Nid à Spyware

[comval]

Bonjour,

 

Nouveau venu ici, je suis un peu perdu, merci d'avance à tous ceux qui voudront bien m'aider !

Voilà, j'ai acheté récemment d'occasion un PC ultra portable sur OS Windows 2000.

A peine connecté à Internet via Free, j'ai attrapé un spyware ou malware ou trojan (!!) dont je n'arrive pas à me débarrasser, et qui m'ouvre tout le temps des pop upspendant que je navigue.

 

Ci dessous le log HiJack sur ouverture en mode sans échec :

Logfile of HijackThis v1.99.1

Scan saved at 16:53:53, on 16/03/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\system32\userinit.exe

C:\WINNT\Explorer.EXE

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 212.83.149.119 Home/Brother Internet/FR

O1 - Hosts: 212.83.149.119 Home.brother.fr

O1 - Hosts: 212.83.149.121 fw-brother

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [DadApp] C:\Program Files\DELL\AccessDirect\dadapp.exe

O4 - HKLM\..\Run: [CD-Eject Launcher V1] "C:\Program Files\CD-Eject Launcher V1\CDEJECT.EXE"

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Aesmnnrsd] C:\WINNT\SYSTEM32\eyenedumi.exe

O4 - HKLM\..\Run: [igamatu] ekor.exe

O4 - HKLM\..\Run: [ddf] ddf.exe

O4 - HKLM\..\Run: [keyboard] C:\\keyboard2.exe

O4 - HKLM\..\Run: [mousepad] C:\\mousepad2.exe

O4 - HKLM\..\Run: [NewFrn] C:\WINNT\newfrn.exe

O4 - HKLM\..\Run: [newname] C:\\newname2.exe

O4 - HKLM\..\RunServices: [igamatu] ekor.exe

O4 - HKLM\..\RunServices: [ddf] ddf.exe

O4 - HKCU\..\Run: [igamatu] ekor.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: Uninstall - C:\WINNT\system32\lvj2091oe.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\YnJvdGhlcg\command.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINNT\wscntify.exe

 

Et le log HiJack suite à lancement normal et navigation internet :

Logfile of HijackThis v1.99.1

Scan saved at 16:41:33, on 16/03/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\cisvc.exe

C:\WINNT\YnJvdGhlcg\command.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\wscntify.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\pctspk.exe

C:\WINNT\system32\hkcmd.exe

C:\WINNT\system32\PRPCUI.exe

C:\Program Files\DELL\AccessDirect\dadapp.exe

C:\Program Files\CD-Eject Launcher V1\CDEJECT.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\DELL\AccessDirect\DadTray.exe

C:\WINNT\system32\ekor.exe

C:\keyboard2.exe

C:\mousepad2.exe

C:\WINNT\newfrn.exe

C:\WINNT\system32\ekor.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 212.83.149.119 Home/Brother Internet/Fr

O1 - Hosts: 212.83.149.119 Home.brother.fr O1 - Hosts: 212.83.149.121 fw-brother

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [DadApp] C:\Program Files\DELL\AccessDirect\dadapp.exe

O4 - HKLM\..\Run: [CD-Eject Launcher V1] "C:\Program Files\CD-Eject Launcher V1\CDEJECT.EXE"

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Aesmnnrsd] C:\WINNT\SYSTEM32\eyenedumi.exe

O4 - HKLM\..\Run: [igamatu] ekor.exe

O4 - HKLM\..\Run: [ddf] ddf.exe

O4 - HKLM\..\Run: [keyboard] C:\\keyboard2.exe

O4 - HKLM\..\Run: [mousepad] C:\\mousepad2.exe

O4 - HKLM\..\Run: [NewFrn] C:\WINNT\newfrn.exe

O4 - HKLM\..\Run: [newname] C:\\newname2.exe

O4 - HKLM\..\RunServices: [igamatu] ekor.exe

O4 - HKLM\..\RunServices: [ddf] ddf.exe

O4 - HKCU\..\Run: [igamatu] ekor.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\l4r00e9meh.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\YnJvdGhlcg\command.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINNT\wscntify.exe

 

Inutile de préciser que je n'ai pas la moindre idée pour déchiffrer tout cela, malgré un essai de compréhension des explications fournies sur le site...

Merci d'avance si vous pouvez m'aider!

[pitcat]

bonjour et bien venue sur zeb-secu

as tu appliquer cette procedure avant de poster ton hijackthis

si c'est non je te conseille de le faire.

http://forum.zebulon.fr/index.php?showtopic=83986

de meme tu doit deplacer ton repertoire de hijackthis à la racine de ton dd

par exemple C:\hijackthis

parce que tel qu'il est la, tu perd tes sauvegardes de hijackthis.

ensuite une fois la procedure de pres netoyage effectue repost un log hijacthis ici

à+

ps d'autre part tu est effectivement infecte et il me semble que tu n'est pas d'antivirus ni pare-feux.

