Trojan Pipas.a

[FeIZocE]

Bonjour à tous,

 

Voilà quelques jours, et malgré la protection de mon système (je vous la dois, je n'ai rien inventé), un trojan a réussi à s'infiltrer... Et pas des moindres! Il s'agit de Pipas.a (description ici), que je n'arrive pas à supprimer car il se lance à chaque redémarrage. Les expériences le concernant ne semblent pas nombreuses, et bien que j'aie scrupuleusement suivi les démarches proposées sur d'autres forums, je le retrouve toujours après un scan SPyBot, qui me prend 3 heures. Il ralentit considérablement ma bécane, et les différents scans antivirus, antiwares, antitrojans, sur mon poste ou même en ligne, que j'ai pu faire (liste exhaustive).

 

Je me permets donc de vous demander de l'aide, car seul j'ai l'impression d'être impuissant. Ci-joint, vous trouverez les rapports FixWareOut et HiJackThis

 

FixWareOut -> Il est important de noter que malgré ce que j'ai pu en lire, il ne m'a jamais demandé de redémarrer

 

 Check for missing files
..... 
C:\WINDOWS\system32\AUTOEXEC.NT not there
..... 
End check for missing files
..... 
VXD Check
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers]
"VDD"=hex(7):52,4e,42,4f,56,44,44,2e,44,4c,4c,00,00
..... 
End vxd check
..... 

 

HiJackThis -> Je l'ai lancé à la fraîche après démarrage et sans application

 

Logfile of HijackThis v1.99.1
Scan saved at 09:04:20, on 20/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\SYSTEM32\WTablet\TabUserW.exe
C:\Program Files\4t Tray Minimizer\4t-min.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Gaim\gaim.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Par1284] C:\Program Files\HP CP1700PS RIP\Program\1284Inst.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\RunOnce: [PixelInstall] 
O4 - HKLM\..\RunOnce: [Reboot] 
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: 4t Tray Minimizer.lnk = C:\Program Files\4t Tray Minimizer\4t-min.exe
O4 - Startup: gaim.lnk = C:\Program Files\Gaim\gaim.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\WTablet\TabUserW.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O15 - Trusted IP range: 127.0.0.1
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: 212.234.111.37
O15 - Trusted IP range: http://212.234.111.37
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8892C1-0F3C-402D-8608-94CA958C7A7F}: NameServer = 85.255.116.132,85.255.112.180
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe 

 

Par avance, merci pour votre aide.

[Thanos]

salut FeIZocE

 

Voilà quelques jours, et malgré la protection de mon système (je vous la dois, je n'ai rien inventé)

etonnant! dis moi quel logiciel te dit que ton pc est infecté par Pipas.a ?

Qui t'a demandé de passer Fixwareout ?, c'est le bon tool a passer, mais les lignes de redirection de ta connexion sont toujours présentes!Si on arrive pas à les fixer avec Hijackthis, il faudra modifier les DNS manuellement(tres simple!)

 

Une question connais tu cette adresse : 212.234.111.37 =>

address: Cube Sustems

address: 88 avenue du XX=E8me Corps 54000 Nancy

 

Dans un premier temps, démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\RunOnce: [PixelInstall]

O4 - HKLM\..\RunOnce: [Reboot]

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8892C1-0F3C-402D-8608-94CA958C7A7F}: NameServer = 85.255.116.132,85.255.112.180

-Ferme tous les programmes,déconnecte toi du net et clique sur "Fix Checked"

 

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

[FeIZocE]

Merci pour ton aide, charles.

 

Dans l'ordre:

- c'est Spybot qui me détecte Pipas, me le supprime, et dès reboot, je le récupère. De plus, Spybot met 3 heures à scanner mon comp, c'est usant. Idem pour les autres antiwares, antivirus ou antitrojans.

