Infecté par W32.Gael.3666 ou Gaelicum ou Tenga.

[Pikoku]

Bonsoir,

 

Suite à une infection par W32.Gael.3666, j'ai essayé de désinfecter mon PC avec CleanUp-40 puis Ewido.

Passage ensuite à Spybot SD1.4, puis à HijackThis, dont le log suit.

D'après le tuto, tout parait normal, mais je ne suis pas un pro des processus !

Qu'en pensez-vous ?

Y a t'il autre chose que le Gael.3666 ?

Le "O20 - AppInit_DLLs: sockspy.dll" me paraît louche, mais dans un autre forum ou site, on me dit que ce serait un processus de Bitdefender ... Qu'en pensez-vous ?

 

Merci d'avance.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:29:51, on 08/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Softwin\BitDefender8\bdswitch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

c:\program files\softwin\bitdefender8\bdmcon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\Olivier\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [bDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{C0E36DA8-A0C6-42D5-864F-0FC54E51EEF0}: NameServer = 213.36.80.1 213.36.80.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{E8D20720-25B3-44B8-A05E-AC80E7DA0B27}: NameServer = 192.168.0.1,0.0.0.0

O20 - AppInit_DLLs: sockspy.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

[Jack_Burton]

Salut,

 

Sujet en double : http://forum.zebulon.fr/index.php?showtopic=84256

 

Arrete de faire des discussions en double je te prie! Merci

[Pikoku]

Bonsoir !

 

Je te remercie pour ta réponse.

Effectivement, c'est en double... mais le sujet est plus évocateur comme cela.

 

Bonne nuit.

[Thanos]

salut Pikoku,Jack

Effectivement, c'est en double... mais le sujet est plus évocateur comme cela.

Je vois pas en quoi c'est plus évocateur par contre ca donne du boulot au modérateur....

Continue de répondre sur ce post s'il te plait ,n'en crée pas d'autre pour le même sujet!

 

Bon ton rapport ne montre pas d'infection,et je te confirme que "sockspy.dll" appartient bien à Bitdefender.

 

 

est ce que t as des problèmes avec le pc?

[Pikoku]

Bonsoir CharlesIngals !

 

Merci pour ta réponse et la bonne nouvelle !

 

Effectivement, mon PC avait à la suite de ce post encore 2 soucis :

 

1 souci de "rasautou", que j'ai désactivé en allant ds le Panneau de configuration, Outils d'administration, Services, Gestion de connexion automatique d'accés distant, Type de démarrage : Désactivé, Statut du service : Arrêté.

 

et 1 souci de PC qui Gèle encore de temps en temps quand IE6 et OE6, (le couple infernal ! ) sont lancés en même temps. Ce n'est pas à tout les coups ... ce n'est pas au bout d'un temps déterminé, et c'est pénible ! -> rien vu au niveau matériel (condos carte-mère, ventilo carte vidéo, mémoire, ...).

 

Connaitrais-tu un utilitaire de récupération des fichiers vérolés ?

 

Merci d'avance !

 

@+

[Thanos]

salut Pikoku

 

Connaitrais-tu un utilitaire de récupération des fichiers vérolés ?

Quest ce que tu veux dire exactement par récupération ? Des fichiers effacés par erreur?

[Pikoku]

Salut Charles Ingals !

 

Non, en fait, comme cette cochonnerie (il faut rester poli !) se rajoute à la fin des exécutables, je voulais savoir s'il existait un utilitaire de "dévérolage" qui enlève des fichiers originaux le virus qui s'est répliqué à la fin (tous les AVirus que je connais effacent les fichiers concernés ou les mettent en quarantaine) et je n'ai trouvé d'outil dédié sur aucun des sites des éditeurs de logiciels Avirus ...

[mediaforest]

Je vois pas en quoi c'est plus évocateur par contre ca donne du boulot au modérateur....

Continue de répondre sur ce post s'il te plait ,n'en crée pas d'autre pour le même sujet!

Salut Charles, au risque de te décevoir Pikoku a raison, car c'est bien ce post que j'ai trouvé en recherchant gaelicum alors que l'autre...

 

En tout cas moi aussi je suis infecté par ce virus, depuis 4 mois, et bien que je scanne régulièrement mon pc, il revient toujours. Ce qui est bizarre c'est que AVG ne le détecte jamais, il n'identifie que les exécutables "vérolés" et est incapable de les néttoyer. Il faut dire qu'en général ces fichiers sont tronqués à peu près à 60Ko.

Je continue à chercher une solution, puisqu'elle ne se trouve pas ici