Analyse SVP

[filip_net]

dans system32

[Thanos]

re

 

habituellement dans c:\windows visiblement... Et c'est bien un fichier infecté associé à l' adware Findwhatever !On va utiliser Ewido pour nettoyer=>

 

-Télécharge la version d'essai d'Ewido=>ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

Lorsque tu es passé en mode sans échec, rel-Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

[Mark]

Salut S!Ri, Charly, et salut filip_net

 

Arf... je viens juste de trouver un fix temporaire pour ce SpyFalcon, mais je vois que S!Ri a déjà ciblé le fichier responsable (dmxpp.dll). Grinler a créé un regfix en attendant la MAJ de SmitRem, alors je te suggère cette procédure (juste pour s'assurer que la bdr est propre) :

 

Si tu n'as pas encore Ewido, alors suis les instructions de Charles et télécharge-le, fais sa mise à jour, puis ferme-le pour l'instant.

 

Fais un clic-droit sur le lien suivant : FixSF.reg (de Grinler) ;

 

..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau.

 

- Redémarre en Sans Échec.

 

- Va dans "Ajout/Suppression de programmes" (Panneau de config) et désinstalle SpyFalcon s'il s'y trouve encore

 

- Double-clique FixSF.reg, et accepte la fusion.

 

- Assure-toi que ce fichier et dossier ont bien été supprimés :

C :\Windows\System32\dxmpp.dll << fichier

C:\Program Files\SpyFalcon << dossier

 

- Lance SmitRem à nouveau (double-clique RunThis.bat), et laisse-le faire son travail.

 

- Si tu n'as pas passé Ewido, alors fais un scan complet, et sauvegarde le rapport sur ton Bureau.

 

- Redémarre en mode Normal.

 

Poste un nouveau rapport HijackThis!, + rapport Ewido, + rapport de SmitRem (C:\smitfiles.txt).

[filip_net]

ok voici les 3 rapports

 

HJT

 

Logfile of HijackThis v1.99.1

Scan saved at 18:00:39, on 10/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\Program Files\Dantz\Retrospect\retrorun.exe

C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\WDBtnMgr.exe

C:\Program Files\Msn Messenger\msnmsgr.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1036

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Msn Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: Download all by Free Download Manager - file://D:\FreeDownloadManager\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download by Free Download Manager - file://D:\FreeDownloadManager\Free Download Manager\dllink.htm

O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\FreeDownloadManager\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\FreeDownloadManager\Free Download Manager\dlpage.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Program Files\Dantz\Retrospect\retrorun.exe

O23 - Service: Assistant Retrospect (Retrospect Helper) - Dantz Development Corporation - C:\Program Files\Dantz\Retrospect\rthlpsvc.exe

O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

 

_________________________________________________________________________________________

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 17:49:33, 10/02/2006

+ Somme de contrôle: D15AE0D4

 

+ Résultats du scan:

 

:mozilla.10:C:\Documents and Settings\jesus\Application Data\Mozilla\Firefox\Profiles\vu8wsxvu.Utilisateur par défaut\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.18:C:\Documents and Settings\jesus\Application Data\Mozilla\Firefox\Profiles\vu8wsxvu.Utilisateur par défaut\cookies.txt -> TrackingCookie.Hitslink : Nettoyer et sauvegarder

:mozilla.19:C:\Documents and Settings\jesus\Application Data\Mozilla\Firefox\Profiles\vu8wsxvu.Utilisateur par défaut\cookies.txt -> TrackingCookie.Hitslink : Nettoyer et sauvegarder

:mozilla.20:C:\Documents and Settings\jesus\Application Data\Mozilla\Firefox\Profiles\vu8wsxvu.Utilisateur par défaut\cookies.txt -> TrackingCookie.Hitslink : Nettoyer et sauvegarder

:mozilla.21:C:\Documents and Settings\jesus\Application Data\Mozilla\Firefox\Profiles\vu8wsxvu.Utilisateur par défaut\cookies.txt -> TrackingCookie.Hitslink : Nettoyer et sauvegarder

:mozilla.48:C:\Documents and Settings\jesus\Application Data\Mozilla\Firefox\Profiles\vu8wsxvu.Utilisateur par défaut\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.49:C:\Documents and Settings\jesus\Application Data\Mozilla\Firefox\Profiles\vu8wsxvu.Utilisateur par défaut\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

_______________________________________________________________________________________

 

 

SmitFraudFix v2.18

 

Rapport fait à 16:46:47,10 le 10/02/2006

Executé à partir de C:\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

__________________________________________________________________________________________________________

 

 

 

smitRem © log file

version 2.8

 

by noahdfear

 

 

Microsoft Windows XP [version 5.1.2600]

 

Running from

C:\1\smitRem

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Pre-run SharedTask Export

 

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)

Copyright© 2006 BleepingComputer.com

 

Registry Pseudo-Format Mode (Not a valid reg file):

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

checking for ShudderLTD key

 

ShudderLTD key not present!