- j'ai téléchargé fixwareout suite aux conseils d'un modo sur le forum SpyBot, qui aidait un membre à se débarasser de Pipas. À chaque fois ça a réussi, mais chez moi je ne reboote pas avec FWO

- cette adresse correspond à un spécialiste info de ma ville, sans doute la boîte qui nous a créé le réseau de connexion

 

Pour la suite, j'ai fait comme tu me l'as conseillé, sauf que j'ai finalement restauré

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8892C1-0F3C-402D-8608-94CA958C7A7F}: NameServer = 85.255.116.132,85.255.112.180

Sans elle, je ne pouvais pas me connecter.

 

Voici ma startuplist:

StartupList report, 20/03/2006, 14:19:45
StartupList version: 1.52.2
Started from : C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\SYSTEM32\WTablet\TabUserW.exe
C:\Program Files\4t Tray Minimizer\4t-min.exe
C:\Program Files\Gaim\gaim.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\communication\Menu Démarrer\Programmes\Démarrage]
4t Tray Minimizer.lnk = C:\Program Files\4t Tray Minimizer\4t-min.exe
gaim.lnk = C:\Program Files\Gaim\gaim.exe
PowerReg Scheduler V3.exe
Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\WTablet\TabUserW.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
ADUserMon = C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
Iomega Drive Icons = C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
Deskup = C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
Par1284 = C:\Program Files\HP CP1700PS RIP\Program\1284Inst.exe
nwiz = nwiz.exe /install
AVG7_CC = C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
AVG7_EMC = C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
iTunesHelper = "C:\Program Files\iTunes\iTunesHelper.exe"
Adobe Version Cue CS2 = "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
avgnt = "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
(Default) = 

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
CODEBASE = http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab

[CRAVOnline Object]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ravonline.dll
CODEBASE = http://www.ravantivirus.com/scan/ravonline.cab

[ASquaredScanForm Element]
InProcServer32 = C:\WINDOWS\DOWNLO~1\axscan.ocx
CODEBASE = http://www.windowsecurity.com/trojanscan/axscan.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\Update\AVUPDATE_441e8cf3\UPDENGVDFTEST|||P

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 7 550 bytes
Report generated in 0.109 seconds

Command line options:
  /verbose  - to add additional info on each section
  /complete - to include empty sections and unsuspicious data
  /full	 - to include several rarely-important sections
  /force9x  - to include Win9x-only startups even if running on WinNT
  /forcent  - to include WinNT-only startups even if running on Win9x
  /forceall - to include all Win9x and WinNT startups, regardless of platform
  /history  - to list version history only

 

Merci encore pour le temps que tu m'accordes.

[Thanos]

salut FeIZocE

 

Ton rapport ne montre rien d'infectieux, cependant on y voit pas les services,est il complêt?

 

Pour ce qui est de cette adresse : O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8892C1-0F3C-402D-8608-94CA958C7A7F}: NameServer = 85.255.116.132,85.255.112.180

 

il faut absolument t'en débarrasser!! le serveur qui correspond à cette adresse est localisé quelque part en Roumanie

 

Voilà ce que tu peux faire:

 

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8892C1-0F3C-402D-8608-94CA958C7A7F}: NameServer = 85.255.116.132,85.255.112.180

-Ferme tous les programmes,déconnecte toi du net et clique sur "Fix Checked".

 

*Passe par Démarrer \ Connexions\ Afficher toutes les connexions.

 

*Dans la fenêtre qui s'ouvre, repère ta connexion active , clique avec le bouton droit de ta souris sur son icône et choisis "Propriétés"

 

*Dans la fenêtre qui vient de s'ouvrir , sous le champs "Cette connexion utilise les éléments suivants"

sélectionne "Protocole Internet( TCP/IP)" et clique sur le bouton "Propriétés".

 

*La fenêtre qui vient de s'ouvrir est divisée en deux parties: dans la seconde partie, coche le bouton suivant: Obtenir les adresses des Serveurs DNS automatiquement .Assure toi que l'adresse incriminée n'y figure plus! Clique sur "OK" deux fois pour valider.Quitte les Connexions réseaux.

