Rapport d'analyse de mon amie

[Liloute]

Hummm je viens de lui faire installer Zone Alarme...impossible, ca met que le service "True Vector" doit etre désactivé......???

[Liloute]

On laisse tomber zone alarme étant donné que c une version d'essai

[Mark]

Salut Liloute, et merci d'avoir fait remonter ta discussion...

 

Je vois que vous deux avez des soucis avec la version d'essai de ZA ? Alors installez plutôt la version gratos, que vous trouverez ici :

http://download.zonelabs.com/bin/free/3301..._737_000_fr.exe

 

Désolé pour l'énorme délai de réponse pour ta copine. Je me suis trop dispersé ces derniers jours. Je poste les prochaines manips d'ici quelques heures. Merci de ton énorme patience...

[Liloute]

Salut Liloute, et merci d'avoir fait remonter ta discussion...

 

Je vois que vous deux avez des soucis avec la version d'essai de ZA ? Alors installez plutôt la version gratos, que vous trouverez ici :

http://download.zonelabs.com/bin/free/3301..._737_000_fr.exe

 

Désolé pour l'énorme délai de réponse pour ta copine. Je me suis trop dispersé ces derniers jours. Je poste les prochaines manips d'ici quelques heures. Merci de ton énorme patience...

 

 

Comme je te l'ai déjà dis, c'est nous qui te remercions!

[Mark]

De retour...

 

Ok : le rapport de Silent Runners ne montre rien d'anormal (à part un service), et BlackLight ne voit rien, lui non plus. Ça m'encourage !

 

Je me demande si ton amie ne se réinfecte pas entre les manips, en visitant un site malicieux ou bien en ouvrant un fichier ou pièce jointe infectée... difficile de diagnostiquer à distance. On continue à leur taper dessus donc

 

Je vais lui faire mettre l'outil eScan à jour, puis elle va le repasser (en Sans Échec). Va falloir imprimer ces instructions avant de poursuivre. Je ne posterai pas les instructions à nouveau, mais je vais vous demandez de suivre les mêmes instructions de ce poste-ci :

http://forum.zebulon.fr/index.php?s=&showt...ndpost&p=666983

 

...à partir de l'Étape 2, sous-section 2.) ("Double-clique sur le Poste de travail...")

 

Après redémarrage, poste le rapport de eScan, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. On y verra plus clair avec ces rapports tout frais

[Liloute]

Bonsoir!!

Bon, pour ce qui est de la manip avec Escan: impossible, ca donne un message d'erreur aussi bien en normal qu'en sans échec!

Mais voici quand meme un rapport HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 00:27:35, on 22/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\windows\csrss.exe

C:\windows\system32\snddrv.exe

C:\windows\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\windows\krnl386.exe

C:\windows\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\mnswpr.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\notepad.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\mnswpr.exe

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd10.exe

O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames10.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WRNotifier - C:\windows\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: Windows Service Manager (csrss) - Unknown owner - C:\windows\csrss.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: windows virus scanner (windows antivirus) - Unknown owner - C:\windows\nav32.exe (file missing)

O23 - Service: windows kernel 386 (windows kernel) - Unknown owner - C:\windows\krnl386.exe

 

Qui a t il a fixer?? (le max de choses si ca peut rendre son pc + fluide )

 

Par contre, elle m'a dit que son pc été ok quand elle n'allait pas sur le Net, mais dés qu'elle met la connexion, les alertes de l'anti virus fusent...

Je n'y connais rien, mais je pense que l'installation d'un pare feu devient très urgent là loool.

Donc jlui fais installer dés que j'ai les fix pour Hijackthis

A + tard & merci

[Thanos]

salut liloute

 

C'est le pc dont le rapport de scan hijackthis apparait plus haut??

Aie! Il faut absolument mettre un parefeu!! les cochonneries vont s'accumuler sur le disque dur, et elle risque le formatage!Les infections présentes sur le pc peuvent communiquer librement sur le net et rappatrier d'autres infections....il faut installer le firewall avant d'aller sur le net, ou ne pas se connecter à internet le temps de la désinfection!

 

Si Zone alarm ne fonctionne pas essaie ceux ci=>

 

Par exemple:

 

-pour télécharger kério:

http://www.sunbelt-software.com/Kerio-Download.cfm

-son tutorial:

http://www.vulgarisation-informatique.com/kerio.php

 

-pour télécharger Sygate:

http://www.symantecstore.com/dr/v2/ec_main...CACHE_ID=203890

-son tutorial:

http://geeksasylum.free.fr/articles/reseau...ate5/part01.htm

 

Je vais tenter de faire avancer les choses(pardon à QC001 d'avance )

 

-Télécharge EasyCleaner de Toni Helenius(installe le dans son dossier)

 

-Télécharge la version d'essai d'Ewido=>ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

 

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\mnswpr.exe

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd10.exe

O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames10.exe

 

O23 - Service: Windows Service Manager (csrss) - Unknown owner - C:\windows\csrss.exe

O23 - Service: windows virus scanner (windows antivirus) - Unknown owner - C:\windows\nav32.exe (file missing)

O23 - Service: windows kernel 386 (windows kernel) - Unknown owner - C:\windows\krnl386.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\windows\csrss.exe=>le fichier(attention à ne pas confondre avec "csrss.exe" qui se trouve dans C:\windows\System32 !!

-C:\windows\nav32.exe=>le fichier

-C:\windows\krnl386.exe=>le fichier

-C:\windows\winsysupd10.exe=>le fichier

-C:\gimmygames10.exe=>le fichier

-C:\mnswpr.exe=>le fichier

 

-Vide la corbeille.

 

*vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant:Windows Service Manager (csrss)

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

 

-Fais la même chose avec ces services=>

windows virus scanner (windows antivirus)

windows kernel 386 (windows kernel)

Quitte les services.

 

*vas dans le menu démarrer executer et tu tapes :cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc delete csrss

 

Un message t'avertis du succès de l'opération.

 

-Fais la même chose avec ces services=>

sc delete windows antivirus

sc delete windows kernel

*Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification+ rapport Ewido stp!

Modifié le 22 février 2006 par charles ingals

[Liloute]

oui oui c'est le meme pc sur tous les rapports de ce topic pkoi??

[Thanos]

comme je te le dit,le fait que ce pc n'ait pas de firewall l'expose à un rapatriement de tous les malwares!!

De nouvelles infections risquent d'apparaitre...!

[Liloute]

Oui oui demain kério sera sur ce pc, par contre, tu me demandes de lui faire utiliser Ewido, mais sa version d'essai est périmée, elle la supprimée..... comment on fait??