Demande d'analyse de HijackThis

tornado · le 8 février 2006

Re,

Pour ces 3 fichiers:

- rbldnvx.exe

- MSWSA32.exe

- nrbfxxim.exe

As tu fait une recherche manuelle ou avec l'outil recherche de Windows ?

Essaie avec ce dernier en changeant quelques paramètres dans la recherche:

- Recherche "tous les fichiers et tous les dossiers

- Dans le champ "rechercher dans", sélectionne "Disques durs locaux"

- Dans "options avancées", et le champ "types de fichier", séléctionne "tous les fichiers et dossiers"

- Toujours dans "options avancées", coche TOUTES les cases:

- Et tapes le nom exact du fichier dans le champ "une partie ou l'ensemble du nom du fichier"

- Recherche puis supprime les fichiers trouvés avec la killbox (en recopiant le chemin du fichier par exemple)

De plus va dans Msconfig, puis décoche la case:

MSWSA32

-Valide puis redémarre

A+

Modifié le 8 février 2006 par tornado

Zarbi · le 9 février 2006

Hello, toujours impossible de mettre la main sur ces fichiers :

- rbldnvx.exe

- MSWSA32.exe

- nrbfxxim.exe

J'avais fait une recherche manuelle ET avec windows.

Là j'ai essayé avec tes paramètres (la case rechcerh dans les dossiers cachés n'était pas activée et celle sur la sauvegarde sur bande non plus), je n'ai rien trouvé non plus (dommage, car là j'avais pu télécharger la KillBox qui a un nom qui me parle...).

J'ai également été dans le MSCONFIG et ai désactivé MSWSA32.exe et j'ai redémarré. Ensuite je suis retournée voir dans le MSCONFIG et il me me l'avait remis en me proposant un démarrage sélectif. Du coup je l'ai supprimé à nouveau et ai forcé le démarrage normal, sans toutefois redémarrer le PC (histoire qu'il ne revienne pas à la situation initiale).

Bon là, j'en suis à un stade où je me pose une question : est-ce que ça vaut la peine d'essayer encore (quelles sont nos chances de sauver le PC ?), ou alors je peux formater le disque C: (j'ai une double partition avec D: pour les données), réinstaller Windows XP et les services packs 1-2, mettre Zone Alarm et AVG et prier pour que cette fois ça tienne. :-P Qu'en penses-tu ?

A+

pear · le 9 février 2006

Hello, toujours impossible de mettre la main sur ces fichiers :

- rbldnvx.exe

- MSWSA32.exe

- nrbfxxim.exe

J'avais fait une recherche manuelle ET avec windows.

Là j'ai essayé avec tes paramètres (la case rechcerh dans les dossiers cachés n'était pas activée et celle sur la sauvegarde sur bande non plus), je n'ai rien trouvé non plus (dommage, car là j'avais pu télécharger la KillBox qui a un nom qui me parle...).

J'ai également été dans le MSCONFIG et ai désactivé MSWSA32.exe et j'ai redémarré. Ensuite je suis retournée voir dans le MSCONFIG et il me me l'avait remis en me proposant un démarrage sélectif. Du coup je l'ai supprimé à nouveau et ai forcé le démarrage normal, sans toutefois redémarrer le PC (histoire qu'il ne revienne pas à la situation initiale).

Bon là, j'en suis à un stade où je me pose une question : est-ce que ça vaut la peine d'essayer encore (quelles sont nos chances de sauver le PC ?), ou alors je peux formater le disque C: (j'ai une double partition avec D: pour les données), réinstaller Windows XP et les services packs 1-2, mettre Zone Alarm et AVG et prier pour que cette fois ça tienne. Qu'en penses-tu ?

A+

Bonjour,

Avec un peu de chance, ces fichiers devraient être lancés par une clé Run.

Télécharger Starter sur ce site.

Il devrait pouvoir vous les trouver et les désactiver.

Concernant le le formatage que vous envisagez, il vous faut savoir que, contrairement à ce que l'on croit généralement, cela ne tue pas les saletés et en particulier les virus de boot.

Il est vrai que vous ne semblez pas en avoir.

Mais , je vous assure qu'il ne faut le faire qu'en dernier recours.

Pear

tornado · le 9 février 2006

Salut pear, Zarbi,

Avec un peu de chance, ces fichiers devraient être lancés par une clé Run
Télécharger Starter sur ce site.

Il devrait pouvoir vous les trouver et les désactiver.

.

Très bonne idée Pear

Cela permettrait également de localiser l'emplacement du programme malveillant au démarrage...