 

Note: je ne connais pas le nom de ton FAI, mais tu peux si tu veux mettre les adresses de DNS au lieu de cocher le bouton : Obtenir les adresses des Serveurs DNS automatiquement. Pour connaitre les adresses des serveurs =>

http://www.zonehd.net/dossier/les-dns-des-fai-haut-debit/

 

Si ca ne fonctionne pas, tu peux toujours revenir en arrière bien sûr!

 

De plus,j'aimerai si tu veux bien, que tu fasses ceci:

 

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

 

Redémarre en mode Sans Échec

 

lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...) et colle le dans ton prochain message.

 

A ce rapport de scan Ewido, ajoute un nouveau rapport hijackthis fait en mode normal.

Modifié le 20 mars 2006 par charles ingals

[FeIZocE]

Bonjour, charles ingals

 

Ton rapport ne montre rien d'infectieux, cependant on y voit pas les services,est il complêt?

Oui, il est complet. Peut-être est-ce dû au fait que je suis relié au net par un routeur d'entreprise.

 

Je me suis débarassé de l'adresse, je ne m'étais même pas aperçu que les DNS avaient été modifiés! Je les ai redisposés comme à l'origine. Merci pour le tuyau.

Par contre, la suppression de cette ligne n'a pas considérablement amélioré la lenteur de mon PC: il est un peu plus rapide, mais loin de ce qu'il était qu'avant. Je soupçonne encore la présence de malwares (du moins Pipas).

J'avais déjà téléchargé ewido qui m'avait trouvé 33 infections minimes, alors qu'aaw avait supprimé tout ce qu'il pouvait et spybot n'affichait plus que Pipas. Je pense vraiment que ce dernier est la cause de mon problème, parce qu'avant son apparition, je n'avais jamais rencontré de problème majeur avec les wares usuels. C'est comme s'il m'avait ajouté une centaine de wares d'un coup, j'en avais jamais eu autant.

 

Je suis au travail et j'ai besoin de bosser, donc je lancerai ewido en mode sans echec ce midi.

 

Merci encore pour l'intérêt que tu portes à mon cas.

[Thanos]

salut FeIZocE

 

Une petite recherche sur ce Pipas.A dans la base de registre avec Regsearch=>

 

- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle les entrées en bleu dans les lignes de la zone de recherche:

llams_ogol

ruins

- rien dans la ligne "Enter string to exclude from results"

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

-Si la manipulation ne marche pas, entre les éléments un par un.

 

Est ce que tu as un rapport de Spybot sous le coude? si oui , poste le stp.Attendons le rapport de Ewido

[FeIZocE]

J'ai scanné en mode sans échec avec ewido entre midi et 14h. Voici le rapport:

 

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le:		13:54:43, 21/03/2006
+ Somme de contrôle:	965A77DE

+ Résultats du scan:

[644] VM_00D30000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[668] VM_00D50000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1676] VM_008F0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
C:\System Volume Information\_restore{DE4A529F-98CE-4187-A0F7-08590C3BB5E5}\RP578\A0060969.dll -> Adware.Relevance : Nettoyer et sauvegarder
C:\System Volume Information\_restore{DE4A529F-98CE-4187-A0F7-08590C3BB5E5}\RP578\A0060970.exe -> Adware.WinAD : Nettoyer et sauvegarder
C:\System Volume Information\_restore{DE4A529F-98CE-4187-A0F7-08590C3BB5E5}\RP578\A0060971.dll -> Adware.WinAD : Nettoyer et sauvegarder
C:\System Volume Information\_restore{DE4A529F-98CE-4187-A0F7-08590C3BB5E5}\RP578\A0060972.dll -> Dialer.InstantAccess : Nettoyer et sauvegarder


::Fin du rapport

 

Voici également le rapport HJT en mode normal juste après redémarrage:

 

