errorsafe

[regis56]

re

 

En relisant le post je suis tombé sur ca

 

Spyware:Cookie/WinFixer No Désinfecté C:\Documents and Settings\rendu\Cookies\rendu@winfixer[2].txt

 

il reste peut etre du winfixer a enlever va voir ici

 

http://forum.zebulon.fr/index.php?showtopic=85626

 

a plus !

[Thanos]

salut philou23,regis56

 

Merci à regis56 d'avoir pris le relais Je vais faire une petite synthèse de tout ca:

 

Attention avec ce fichier : Internet.exe => ill peut s'agir du TROJAN NETSNAKE , mais il peut aussi s'agir de l'icône de sélection de lanque dans la barre des tâches. Il faut être sûr avant de l'éliminer!

 

-Fais analyser ceux ci s'il te plait pour savoir si il sont réellement infectés:

 

internat.exe dans C:\WINNT\System32probablement : lance une recherche si tu ne trouve pas!

Flash32.exe dans c:\Program Files\Flash 32

 

ici:

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

 

Ces deux lignes pas de problème ,ca n'est pas infectieux:

 

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE

 

On continue :

 

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINNT\web\related.htm=> le fichier

 

-Vide la corbeille.

 

-Fermer toutes les applications en cours et lancer Killbox

 

-Assure toi que la case "Delete on Reboot" soit cochée.

 

-dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

 

D:\WINDOWS\Downloaded Program Files\video-categorie.exe

 

-Cliquer sur la croix blanche sur fond rouge:

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre NON

 

Ainsi de suite tu entre les chemins de tout les fichiers=>

D:\WINDOWS\Downloaded Program Files\dialer.exe => le fichier

D:\WINDOWS\Downloaded Program Files\VLoading.inf => le fichier

D:\WINDOWS\Downloaded Program Files\NSupd9x.inf => le fichier

à la fin:

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.

 

Dis moi si l'opération a fonctionné.

[philou23]

Re

 

connais tu un programme du nom C-DillaCdaC11BA NON

 

Car il me semble douteux voir ici

 

http://castlecops.com/o23list-124.html

 

connait tu ce programme FLASH32 OUI

 

pareille il semble douteux voir ici

 

http://www.bleepingcomputer.com/startups/FLASH32-1716.html

 

Il y a un trojan sur ton pc internat.exe

 

voir ici

http://castlecops.com/o23list-1042.html et

http://www.sophos.com/virusinfo/analyses/trojlydrar.html

 

 

ok j en fais quoi des liens que tu as donné

 

Bon peut tu faire des scan en lignes voir ici

 

http://www.trendmicro.com/spyware-scan/

http://www.pandasoftware.fr/Activescan/Activescan.html

 

puis telecharge easycleaner ici

 

http://telechargement.zebulon.fr/147-EasyCleaner.html

 

surtout ne pas utiliser la fonction doublon !!

nettoye le registre et les inutiles

 

puis reposte un rapport hijackthis

 

Bon courage A plus !

[philou23]

Logfile of HijackThis v1.99.1

Scan saved at 17:16:03, on 09/02/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\drivers\CDAC11BA.EXE

C:\WINNT\System32\svchost.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINNT\System32\mgabg.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.exe

C:\Program Files\Flash 32\Flash32.exe

C:\WINNT\System32\PDesk\PDesk.exe

C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE

C:\WINNT\System32\internat.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\NETGEAR GA311 Adapter\GA311.exe

C:\WINNT\System32\wuauclt.exe

C:\WINNT\System32\MsiExec.exe

C:\Program Files\Tradexpert2.76\Tradexpert2.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\rendu\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Flash32] c:\Program Files\Flash 32\Flash32.exe

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: GA311 Smart Wizard Utility.lnk = C:\Program Files\NETGEAR GA311 Adapter\GA311.exe

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O12 - Plugin for .mp4: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Journal des connexions RNIS (GisdnLog) - Unknown owner - C:\Program Files\Olitec\RNIS\gisdnlog.exe" -s (file missing)

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

 

 

 

 

 

Incident Statut Analyse

Adware:adware/securityerror No Désinfecté C:\Documents and Settings\rendu\Favoris\Antivirus Test Online.url &nb sp;

Spyware:Cookie/Sextracker No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1039.txt & nbsp;

Spyware:Cookie/cs.sexcounter No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1162.txt & nbsp;

Spyware:Cookie/Bluestreak No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1222.txt & nbsp;

Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1235.txt & nbsp;

Spyware:Cookie/Sextracker No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1246.txt & nbsp;

Spyware:Cookie/Sextracker No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1247.txt & nbsp;

Spyware:Cookie/Sextracker No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1248.txt & nbsp;

Spyware:Cookie/Sextracker No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1249.txt & nbsp;

Spyware:Cookie/Doubleclick No Désinfecté C:\RECYCLER\S-1-5-21-73586283-1682526488-854245398-1000\Dc1275.txt & nbsp;

Outil indésirable:Application/Processor No Désinfecté C:\WINNT\system32\Process.exe &n bsp;

Dialer:Dialer.Gen No Désinfecté D:\WINDOWS\Downloaded Program Files\video-categorie.exe

Dialer:Dialer.YJ No Désinfecté D:\WINDOWS\Downloaded Program Files\dialer.exe &nb sp;

Adware:Adware/Vloading No Désinfecté D:\WINDOWS\Downloaded Program Files\VLoading.inf & nbsp;