Modifié le 16 mars 2006 par pitcat

[tornado]

Salut comval, pitcat ,

 

 

 

Ton log est très infecté... (Look2me et pleins d'autres méchants malwares ).

 

Fais ce que t'a conseillé pitcat (la procédure+déplacement d'hijackthis) et poste un nouveau rapport hijackthis.

 

 

Bonne chance

 

 

 

NB : Une chose me "choque" dans ton rapport. Je ne vois ni antivirus, ni pare-feu . Je te conseille de garder Antivir après la procédure préliminaire et d'installer un pare-feu tel que Zonealarm, afin de ne pas être infecté au cours de la désinfection.

 

Tu peux télécharger Zonealarm ici --> ftp://zebulon.fr/zlsSetup_61_744_000_fr.exe

 

...et le configurer à l'aide de ce tuto --> http://www.zebulon.fr/articles/configurationZA_1.php

Modifié le 16 mars 2006 par tornado

[Mark]

Tornado, Pitcat, bonsoir comval, toutes et tous ;

 

Juste une remarque au passage, car je ne serai pas en ligne beaucoup aujourd'hui :

 

Tornado, si tu attaques ce log ; garde L2M pour la fin... fais un bon nettoyage avant (Service Command, HJT + suppressions de fichiers, et Ewido en sans échec..).

 

Bonne continuation

[comval]

Ouf, me revoilou, tout d'abord merci de vos différentes réponses et de votre aide.

J'ai donc fait toutes les étapes du lien de pitcat.

La seule modif apportée au pré-nettoyage conseillé a été d'ouvrir le système sur Administrateur car il s'agit de ma session courante.

Antivir m'a trouvé plus de 40 alertes...

 

Ci-dessous le log de HiJack après tout ça :

Logfile of HijackThis v1.99.1

Scan saved at 18:55:08, on 16/03/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\cisvc.exe

C:\WINNT\YnJvdGhlcg\command.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\pctspk.exe

C:\WINNT\system32\hkcmd.exe

C:\WINNT\system32\PRPCUI.exe

C:\Program Files\DELL\AccessDirect\dadapp.exe

C:\Program Files\CD-Eject Launcher V1\CDEJECT.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\DELL\AccessDirect\DadTray.exe

C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE

C:\Program Files\HiJackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 212.83.149.119 Home/Brother Internet/FR

O1 - Hosts: 212.83.149.119 Home.brother.fr

O1 - Hosts: 212.83.149.121 fw-brother

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [DadApp] C:\Program Files\DELL\AccessDirect\dadapp.exe

O4 - HKLM\..\Run: [CD-Eject Launcher V1] "C:\Program Files\CD-Eject Launcher V1\CDEJECT.EXE"

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ddf] ddf.exe

O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe

O4 - HKLM\..\Run: [newname] C:\\newname2.exe

O4 - HKLM\..\Run: [installed] 237

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKLM\..\RunServices: [igamatu] ekor.exe

O4 - HKLM\..\RunServices: [ddf] ddf.exe

O4 - HKCU\..\Run: [igamatu] ekor.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: Run - C:\WINNT\system32\ktpml7711.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\YnJvdGhlcg\command.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINNT\wscntify.exe (file missing)

 

 

 

Et si ca peut servir, le log d'Antivir, il y a des docs qu'il n'a pas pu ouvrir...

Start of the scan: jeudi 16 mars 2006 18:29

 

 

Start scanning boot sectors:

 

Boot sector 'C:'

[NOTE] No virus was found!

Boot sector 'A:'

[NOTE] In the drive 'A:' no data medium is inserted!

 

Starting to scan the registry.

 

C:\WINNT\SYSTEM32\eyenedumi.exe

[DETECTION] Is the Trojan horse TR/Proxy.Ranky.s.1

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\eyenedumi.exe

[DETECTION] Is the Trojan horse TR/Proxy.Ranky.s.1

C:\WINNT\SYSTEM32\ekor.exe

[DETECTION] Contains signature of the worm WORM/SdBot.YV

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\ekor.exe

[DETECTION] Contains signature of the worm WORM/SdBot.YV

C:\mousepad2.exe

[DETECTION] Is the Trojan horse TR/Click.VB.LI.10

[iNFO] The file was deleted!

C:\mousepad2.exe

[DETECTION] Is the Trojan horse TR/Click.VB.LI.10

C:\WINNT\newfrn.exe

[DETECTION] Is the Trojan horse TR/Click.VB.IS.2

[iNFO] The file was deleted!