 

checking for PSGuard.com key

 

 

PSGuard.com key not present!

 

 

checking for WinHound.com key

 

 

WinHound.com key not present!

 

spyaxe uninstaller NOT present

Winhound uninstaller NOT present

SpywareStrike uninstaller NOT present

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Existing Pre-run Files

 

 

~~~ Program Files ~~~

 

 

 

~~~ Shortcuts ~~~

 

 

 

~~~ Favorites ~~~

 

 

 

~~~ system32 folder ~~~

 

 

 

~~~ Icons in System32 ~~~

 

 

 

~~~ Windows directory ~~~

 

 

 

~~~ Drive root ~~~

 

 

~~~ Miscellaneous Files/folders ~~~

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 1868 'explorer.exe'

Killing PID 1868 'explorer.exe'

 

Starting registry repairs

 

Registry repairs complete

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

SharedTask Export after registry fix

 

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)

Copyright© 2006 BleepingComputer.com

 

Registry Pseudo-Format Mode (Not a valid reg file):

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Deleting files

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Remaining Post-run Files

 

 

~~~ Program Files ~~~

 

 

 

~~~ Shortcuts ~~~

 

 

 

~~~ Favorites ~~~

 

 

 

~~~ system32 folder ~~~

 

 

 

~~~ Icons in System32 ~~~

 

 

 

~~~ Windows directory ~~~

 

 

 

~~~ Drive root ~~~

 

 

~~~ Miscellaneous Files/folders ~~~

 

 

~~~ Wininet.dll ~~~

 

CLEAN!

Modifié le 10 février 2006 par filip_net

[Mark]

Bon Samedi

 

Ça me semble tout propre maintenant ; as-tu des dysfonctionnements avec la bécane ?

[filip_net]

merci pour l'aide les gars

[Thanos]

salut filip_net,QC001

 

Attends ne part pas comme ca

 

Ton pc était bien infecté , je te conseille , si tout fonctionne bien de faire ceci:

 

1)-Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

2)-Il faut nettoyer ton pc comme il faut maintenant :

 

-TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier)

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

(utilise le de temps en temps pour nettoyer le pc surtout apres désinstallation de programmes).

 

3)- Quelques conseils:

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

 

http://gerard.melone.free.fr/IT/IT-AM0.html

 

Voici les utilitaires et programmes que tu peux installer pour sécuriser ton pc:

 

-=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE! :

 

-=> E-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD

 

 

=> ZebProtect (pour sécuriser les ports de ton pc,tres simple)

 

-Tutorial:http://www.zebulon.fr/articles/zebprotect.php

-Téléchargement: http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du pc:

 

http://www.pcflank.com/

 

 

=>SpywareBlaster:

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=>Ad-awareSE

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

 

=>SpyBot-Search & Destroy

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

=>Regprot(petit utilitaire tres léger:144ko!)pour protéger ta base de registre:

http://www.diamondcs.com.au/index.php?page=regprot

 

Conserve Ewido,il est à l'essai 14 jours puis il perd certaines fonctions payantes, mais il reste efficace!Met le à jour avant de scanner ton pc.

 

Un grand merci aux masters S!ri et QC001

 

Bon surf

[Bigmak]

J'ai le même problème que "filip net", regfreeze m'a trouvé le spyware finwhatever (msswch.dll et msswchx.exe), comme j'ai que la version de démo, il ne veut pas le supprimer.

Comme vous l'avez conseillé j'ai telechargé EWIDO, mais doit-on obligatoirement passer par le mode sans échec pour pouvoir le supprimer. Car en mode "normal", il ne me le trouve même pas ...

Je suis un novice (cela se voie ) : HELP ME.

 

PS : mode sans échec c'est F....

[Bigmak]

C'est bon, grace au forum je commence à nettoyer mon PC et apparement cela fonctionne bien. En passant par le mode sans échec "EWIDO" ne m'a toujours trouvé "FINDWHATEVER" mais j'ai pu le supprimer directement dans le "système 32".

Merci @+

[tornado]

Salut Bigmak,

 

 

Est-ce que tu pourrais poster un rapport hijackthis, pour voir si "Findwhatever" a ramené quelques amis sur ton pc Je ne l'espère pas mais bon... on sait jamais

 

Sache qu'il ne faut pas seulement supprimer l'exe, mais aussi nettoyer les traces qu'il a laissé. (nettoyer registre + fichiers temporaires avec Easycleaner par exemple)