Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Nid à Spyware

comval

Par comval
dans Analyses et éradication malwares

 Partager

Messages recommandés

comval Power Member

comval

Posté(e)
  • Auteur
Posté(e)

Re,

 

Voilà, l'outil a tourné correctement (je pense)...

Le log :

 

Look2Me-Destroyer V1.0.11

 

Scanning for infected files.....

Scan started at 17/03/2006 20:02:18

 

Infected! C:\WINNT\system32\lvj6091se.dll

Infected! C:\WINNT\SYSTEM32\mgrd2x40.dll

Infected! C:\WINNT\SYSTEM32\mummoh.dll

Infected! C:\WINNT\SYSTEM32\k6jslg1716.dll

Infected! C:\WINNT\SYSTEM32\dmsshlex.dll

Infected! C:\WINNT\SYSTEM32\serobj.dll

Infected! C:\WINNT\SYSTEM32\mwpmsp.dll

Infected! C:\WINNT\SYSTEM32\lvj6091se.dll

Infected! C:\WINNT\SYSTEM32\hrn8055ue.dll

Infected! C:\WINNT\SYSTEM32\tepmon.dll

 

Attempting to delete infected files...

 

Attempting to delete: C:\WINNT\system32\lvj6091se.dll

C:\WINNT\system32\lvj6091se.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\mgrd2x40.dll

C:\WINNT\SYSTEM32\mgrd2x40.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\mummoh.dll

C:\WINNT\SYSTEM32\mummoh.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\k6jslg1716.dll

C:\WINNT\SYSTEM32\k6jslg1716.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\dmsshlex.dll

C:\WINNT\SYSTEM32\dmsshlex.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\serobj.dll

C:\WINNT\SYSTEM32\serobj.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\mwpmsp.dll

C:\WINNT\SYSTEM32\mwpmsp.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\lvj6091se.dll

C:\WINNT\SYSTEM32\lvj6091se.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\hrn8055ue.dll

C:\WINNT\SYSTEM32\hrn8055ue.dll Deleted successfully!

 

Attempting to delete: C:\WINNT\SYSTEM32\tepmon.dll

C:\WINNT\SYSTEM32\tepmon.dll Deleted successfully!

 

Making registry repairs.

 

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SharedDLLs

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{64FD0E63-2EE2-4836-A89E-983375C1A0F7}"

HKCR\Clsid\{64FD0E63-2EE2-4836-A89E-983375C1A0F7}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{83C20A3C-6801-455D-9123-89F4FC86B041}"

HKCR\Clsid\{83C20A3C-6801-455D-9123-89F4FC86B041}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{188F6588-4476-403D-A97C-3291A46AC9A9}"

HKCR\Clsid\{188F6588-4476-403D-A97C-3291A46AC9A9}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{729308C9-D705-4346-A3E8-430DEB03E826}"

HKCR\Clsid\{729308C9-D705-4346-A3E8-430DEB03E826}

 

Restoring Windows certificates.

 

Replaced hosts file with default windows hosts file

 

 

Restoring SeDebugPrivilege for Administrateurs - Succeeded

 

 

Et le HijackThis! suivant :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:06:49, on 17/03/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\System32\cisvc.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\mspmspsv.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\pctspk.exe

C:\WINNT\system32\hkcmd.exe

C:\WINNT\system32\PRPCUI.exe

C:\Program Files\DELL\AccessDirect\dadapp.exe

C:\Program Files\CD-Eject Launcher V1\CDEJECT.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\DELL\AccessDirect\DadTray.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\HiJackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/?.intl=us

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [DadApp] C:\Program Files\DELL\AccessDirect\dadapp.exe

O4 - HKLM\..\Run: [CD-Eject Launcher V1] "C:\Program Files\CD-Eject Launcher V1\CDEJECT.EXE"

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Salut,

 

 

Le fix a en effet bien marché :P Te voilà débarassé de Look2me.

 

 

 

Maintenant, fais le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php

(Fonctionne sous IE) :

 

- Installe le contrôle activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, sauve le rapport puis colle-le dans ton prochain post

 

 

 

 

A+ :P

Modifié par tornado
comval Power Member

comval

Posté(e)
  • Auteur
Posté(e) (modifié)

Re,

Panda n'arrive pas à scanner mon disque.

