Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport d'analyse de mon amie

Liloute

Par Liloute
dans Analyses et éradication malwares

 Partager

Messages recommandés

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Ok. S'assurer de changer les options afin de voir tous les fichiers cachés (instructions de mon premier post). Elle peut redémarrer en sans échec, puis lancer HijackThis! et cocher ces lignes :

 

O4 - HKLM\..\Run: [html32 Help System] hhs32.pif

 

O4 - HKLM\..\Run: [Microsoft Command Line] wincmd.exe

O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\Run: [MS Sys Security] mswin.pif

O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe

O4 - HKLM\..\Run: [Optional Web Drivers For WIN32] phqghume.exe

 

O4 - HKLM\..\Run: [Windows System Security] sys32.pif

 

O4 - HKLM\..\RunServices: [Optional Web Drivers For WIN32] phqghume.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

O4 - HKLM\..\RunServices: [Windows System Security] sys32.pif

O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif

O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe

O4 - HKLM\..\RunServices: [html32 Help System] hhs32.pif

 

O4 - HKCU\..\Run: [soes] "C:\Program Files\ioap\ouau.exe" -vt ndrv

 

O4 - HKCU\..\RunServices: [Windows System Security] sys32.pif

O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif

O4 - HKCU\..\RunServices: [html32 Help System] hhs32.pif

 

Cliquer sur "Fix checked", puis fermer HijackThis!. Rechercher et supprimer ces fichiers (si présents):

 

C:\Windows\System32\hhs32.pif

C:\Windows\System32\msnq3insller.exe

C:\Windows\System32\mswin.pif

C:\Windows\System32\ntsys32.exe

C:\Windows\System32\phqghume.exe

C:\Windows\System32\sys32.pif

C:\Windows\System32\wininit.exe

C:\Windows\System32\wincmd.exe

C:\alc.exe

C:\Program Files\ioap << et ce dossier

 

Redémarrer en mode Normal.

====================

 

Voici un autre outil qui est essentiel à ce fix ; à télécharger par tous les moyens...lol..

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer.
  • Coche Run VundoFix as a task.
  • Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
  • Clique sur le bouton Scan for Vundo.
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  • Démarre ton PC à nouveau.
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Bon succès à vous deux :-P

 

ZUT !! Je t'avais pas vu !! :P

 

Ok-ok, on finira le ménage plus tard.

 

Allez-y avec VundiFix :P

Modifié par Qc001
Lien vers le commentaire
Partager sur d’autres sites

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Je suis désolé Liloute... J'ai tenté de répondre rapidement, mais les restrictions du forum nous limitent dans la rapidité de poster plusieurs fois, donc ma réponse se retrouve dans mon poste précédent...

 

Ok, passez VundoFix maintenant :P

Lien vers le commentaire
Partager sur d’autres sites
Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Je suis désolé Liloute... J'ai tenté de répondre rapidement, mais les restrictions du forum nous limitent dans la rapidité de poster plusieurs fois, donc ma réponse se retrouve dans mon poste précédent...

 

Ok, passez VundoFix maintenant :P

C'est pas grave, tu t'es donné déjà beaucoup de mal, c'est très gentil de ta part :P

 

Donc, là, je ne lui fais pas fixer ce que tu as posté en dernier?

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Soit elle dispose de trop peu de mémoire RAM et dans ce cas il faut ajouter une barrette, soit la mémoire virtuelle n'est pas bien réglée.

 

Cela relève plus du forum optimisation, trucs et astuces, je pense.

Combien de Mo de RAM? Il est possible de le savoir avec le logiciel Everest Home ou Aida 32.

Modifié par liegeois
Lien vers le commentaire
Partager sur d’autres sites
Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Bonsoir a tous,

 

Voici donc le rapport de VundoFix

 

VundoFix V4.2.21

Scan started at 19:24:28 05/02/2006

 

Listing files found while scanning....

Some files may be listed more then once

 

 

C:\windows\system32\yccdd.bak1

C:\windows\system32\yccdd.bak2

C:\windows\system32\yccdd.tmp

C:\windows\system32\yccdd.ini

C:\windows\system32\yccdd.ini2

C:\windows\system32\vybeg.bak1

C:\windows\system32\vybeg.bak2

C:\windows\system32\vybeg.ini

C:\windows\system32\gebyv.dll

C:\windows\system32\yccdd.ini2

C:\windows\system32\yccdd.bak2

C:\windows\system32\yccdd.tmp

C:\windows\system32\yccdd.ini

C:\windows\system32\yccdd.ini2

Attempting to delete C:\WINDOWS\qaz4.txt

C:\WINDOWS\qaz4.txt Has been deleted!