-Télécharge "starter" ---> http://telechargement.zebulon.fr/185-Starter.html

-Une fois installé, dans le petit panneau de gauche "section", va d'abord dans "all sections"

-Le programme " MSWSA32.exe " s'affiche normalement. Fais un clic droit sur celui-ci puis va dans "propriétés du fichier". Le chemin de celui ci s'affiche normalement... Copie le dans le champ "Full path of file to delete" de la killbox puis supprime (coche la ligne "delete on reboot" puis supprime comme indiqué dans mes posts précédents)

-Redémarre

-Relance "starter", puis va cette fois ci dans "Registre"--->"tous les utilisateurs---> "Run" et supprime la clé qui correspond à MSWSA32.exe (clic droit sur celles ci puis "effacer")

-Puis dans "dans tous les utilisateurs"--> "RunServices", les programmes "rbldnvx.exe" et nrbfxxim.exe doivent normalement apparaître. Copie leur chemin puis supprime les avec la Killbox (comme pour l'autre fichier). Redémarre pour chaque fichier supprimé.

Quand tu auras fait tout ça, fais un nouveau scan Hijackthis puis poste le rapport.

Modifié le 9 février 2006 par tornado

Zarbi · le 9 février 2006

Salut Pear, salut Tornado, merci pour votre persévérance !!!

Ok je laisse tomber le formatage et je poursuis pleine d'espoir...

J'ai lancé Starter, bonne nouvelle d'abord, dans "all sections", je vois MSWSA32.exe, mais quand je vais dans "propriétés du fichier", devine ce que j'ai ????!!!!! : "fichier non trouvé". Donc pas possible de le mettre dans la Killbox.

Ensuite dans "registre", je vais sous "run" et à nouveau y'a rien pour MSWSA32.exe.

J'ai seulement deux éléments : avgnt et SpySweeper.

Est-ce bon signe que ce fameux MSWSA32.exe ait disparu ?

Sinon pour la suite YOUPI FORMIDABLE, je vois dans RUNServices les programmes rbldnvx.exe (Telnet24) et nrbfxxim.exe (DGam processor).

Mais tu crois pas... dans "propriétés du fichier", j'ai à nouveau "fichier non trouvé". Par contre, à côté des deux fichiers, il y a un "vu" dans la case sous "élément"... si ça te parle...

Du coup, je poste un nouveau scan Hijackthis, mais je ne vois pas ce qui aurait pu changer...

Logfile of HijackThis v1.99.1

Scan saved at 23:06:37, on 09.02.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\etc\dlls\s.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\drivers\etc\dlls\explorer.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ch\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ch\msntb.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\RunServices: [DGam prosessor] rbldnvx.exe

O4 - HKLM\..\RunServices: [Telnet24] nrbfxxim.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

Dernière info, demain, c'est le jour initialement prévu pour mon accouchement, alors sûr je vais revenir, mais possible que ça me prenne quelques jours :-P Enfin pour l'heure, moins d'alerte chez moi que dans mon ordi !!!

A+

tornado · le 9 février 2006

Salut zarbi,

Tu vas pas être surprise mais le rapport mentionne toujours la présence de ces satanés fichiers introuvables...

Bon laisse tomber avec la Killbox, fais un clic droit sur chaque fichier incriminé puis fais "effacer". Mais là, pas sûr que ça fonctionne...

Après les avoir effacés avec starter, redémarre. Fais un nouveau scan hijackthis puis poste le rapport généré.

Je viens de remarquer quelque chose: MSWSA32.exe a disparu de ton log Plutôt bizarre car tu n'es pas parvenue à le supprimer. Enfin tente la manip avec starter et on verra bien...

Sinon, delldomains n'a pas fait son boulot correctement. Lance hiajckthis ; "do a system scan only" et coche les lignes suivantes:

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

-Fais "fix checked" puis redémarre

Bonne chance

Modifié le 9 février 2006 par tornado

Zarbi · le 10 février 2006

Hello Tornado,

Alors je lance Starter, je supprime les deux fichiers fantômes. Je redémarre et là : MIRACLE !

Ils n'apparaissent plus dans les "RunServices".

Ensuite j'ai lancé Hijackthis, mais comme y'a encore une ligne à supprimer, je te poste le dernier rapport en l'état actuel.

Logfile of HijackThis v1.99.1

Scan saved at 06:49:31, on 10.02.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\etc\dlls\s.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\drivers\etc\dlls\explorer.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\CodeStuff\Starter\Starter.exe