INFECTION SPYFALCON

[tornado]

Re,

 

 

Bon, on va s'occuper à présent d'Haxdoor... on s'occupera du reste des malwares en même temps:

 

 

Télécharger haxfix.exe

et le sauvegarde sur le bureau.

• Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
  
• Cocher "Create a desktop icon"
  
• Cliquer "Next"
  
• Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
  
• Cliquer "Finish"
  

Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:

1. Make logfile (créer un rapport)

2. Run auto fix (lancer la réparation en mode automatique)

3. Run manual fix (lancer la réparation en mode manuel)

E. Exit Haxfix (quitter Haxfix)

• Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
  
• Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
  
• Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
  

 

 

A+

[muzopassy]

Re,

 

ci-dessous le rapport demandé

 

HAXFIX logfile - by Marckie

--------------

25/03/2006 10:05:43,52

 

checking for ps.a3d....

ps.a3d not found

 

checking for matching notify keys....

no matching notify keys found

 

checking for matching services....

no matching services found

 

checking for matching safeboot services....

no matching safeboot services found

 

@+ )

 

Re,

Bon, on va s'occuper à présent d'Haxdoor... on s'occupera du reste des malwares en même temps:

Télécharger haxfix.exe

et le sauvegarde sur le bureau.

• Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
  
• Cocher "Create a desktop icon"
  
• Cliquer "Next"
  
• Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
  
• Cliquer "Finish"
  

Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:

1. Make logfile (créer un rapport)

2. Run auto fix (lancer la réparation en mode automatique)

3. Run manual fix (lancer la réparation en mode manuel)

E. Exit Haxfix (quitter Haxfix)

• Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
  
• Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
  
• Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
  

A+

[tornado]

Re muzopassy,

 

 

Arf, c'est bizarre... haxfix n'a rien détecté, pourtant ton rapport montre bien une infection par haxdoor (cf ligne 20) et c'est bien la nouvelle version du tool.

 

Je vais me renseigner à propos de cette fameuse ligne 20...

 

 

 

A+

Modifié le 25 mars 2006 par tornado

[tornado]

Re,

 

 

 

En attendant, applique la procédure suivante --> http://forum.zebulon.fr/index.php?showtopic=83986

 

 

Et poste un nouveau rapport hijackthis...

[muzopassy]

me revoilà Tornado et merci. Ci-dessous le rapport demandé

Logfile of HijackThis v1.99.1

Scan saved at 20:46:12, on 27/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ddnatgpnaufhvti.us/_JS/KBpbB_vUObNz...HxcMowpdmH.html

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)

O4 - HKLM\..\Run: [AOLSAV] E:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] E:\Program Files\Common Files\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "E:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RealTray] E:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "d:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [sSC_UserPrompt] E:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [cy4S] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [¢‰¸K0¨4W

}ïÁzî[8E:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁß]§ú"ü‰üžiE:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "d:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [eDonkey2000] "D:\Program Files\eDonkey2000\edonkey2000.exe" -t

O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [New.net Startup] rundll32 E:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O4 - HKLM\..\Run: [KINDFLAGFORGRIM] E:\Documents and Settings\All Users.WINDOWS\Application Data\ErrorMagsKindFlag\Soap Mail.exe

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ruleeggs] E:\DOCUME~1\PASCAL~1.ORD\APPLIC~1\32BAGS~1\Book Mpeg.exe

O4 - HKCU\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [irhs] "E:\WINDOWS\RACLE~1\dvdplay.exe" -vt yax

O4 - HKCU\..\Run: [Hmdk] E:\WINDOWS\system32\??stem\l?gonui.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = E:\Program Files\AOL 9.0a\aoltray.exe

O4 - Global Startup: AOL Compagnon.lnk = E:\Program Files\AOL Compagnon\companion.exe

O4 - Global Startup: AOL Companion.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://E:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O20 - Winlogon Notify: winbjt32 - E:\WINDOWS\SYSTEM32\winbjt32.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - E:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Iomega App Services - Iomega Corporation - E:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

 

 

@+

 

 

 

 

Re,

En attendant, applique la procédure suivante --> http://forum.zebulon.fr/index.php?showtopic=83986

Et poste un nouveau rapport hijackthis...

[Mark]

Bonsoir vous deux

 

Tornado : pourrais-tu faire analyser ce .dll chez VirusTotal ET chez Jotti s'il te plaît ? Ça me semble tout nouveau... et ça ne correspond pas tout à fait aux variantes usuelles de Haxdoor (celles-là ont 4 lettres avant le 32 ou le 16, et celle-ci en compte 6). Merci !