 

Attempting to delete C:\windows\system32\yccdd.bak1

C:\windows\system32\yccdd.bak1 Has been deleted!

 

Attempting to delete C:\windows\system32\yccdd.bak2

C:\windows\system32\yccdd.bak2 Has been deleted!

 

Attempting to delete C:\windows\system32\yccdd.tmp

C:\windows\system32\yccdd.tmp Has been deleted!

 

Attempting to delete C:\windows\system32\yccdd.ini

C:\windows\system32\yccdd.ini Has been deleted!

 

Attempting to delete C:\windows\system32\yccdd.ini2

C:\windows\system32\yccdd.ini2 Has been deleted!

 

Attempting to delete C:\windows\system32\vybeg.bak1

C:\windows\system32\vybeg.bak1 Has been deleted!

 

Attempting to delete C:\windows\system32\vybeg.bak2

C:\windows\system32\vybeg.bak2 Has been deleted!

 

Attempting to delete C:\windows\system32\vybeg.ini

C:\windows\system32\vybeg.ini Could not be deleted.

 

Attempting to delete C:\windows\system32\gebyv.dll

C:\windows\system32\gebyv.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

et celui fait avec HijackThis, juste après:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:32:52, on 05/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\windows\System32\svchost.exe

C:\WINDOWS\system32\wincon.exe

C:\windows\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: ATLDistrib Object - {E65DD8E2-1005-4D44-952E-016BEDB01B62} - C:\WINDOWS\System32\gebyv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: awvtt - awvtt.dll (file missing)

O20 - Winlogon Notify: ddccy - C:\WINDOWS\System32\ddccy.dll (file missing)

O20 - Winlogon Notify: mlljh - mlljh.dll (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\WINDOWS\system32\inetdns.exe (file missing)

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing)

O23 - Service: Remote Procedure Call (RPC) Locator (Locator) - Unknown owner - C:\WINDOWS\system32\wininit.exe (file missing)

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)

O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)

O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe (file missing)

O23 - Service: Super AOL instant messenger (supermsg) - Unknown owner - C:\windows\lsass2.exe (file missing)

O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

 

Ca en est où?

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Liloute, Liégeois , QC001 :P

 

Il y a eu un problème avec Vundofix on dirait puisqu'il n'a pas réussi à éliminer totalement l'infection!

 

Attempting to delete C:\windows\system32\vybeg.ini

C:\windows\system32\vybeg.ini Could not be deleted.

 

Attempting to delete C:\windows\system32\gebyv.dll

C:\windows\system32\gebyv.dll Could not be deleted.

 

Je pense que la cause de cet échec est dû à l'action du teatimer de spybot qui empêche certaines modifications!! Il faut que tu le désactive par les options de Spybot, et que tu relance le fix Vundo pour que ca fonctionne. Essaie et reposte le rapport de Vundofix + un nouveau rapport hijackthis en mode normal :P

Lien vers le commentaire
Partager sur d’autres sites
Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

salut Liloute, Liégeois , QC001 :P

 

Il y a eu un problème avec Vundofix on dirait puisqu'il n'a pas réussi à éliminer totalement l'infection!

Je pense que la cause de cet échec est dû à l'action du teatimer de spybot qui empêche certaines modifications!! Il faut que tu le désactive par les options de Spybot, et que tu relance le fix Vundo pour que ca fonctionne. Essaie et reposte le rapport de Vundofix + un nouveau rapport hijackthis en mode normal :P

 

 

Ah ok, ben je vais de ce pas lui faire désactiver Spy Bot et lui faire refaire la manip avec VundoFix & Hijackthis.... Merci d'avoir répondu Charles Ingals

A tout à l'heure :-P

Lien vers le commentaire
Partager sur d’autres sites
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Merci à Charly d'avoir pris la relève :P , et bonsoir Liloute :-(

 

Ouff... y avait du Vundo là-dedans... et en prime elle avait le rootkit qui est indiqué par ceci :

Attempting to delete C:\WINDOWS\qaz4.txt

C:\WINDOWS\qaz4.txt Has been deleted!

 

Je suis désolé de mon absence aujourd'hui, mais une importante tempête a foutu notre câblo hors de combat pendant 9 heures... :-P

 

Je constate que le fichier non détruit par VundoFix correspond à une toute nouvelle variante, non incluse dans l'outil.

 

Je contacte Atribune pour lui en faire part. Si tout va bien, l'outil sera à jour au plus tard demain, et vous pourrez le repasser avec succès.

 

Liloute : je reviendrai poster ici, lorsque l'outil sera à jour, et merci de votre patience :P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...