C:\WINNT\newfrn.exe

[DETECTION] Is the Trojan horse TR/Click.VB.IS.2

C:\WINNT\SYSTEM32\ekor.exe

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\ekor.exe

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\kutav.exe

[DETECTION] Contains signature of the worm WORM/SdBot.35129.1

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\kutav.exe

[DETECTION] Contains signature of the worm WORM/SdBot.35129.1

C:\WINNT\SYSTEM32\ekor.exe

[WARNING] The file could not be opened!

 

The registry was scanned ( 27 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\gotya.exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.Q.6

[iNFO] The file was deleted!

C:\MTE3NDI6ODoxNg.exe

[DETECTION] Is the Trojan horse TR/Dldr.Small.buy.1

[iNFO] The file was deleted!

C:\stub_113_4_0_4_0.exe

[DETECTION] Is the Trojan horse TR/Dldr.TSUpdate.O

[iNFO] The file was deleted!

C:\WINNT\wnplayer.exe

[DETECTION] Contains signature of the worm WORM/SdBot.45594.5

[iNFO] The file was deleted!

C:\WINNT\wscntify.exe

[DETECTION] Contains signature of the worm WORM/SdBot.XD.269

[iNFO] The file was deleted!

C:\WINNT\DH.dll

[DETECTION] Is the Trojan horse TR/Click.Small.JF.1

[iNFO] The file was deleted!

C:\WINNT\wallpap.exe

[DETECTION] Is the Trojan horse TR/Click.Agent.GP

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\ktpml7711.dll

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\mvcuia32.dll

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\atidoma.exe

[DETECTION] Contains signature of the dropper DR/SdBot.104880

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\ipoci.exe

[DETECTION] Contains signature of the worm WORM/SdBot.35129.1

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\dosiriko.exe

[DETECTION] Contains signature of the dropper DR/Proxy.Ranky.Z.23

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\dupeziver.exe

[DETECTION] Contains signature of the worm WORM/SdBot.YV

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\wnplayer.exe

[DETECTION] Contains signature of the worm WORM/SdBot.45594.5

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\payloing.dat

[DETECTION] Contains signature of the worm WORM/SdBot.45594.5

[iNFO] The file was deleted!

C:\WINNT\SYSTEM32\d60m0gd1e60.dll

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\SOFTWARE.LOG

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\DEFAULT.LOG

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\SECURITY

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\SYSTEM.ALT

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\SAM

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\SAM.LOG

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\SYSTEM

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\SOFTWARE

[WARNING] The file could not be opened!

C:\WINNT\SYSTEM32\CONFIG\DEFAULT

[WARNING] The file could not be opened!

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\P1HHGNZ8\drupdate[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.Adload.Q.6

[iNFO] The file was deleted!

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\P1HHGNZ8\MTE3NDI6ODoxNg[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.Small.buy.1

[iNFO] The file was deleted!

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\P1HHGNZ8\stub_113_4_0_4_0[1].exe

[DETECTION] Is the Trojan horse TR/Dldr.TSUpdate.O

[iNFO] The file was deleted!

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT1GDAUM\mousepad1[1].exe

[DETECTION] Is the Trojan horse TR/Click.VB.LI.9

[iNFO] The file was deleted!

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT1GDAUM\mousepad2[1].exe

[DETECTION] Is the Trojan horse TR/Click.VB.LI.10

[iNFO] The file was deleted!

C:\Documents and Settings\All Users\Documents\dosiriko.exe

[DETECTION] Contains signature of the dropper DR/Proxy.Ranky.Z.23

[iNFO] The file was deleted!

C:\Documents and Settings\All Users\Documents\atidoma.exe

[DETECTION] Contains signature of the dropper DR/SdBot.104880

[iNFO] The file was deleted!

C:\Documents and Settings\Administrateur\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: jeudi 16 mars 2006 18:44

Used time: 14:53 min

 

The scan has been done completely.

 

1087 Scanning directories

94202 Files were scanned

25 viruses and/or unwanted programs was found

25 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1618 Archives were scanned

42 Warnings

0 Notes

 

 

Merci encore de votre aide, pitié, ditez-moi que ça va mieux qu'au début!!

(par contre, suite à redémarrage, les pop-ups reviennent illico

[tornado]

Salut comval, Qc001 (merci pour tes conseils )

 

 

 

Tu n'as toujours pas installé de pare-feu...

 

 

Bon, je prépare une procédure, réponse dans 15 min

 

 

 

A+

Modifié le 16 mars 2006 par tornado

[comval]

Yep, sorry, vous avez posté vos seconds conseils pour l'install d'un pare feu et d'Activir pendant que je n'étais plus connecté pour faire le pré-nettoyage !

