM\..\Run: [Window

s

update] C:\WINDOW

S

\

S

y

s

tem32\wudupdate.exe

O4 - H

K

LM\..\Run: [

s

y

s

tem

s

ervice79] C:\WINDOW

S

\etb\po

k

apo

k

a79.exe

[*]Ferme toutes les fenêtres, excéptés Hijackthis, et clique sur Fix checked

[*]Lance LQFix.exe :

- Double cliquer LQfix.exe -> next -> next -> Install
- Ne pas modifier les "default settings" !

- Une connection internet est nécessaire. Aussi veiller à ce qu'aucun parefeu n'empêche le

programme de sortir.

- S'assurer que "Launch LQfix" est coché.

- Cliquer "Finish".

- Laisser le prog travailler et suivre les diverses étapes. L'ordi va redémarrer. Le redémarrage sera long, c'est normal.

[*]Assure toi d'avoir accès à tous les fichiers/dossiers cachés ( explication en image ici )

[*]Redemarre en mode sans echec et supprime les fichiers suivants si trouvés :

C:\Program Files\Media Gateway<<-- tout le dossier
C:\WINDOWS\System32\wuauclt10.exe
C:\WINDOWS\System32\smmss.exe
C:\WINDOWS\System32\wudupdate.exe
C:\WINDOWS\etb<<-- tout le dossier

[*]Recache tes fichiers/dossiers cachés pour ne pas faire de bétises plus tard

Redemarre normalement et passe un coup de CCleaner :

Télécharge CCleaner et installe le. Lance le en double cliquant sur CCleaner.exe

- Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
Clique sur Analyse
Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
Une fois le scan terminé, clique sur Lancer le Nettoyage

- Suppression des incohérence du registre

Clique sur l'icône Erreurs situés dans la marge à gauche.
Puis clique sur Analyser les erreurs
Patiente pendant que CCleaner scan ton registre.
Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
Tu peux cliquer ensuite sur Corriger les erreurs.
Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Puis effectue un scan en mode complet avec Ewido :

Télécharge la version d'essai d'Ewido ici :

<a href="http://www.ewido.net/fr/" target="_blank">http://www.ewido.net/fr/</a>

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Poste un nouveau log hijackthis pour verification, ainsi que le log d'Ewido

Bonne soirée

Birkoff

Modifié le 30 novembre 2005 par S.Birkoff

B2oBa · le 30 novembre 2005

Ok je vais pas pouvoir le faire de suite la car je vais partir mais des que c' est fait je te tiens au courant

Merci beaucoup en tout cas et bonne soirée à toi aussi

B2oBa · le 1 décembre 2005

Je viens juste de finir le nettoyage :

Logfile of HijackThis v1.99.1

Scan saved at 18:24:36, on 1/12/2005