Logfile of HijackThis v1.99.1
Scan saved at 14:02:05, on 21/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\SYSTEM32\WTablet\TabUserW.exe
C:\Program Files\4t Tray Minimizer\4t-min.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Gaim\gaim.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Par1284] C:\Program Files\HP CP1700PS RIP\Program\1284Inst.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: 4t Tray Minimizer.lnk = C:\Program Files\4t Tray Minimizer\4t-min.exe
O4 - Startup: gaim.lnk = C:\Program Files\Gaim\gaim.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\SYSTEM32\WTablet\TabUserW.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O15 - Trusted IP range: 127.0.0.1
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: 212.234.111.37
O15 - Trusted IP range: http://212.234.111.37
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8892C1-0F3C-402D-8608-94CA958C7A7F}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe 

 

À noter:

Internet.

- Depuis l'installation de la dernière version de FlashPlayer (suite à faille reportée par Microsoft), j'ai des bugs d'affichage des éléments flah.

- J'ai dû réinstaller la version 1.0.7 de Firefox, car la 1.5 plantait sans en avoir l'air.

- Et concernant IE 6, j'ai toujours de la pub sur mes deux premiers liens quand je cherche un mot-clé avec Google: ça va d'IBM à un site porno, en passant par un site de rencontres ou d'immobilier. Par contre, ma page de démarrage est bien Google, et quand je tape directement une adresse je l'obtiens.

 

Logiciels.

- J'ai pu constater un ralentissement à l'enregistrement de la Creative Suite d'Adobe. Ca semble plus particulièrement toucher InDesign qui n'a jamais autant brouté à l'enregistrement, et Acrobat Reader qui est très long à l'ouverture.

- Ca ralentit grandement les anitvirus, antiwares et antitrojans sur mon PC ou en ligne, surtout Spybot.

 

Physique.

- Ca touche surtout l'imprimante. Les infos envoyées mettent beaucoup de temps.

 

J'éspère que ces éléments pourront t'aiguiller pendant que je m'attelle à tes dernières instructions. Merci pour ton aide.

[FeIZocE]

Désolé pour le temps que ça m'a pris, mais j'ai réussi à planter RegSearch (faut le faire oui). Et j'ai essayé dans tous les sens, mais le seul résultat que j'aie, c'est ce message:

- pour ruins:

Access violation at address 01DFA976. Read of address 00166000.

- pour llams_ogol:

Access violation at address 01DFA976. Read of address 0016B000.

 

Ils demandent d'être patient, pourtant le message d'erreur appraît rapidement (genre 1 à 2 mn).

[FeIZocE]

Je complète le post ci-dessus :

Sur Avira, ils indiquent que llams-ogol est enlevée. Par contre, si je supprime les clés qui sont ajoutées, est-ce que ça a des chances de marcher? Il me semble qu'il faut plutôt éradiquer le trojan, et j'ai peur de faire une connerie.

 

Voici des captures des ces clés. La bonne nouvelle c'est que ruins n'est plus dans mon registre.

Run

BrowseNewProcess

 

Merci.

[Thanos]

salut FeIZocE

 

Sur Avira, ils indiquent que llams-ogol est enlevée. Par contre, si je supprime les clés qui sont ajoutées, est-ce que ça a des chances de marcher? Il me semble qu'il faut plutôt éradiquer le trojan, et j'ai peur de faire une connerie.

Quelles clés veux tu éliminer? les captures que tu as prises ne montrent rien de mauvais ! donc pas de soucis , n'enlève rien !

 

J'attire ton attention sur ce message d'erreur généré lors du rapport de scan avec Ewido :

 

[644] VM_00D30000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[668] VM_00D50000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[1676] VM_008F0000 -> Downloader.Agent.uj : Erreur durant le nettoyage

 

Ca montre à mon avis que Wareout est toujours présent sur ton pc!Le problème, c'est que Fixwareout n'a pas été passé selon la procédure dès le début!retenton le fix comme ceci si tu veux bien =>

 

(étant donné qu'il va y avoir un redémarrage de l'ordinateur, tu as préalablement copié ces instructions dans un fichier texte)

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt

 

@+ tard