[tornado]

Salut muzopassy, mark

 

 

 

Désolé d'avoir répondu aussi tardivement, l'infection dont tu es victime m'était inconnue...

 

La procédure suivante nécessite un démarrage en mode sans échec, elle ne pourrait fonctionner en mode normal (cf fichiers infectieux récalcitrants):

 

 

Télécharge et installe au préalable les logiciels suivants :

 

Unlocker à cette adresse --> http://ccollomb.free.fr/unlocker/unlocker1.8.1.exe (laisse toutes les options par défaut à l'installation)

ATF-cleaner --> http://www.atribune.org/ccount/click.php?id=1

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

2/ Lance hijackthis, " do a system scan only " , puis coche la lignes suivantes (on s'occupera des autres lignes infectieuses plus tard) :

 

O20 - Winlogon Notify: winbjt32 - E:\WINDOWS\SYSTEM32\winbjt32.dll

 

 

3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

 

4/ Dans démarrer --> tous les programmes --> Unlocker ; clique sur Start Unlocker Assistant

 

Rend toi au chemin suivant via l'explorateur Windows : E:\WINDOWS\SYSTEM32

 

- Puis recherche le fichier winbjt32.dll

 

- Fais un clic droit dessus, et tu remarque qu'une nouvelle fonction est apparue: Unlocker

 

- Dans le menu déroulant, choisis effacer.

 

- Clique sur Valider

- Puis vide la corbeille

 

 

Dans le cas ou cela ne fonctionnerait pas

 

- Choisis dans le menu déroulant "renommer"

- L'assistant t'affiche normalement une fenêtre pour choisir le nouveau nom que tu souhaites attribuer au fichier incriminé.

- Met à ce moment un nom aléatoire (" bestiole " par exemple ) et clique sur valider

- Clique à nouveau sur le "valider" de la fenêtre principale... une fenêtre affiche normalement que le fichier

- Une fenêtre t'informe normalement que cela n'a fonctionné, cependant valide

- Une nouvelle fenêtre te demande si tu veux renommer le fichier au prochain redémarrage, clique sur OUI

 

 

5/ Supprime le contenu des dossiers suivants en gras (vide-les)

 

E:\WINDOWS\Temp

D:\Documents and Settings\ton nom\Local Settings\Temp

E:\Documents and Settings\ton nom\Local Settings\Temp

 

 

- Vide la corbeille

 

NB : Ne sachant pas dans quel disque dur (ou partition) se trouve ton dossier Documents and Settings, j'ai précisé de vider le dossier dans les 2 lecteurs...

 

 

 

 

6/ Nettoie ton système avec ATF-cleaner de la manière suivante:

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  
• Sous l'onglet Main, choisis : Select All
  
• Clique sur le bouton Empty Selected
  

 

 

 

7/ Redémarre en mode normal, et poste un nouveau rapport hijackthis

 

 

 

Bonne chance

 

 

(Un grand merci à Kimberly :P )

Modifié le 28 mars 2006 par tornado

[muzopassy]

RE,

 

ci-dessous le nouveau rapport

- pour info il y a deux répertoire dans temp que je n'ai pas pu enlever car dans chacun d'eux un fichier était insupprimable

- et si je regarde dans mes process j'ai toujours deux process iexplorer qui me pollue alors que je n'ai pas internet explorer d'ouvert et au bout d'un moment çà me lance des fenêtre

 

 

Logfile of HijackThis v1.99.1

Scan saved at 08:33:49, on 29/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe

d:\Program Files\AVPersonal\AVWUPSRV.EXE

E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

E:\PROGRA~1\Iomega\System32\AppServices.exe

E:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

D:\Program Files\Norton AntiVirus\navapsvc.exe

E:\WINDOWS\System32\nvsvc32.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\System32\wuauclt.exe

E:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

E:\Program Files\Common Files\AOL\ACS\AOLDial.exe

E:\Program Files\QuickTime\qttask.exe

D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

E:\Program Files\Common Files\Symantec Shared\ccApp.exe

D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

D:\Program Files\Iomega HotBurn Pro\Autolaunch.exe

E:\Program Files\MessengerPlus! 3\MsgPlus.exe

E:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\Unlocker\UnlockerAssistant.exe

E:\Program Files\Messenger\msmsgs.exe

E:\WINDOWS\System32\ctfmon.exe

e:\progra~1\intern~1\iexplore.exe

E:\WINDOWS\RACLE~1\dvdplay.exe

E:\Program Files\MSN Messenger\msnmsgr.exe

E:\WINDOWS\system32\??stem\l?gonui.exe

E:\Program Files\Common Files\AOL\1143493946\ee\AOLHostManager.exe

E:\Program Files\Common Files\AOL\1143493946\ee\AOLServiceHost.exe

E:\Program Files\AOL 9.0a\aoltray.exe

E:\Program Files\AOL Compagnon\companion.exe

e:\program files\common files\aol\1143493946\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe

E:\Program Files\Common Files\AOL\1143493946\ee\AOLServiceHost.exe

D:\Program Files\HijackThis\HijackThis.exe

E:\Program Files\AOL 9.0a\waol.exe

E:\Program Files\AOL 9.0a\shellmon.exe

E:\Program Files\Common Files\Aol\aoltpspd.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ddnatgpnaufhvti.us/_JS/KBpbB_vUObNz...HxcMowpdmH.html

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)

O4 - HKLM\..\Run: [AOLSAV] E:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] E:\Program Files\Common Files\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "E:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RealTray] E:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "d:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [sSC_UserPrompt] E:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [cy4S] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [¢‰¸K0¨4W

}ïÁzî[8E:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁß]§ú"ü‰üžiE:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "d:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [eDonkey2000] "D:\Program Files\eDonkey2000\edonkey2000.exe" -t

O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [KINDFLAGFORGRIM] E:\Documents and Settings\All Users.WINDOWS\Application Data\ErrorMagsKindFlag\Soap Mail.exe

O4 - HKLM\..\Run: [HostManager] E:\Program Files\Common Files\AOL\1143493946\ee\AOLHostManager.exe

O4 - HKLM\..\Run: [unlockerAssistant] d:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ruleeggs] E:\DOCUME~1\PASCAL~1.ORD\APPLIC~1\32BAGS~1\Book Mpeg.exe

O4 - HKCU\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [irhs] "E:\WINDOWS\RACLE~1\dvdplay.exe" -vt yax

O4 - HKCU\..\Run: [Hmdk] E:\WINDOWS\system32\??stem\l?gonui.exe

O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = E:\Program Files\AOL 9.0a\aoltray.exe

O4 - Global Startup: AOL Compagnon.lnk = E:\Program Files\AOL Compagnon\companion.exe

O4 - Global Startup: AOL Companion.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://E:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - E:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O17 - HKLM\System\CCS\Services\Tcpip\..\{DCC2B50A-0267-42A9-BE57-E25E39E47F9E}: NameServer = 205.188.146.145

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - E:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Iomega App Services - Iomega Corporation - E:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

 

 

 

 

 

Salut muzopassy, mark

Désolé d'avoir répondu aussi tardivement, l'infection dont tu es victime m'était inconnue...

 

La procédure suivante nécessite un démarrage en mode sans échec, elle ne pourrait fonctionner en mode normal (cf fichiers infectieux récalcitrants):

Télécharge et installe au préalable les logiciels suivants :

 

Unlocker à cette adresse --> http://ccollomb.free.fr/unlocker/unlocker1.8.1.exe (laisse toutes les options par défaut à l'installation)

ATF-cleaner --> http://www.atribune.org/ccount/click.php?id=1

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

2/ Lance hijackthis, " do a system scan only " , puis coche la lignes suivantes (on s'occupera des autres lignes infectieuses plus tard) :

 

O20 - Winlogon Notify: winbjt32 - E:\WINDOWS\SYSTEM32\winbjt32.dll

3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

4/ Dans démarrer --> tous les programmes --> Unlocker ; clique sur Start Unlocker Assistant

 

Rend toi au chemin suivant via l'explorateur Windows : E:\WINDOWS\SYSTEM32

 

- Puis recherche le fichier winbjt32.dll

 

- Fais un clic droit dessus, et tu remarque qu'une nouvelle fonction est apparue: Unlocker

 

- Dans le menu déroulant, choisis effacer.

 

- Clique sur Valider

- Puis vide la corbeille

Dans le cas ou cela ne fonctionnerait pas

 

- Choisis dans le menu déroulant "renommer"

- L'assistant t'affiche normalement une fenêtre pour choisir le nouveau nom que tu souhaites attribuer au fichier incriminé.

- Met à ce moment un nom aléatoire (" bestiole " par exemple ) et clique sur valider

- Clique à nouveau sur le "valider" de la fenêtre principale... une fenêtre affiche normalement que le fichier

- Une fenêtre t'informe normalement que cela n'a fonctionné, cependant valide

- Une nouvelle fenêtre te demande si tu veux renommer le fichier au prochain redémarrage, clique sur OUI

5/ Supprime le contenu des dossiers suivants en gras (vide-les)

 

E:\WINDOWS\Temp

D:\Documents and Settings\ton nom\Local Settings\Temp

E:\Documents and Settings\ton nom\Local Settings\Temp

- Vide la corbeille

 

NB : Ne sachant pas dans quel disque dur (ou partition) se trouve ton dossier Documents and Settings, j'ai précisé de vider le dossier dans les 2 lecteurs...