Entre temps, j'ai installé Kerio, je l'avais sur une autre machine, donc je savais mieux le configurer !

Et j'ai réinstallé antivir!

 

En tout cas, merci de votre aide !

Par ailleurs, je ne pourrais pas utiliser tes précieux conseils avant demain, je dois me déconnecter maintenant...

Donc pas de souci si tu ne poste ton tutoriel 'anti-truc et machin que j'ai chopé' que demain, merci encore...

[tornado]

Re,

 

 

La procédure se divisera en plusiseurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être).

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

- AtfCleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

 

 

2/ Dans "démarrer" --> "exécuter" ---> tape " services.msc " (sans les guillemets)

- Recherche le service Command Service (cmdService)

- Double clique dessus puis dans "types de démarrage", sélectionne "désactivé"

- Valide

 

- Répète la manip avec le service security centre (windows security centre)

 

 

 

- Puis dans "exécuter", tape cette fois ci "cmd" (sans les guillemets)

- Tape la commande présente dans l'espace code:

 

sc delete Command Service 

 

- Valide

 

- Fais la même chose avec la commande suivante :

 

sc delete security centre

 

 

 

 

3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

O4 - HKLM\..\Run: [ddf] ddf.exe

O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe

O4 - HKLM\..\Run: [newname] C:\\newname2.exe

O4 - HKLM\..\Run: [installed] 237

O4 - HKLM\..\RunServices: [igamatu] ekor.exe

O4 - HKLM\..\RunServices: [ddf] ddf.exe

O4 - HKCU\..\Run: [igamatu] ekor.exe

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

 

 

 

 

- Fais "fix checked"

 

 

 

4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

 

5/ Recherche et supprime les fichiers en gras via l'explorateur Windows (si ils existent encore)

 

- C:\WINNT\SYSTEM32\ekor.exe

- C:\keyboard3.exe

- C:\newname2.exe

- 237

- ddf.exe

- C:\WINNT\YnJvdGhlcg\command.exe

- C:\WINNT\wscntify.exe

 

 

 

- Vide la corbeille

 

 

NB: Les fichiers n'indiquant pas leurs chemins sont probablement situés dans C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir cocher toutes ces cases dans les options avancées.

 

 

 

 

6/ Nettoie ton système avec Jv16 powertools, Easycleaner et ATF-cleaner

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

ATF Cleaner

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

 

7/ Fais un scan avec Ewido:

 

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

 

8/ Répète l'étape 6/

 

 

 

9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis

 

 

 

Bonne chance

 

 

PS pour les conseillers en sécurité : J'émet quelques doutes pour cette ligne :

O4 - HKLM\..\Run: [CD-Eject Launcher V1] "C:\Program Files\CD-Eject Launcher V1\CDEJECT.EXE

 

Je trouve pratiquement aucune info sur le programme correspondant, ni sur l'.exe...

 

Qu'en pensez vous ?

Modifié le 16 mars 2006 par tornado

[pitcat]

re

tornado

j'ai trouver ca pour CD-Eject Launcher V1

http://www.liaokai.com/cracks1e.htm

pas trop envie d'approfondir

à+

[Mark]

Salut Tornado

 

Ça va faire du bien ce nettoyage !!

 

Juste un petit commentaire au sujet de la commande sc : elle ne fonctionne que sous XP (pas 2000...), mais tu pouvais pas le savoir !! Quand tu l'utilses sous XP avec Command, tu dois faire faire ceci :

 

sc stop cmdservice [valide]

sc delete cmdservice [valide]

 

Le sc stop remplace la technique manuelle avec services.msc >> Stopper et Désactiver. Utilise cmdservice plutôt que Command Service, car la commande ne reconnaît que ce qui apparaît entre paranthèses dans le log HJT

 

Comval : les instructions de Tornado sont bonnes, sauf quelques petits changements à l'étape #2 que voici:

 

2/ Dans "démarrer" --> "exécuter" ---> tape " services.msc " (sans les guillemets)

- Recherche le service Command Service (cmdService)

- Double clique dessus, clique le bouton "Arrêter", puis dans "types de démarrage", sélectionne "désactivé"

- Valide

 

- Répète la manip avec service security centre (windows security centre)

 

Maintenant, lance HijackThis! et clique "Open the Misc Tools section", puis sur le bouton "Delete an NT Service..." ; dans la nouvelle fenêtre, tape ceci dans la boîte : cmdservice et clique Ok. Ferme HijackThis!.

 

3/ Relance HijackThis!, et la suite...