Dialer:Dialer.YC No Désinfecté D:\WINDOWS\Downloaded Program Files\NSupd9x.inf &n bsp;

Spyware:Cookie/Toplist No Désinfecté D:\WINDOWS\Cookies\[email protected][2].txt

Spyware:Cookie/WebPower No Désinfecté D:\WINDOWS\Cookies\rendu@webpower[1].txt &nb sp;

Spyware:Cookie/Com.com No Désinfecté D:\WINDOWS\Cookies\[email protected][1].txt &n bsp;

Spyware:Cookie/LinkExchange No Désinfecté D:\WINDOWS\Cookies\rendu@linkexchange[1].txt ;

Dialer:Dialer.YC No Désinfecté D:\RECYCLED\Dd1.inf

Joke:Joke/Stress No Désinfecté D:\RECYCLED\Dd2.exe

Spyware:Cookie/WebPower No Désinfecté D:\SAUVEGARDEEEEEEEEEEEEEEE\Documents and Settings\M\Cookies\m@webpower[1].txt & nbsp;

Spyware:Cookie/WebPower No Désinfecté D:\SAUVEGARDEEEEEEEEEEEEEEE\Documents and Settings\Default User\Cookies\m@webpower[1].txt & nbsp;

 

 

voila les deux rapports , jai vu le mmessage de regis je remonte pour faire les manip

[regis56]

Re

 

Je suis désolé de te dire que tu est toujours infecté !

 

Les liens que je donnent servent juste a argumenter mes propos !

 

Sinon charles ingals

 

t'a donné une procédure de désinfection suis là

 

A plus !

[pitcat]

bonjour,charles ingals ;regis56;philou23

juste une remarque c'est normal ca ou pas?

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

jy connait rien en analyse hjt mais cela me perturbe

à+

[regis56]

Bonjour pitcat !

 

A priori c'est normal

 

je dirai que le rapport a du etre effectué avec 3 fenetres internet d'ouvertes !

 

A plus !

Modifié le 9 février 2006 par regis56

[Thanos]

salut pitcat

 

Ouaip ca a aussi attiré mon attention!! Je me suis dit que philou23 avait ouvert 3 pages dans IE !

 

En tout cas le chemin est bon, je veux dire que iexplore.exe est bien là ou il devrait être:

 

C:\Program Files\Internet Explorer\iexplore.exe

 

si ce " iexplore.exe " était un virus, il apparaitrait dans Msconfig dans la liste de démarrage et dans les lignes 04

 

du rapport hijackthis du même coup!

 

On va quand même demander à philou23 : est ce que tu as ouvert trois pages du navigateur IE?

 

philou23, fais analyser les fichiers internat.exe et Flash32.exe , et dis moi si tu as essayé d'utiliser killbox!

[philou23]

Fais analyser ceux ci s'il te plait pour savoir si il sont réellement infectés:

 

internat.exe dans C:\WINNT\System32probablement : lance une recherche si tu ne trouve pas!

Flash32.exe dans c:\Program Files\Flash 32

 

ici:

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

voici

 

Service load: 0% 100%

 

File: internat.exe

Status: OK

MD5 406b12788886496bd299c3f9e5e310d0

Packers detected: -

Scanner results

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found nothing

 

 

 

 

 

 

 

This is a report processed by VirusTotal on 02/09/2006 at 18:15:00 (CET) after scanning the file "Flash32.exe" file.

Antivirus Version Update Result

AntiVir 6.33.0.81 02.09.2006 no virus found

Avast 4.6.695.0 02.09.2006 no virus found

AVG 718 02.09.2006 no virus found

Avira 6.33.0.81 02.09.2006 no virus found

BitDefender 7.2 02.09.2006 no virus found

CAT-QuickHeal 8.00 02.09.2006 no virus found

ClamAV devel-20060126 02.09.2006 no virus found

DrWeb 4.33 02.09.2006 no virus found

eTrust-InoculateIT 23.71.72 02.09.2006 no virus found

eTrust-Vet 12.4.2072 02.09.2006 no virus found

Ewido 3.5 02.09.2006 no virus found

Fortinet 2.54.0.0 02.09.2006 no virus found

F-Prot 3.16c 02.07.2006 no virus found

Ikarus 0.2.59.0 02.09.2006 no virus found

Kaspersky 4.0.2.24 02.09.2006 no virus found

McAfee 4692 02.08.2006 no virus found

NOD32v2 1.1401 02.09.2006 no virus found

Norman 5.70.10 02.09.2006 no virus found

Panda 9.0.0.4 02.09.2006 no virus found

Sophos 4.02.0 02.09.2006 no virus found

Symantec 8.0 02.09.2006 no virus found

TheHacker 5.9.4.093 02.08.2006 no virus found

UNA 1.83 02.08.2006 no virus found

VBA32 3.10.5 02.09.2006 no virus found

 

 

 

oui 3 pages ie ouverte

[Thanos]

philou23, tu ne m'as pas dit si tu as essayé la manipulation avec killbox pour éliminer les fichiers:

 

D:\WINDOWS\Downloaded Program Files\dialer.exe => le fichier

D:\WINDOWS\Downloaded Program Files\VLoading.inf => le fichier

D:\WINDOWS\Downloaded Program Files\NSupd9x.inf => le fichier

D:\WINDOWS\Downloaded Program Files\video-categorie.exe

 

Ok pour internat.exe, il n'est pas infecté! ni flash32.exe

Modifié le 9 février 2006 par charles ingals