Il s'ouvre, "ActiveScan has startedYou are about to start the scan and get a second opinion on the security of your PC.

Please wait a moment while ActiveScan completes the download."

 

Il télécharge 100% de l'active X, puis ne fait plus rien...

Est-ce qu'il faut que je désinstalle AntiVir avant de le faire tourner?

 

Par contre, je n'ai plus de pop-ups dès que je meconnecte à internet, on tient le bon bout !

Modifié par comval
comval Power Member

comval

Posté(e)
  • Auteur
Posté(e)

Re,

 

Tornado, tu es d'une patience angélique !

Ce n'est pas fini :

rapport Kaspersky :

 

Total d'objets analysés : 18941

Nombre de virus trouvés 1

Nombre d'objets infectés 4

Nombre d'objets suspects 0

Durée de l'analyse 00:29:39

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT1GDAUM\DR140306[1].exe/data0002 Infecté: Trojan-Clicker.Win32.Small.jf ignoré

 

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AT1GDAUM\DR140306[1].exe NSIS: infecté - 1 ignoré

 

C:\DR140306.exe/data0002 Infecté: Trojan-Clicker.Win32.Small.jf ignoré

 

C:\DR140306.exe NSIS: infecté - 1 ignoré

 

Analyse terminée.

 

Merci d'avance!

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re comval,

 

 

Kaspersky a trouvé quelques bestioles, mais rien de méchant.

 

 

 

Télécharge CCleaner (c'est un nettoyeur similaire à Easycleaner, mais complémentaire) --> http://www.ccleaner.com/ccdownload.asp Télécharge et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

 

 

1/ Redémarre en mode sans échec

 

 

2/ Vide le contenu du dossier suivant en gras :

 

 

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files

 

 

Puis supprime le fichier suivant :

 

C:\DR140306.exe

 

 

- Vide la corbeille

 

 

 

3/ Nettoie ton système avec CCleaner, de la manière suivante

 

Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

  • Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
  • Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
  • Clique sur Analyse
  • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
  • Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

  • Clique sur l'icône Erreurs situés dans la marge à gauche.
  • Puis clique sur Analyser les erreurs
  • Patiente pendant que CCleaner scan ton registre.
  • Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
  • Tu peux cliquer ensuite sur Corriger les erreurs.
  • Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

(merci à s.birkoff)

 

 

 

4/ Redémarre en mode normal, fais à nouveau le scan de Kaspersky et poste le rapport du scan

 

 

 

 

Bonne chance :P

Modifié par tornado
comval Power Member

comval

Posté(e)
  • Auteur
Posté(e) (modifié)

Re,

ET YOUPI..........!!!!!!!!!!!!!!!!!!! :P:P:-P

"L'analyse est terminée.

Pas de logiciel malveillant détecté. Les sections analysées sont SAINES."

 

Et un dernier HiJacKThis! :

Logfile of HijackThis v1.99.1

Scan saved at 23:32:54, on 17/03/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\System32\cisvc.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\mspmspsv.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\pctspk.exe

C:\WINNT\system32\hkcmd.exe

C:\WINNT\system32\PRPCUI.exe

C:\Program Files\DELL\AccessDirect\dadapp.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\DELL\AccessDirect\DadTray.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\HiJackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/?.intl=us

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [DadApp] C:\Program Files\DELL\AccessDirect\dadapp.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

 

 

Tornado, merci pour tout, j'ai un portable super clean je pense, je vais pouvoir recommencer à naviguer sans heurts !

Merci, merci, merci !!!

Et hip, hip, hip, hourra !!! (oui, je sais, j'en fais beaucoup, mais c'est à la hauteur de la tache réalisée !!!

 

A+

Modifié par comval
tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Re Comval,

 

 

 

Ton système est désormais propre :P

 

Tornado, merci pour tout, j'ai un portable super clean je pense, je vais pouvoir recommencer à naviguer sans heurts !

 

Nan, pas exactement... je vois que tu utilises IE comme navigateur. Mais celui a des failles de sécurité non corrigées, gère les contrôles activex souvents porteurs de malwares etc etc... la liste est longue.

 

Je te conseille Firefox comme navigateur alternatif et sécurisé :

 

- pour le télécharger: http://www.mozilla-europe.org/fr/

- pour encore plus le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Tu vas voir, tu vas vite t'y faire :P

 

A+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...