6/ Nettoie ton système avec ATF-cleaner de la manière suivante:

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  
• Sous l'onglet Main, choisis : Select All
  
• Clique sur le bouton Empty Selected
  

7/ Redémarre en mode normal, et poste un nouveau rapport hijackthis

Bonne chance

(Un grand merci à Kimberly :P )

[tornado]

Re,

 

 

 

Beau boulot Muzopassy La ligne 20 a disparu de ton log

 

J'aimerais savoir une chose : Es-tu parvenu à supprimer directement winbjt32.dll avec Unlocker ?

 

Pour tes différents problème, je peux dire que c'est "presque" normal, car tu es toujours infecté, même si on s'est débarassé de l'une des infections...

 

Sinon, je ne vois plus la présence de ces lignes:

 

 

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O4 - HKLM\..\Run: [New.net Startup] rundll32 E:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

 

Les aurais-tu fixé ? Aurais-tu entre temps appliqué une procédure pour éliminer Newdotnet ( désinstallation+hijackthis+suppression du dossier+Uninstallnewdotnet )

 

Si c'est le cas, signale-le moi, car j'ai tenu compte dans ta procédure que tu es toujours infecté par Newdotnet... et je pourrais l'éditer.

 

 

 

Je prépare une procédure, réponse dans 20 min (voire davantage)

Modifié le 29 mars 2006 par tornado

[tornado]

Re,

 

 

 

Ton pc a été infecté par plein de méchants malwares et en particulier par Lop, qui correspond aux sponsors installés avec Messenger plus. On va le désinstaller, mais la prochaine fois que tu installes Messengerplus, décoche la case des sponsors à l'installation...

 

 

La procédure se divisera en plusiseurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier wordpad (pour garder les mots en gras, la présentation, afin de ne pas être perdu), car elle est assez longue, et tu ne pourras pas y accéder en mode sans échec...

 

 

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

Et télécharge (seulement, n'installe/ne lance pas tout de suite les applications suivantes):

 

- Lopremover à cette adresse --> http://clairvoyant.p2pforum.it/tools/lopremover.zip et dézippe le dossier

- Fixistbar --> http://securityresponse.symantec.com/avcenter/FxIstbar.exe

- UninstallNewdonet --> http://www.new.net/support/uninstall6_38.exe

- Lspfix --> http://www.cexx.org/lspfix.htm

 

 

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

 

 

2/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" :

 

- ISTsvc

- New.net ou Newdonet (si il est toujours présent)

- Messengerplus

- eDonkey2000 => sûrement une des sources de tes différentes infections... les logiciels de p2p en sont une. Lis cet article pour t'en rendre compte --> http://forum.zebulon.fr/index.php?showtopic=85544

 

 

 

 

3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ddnatgpnaufhvti.us/_JS/KBpbB_vUObNz...HxcMowpdmH.html

 

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RealTray] E:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [cy4S] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [¢‰¸K0¨4W

}ïÁzî[8E:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁß]§ú"ü‰üžiE:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe

O4 - HKLM\..\Run: [eDonkey2000] "D:\Program Files\eDonkey2000\edonkey2000.exe" -t

O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [KINDFLAGFORGRIM] E:\Documents and Settings\All Users.WINDOWS\Application Data\ErrorMagsKindFlag\Soap Mail.exe

O4 - HKCU\..\Run: [irhs] "E:\WINDOWS\RACLE~1\dvdplay.exe" -vt yax

O4 - HKCU\..\Run: [Hmdk] E:\WINDOWS\system32\??stem\l?gonui.exe

O4 - HKCU\..\Run: [ruleeggs] E:\DOCUME~1\PASCAL~1.ORD\APPLIC~1\32BAGS~1\Book Mpeg.exe

O4 - HKCU\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\MSN Messenger\msnmsgr.exe" /background

 

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll

 

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

 

 

 

 

 

- Fais "fix checked"

 

 

 

 

 

4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

 

 

5/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore)

 

 

- E:\Documents and settings\PASCAL~1.ORD\Application data\32BAGS~1\Book Mpeg.exe

- E:\Documents and Settings\All Users.WINDOWS\Application Data\ErrorMagsKindFlag

 

- E:\Program Files\ISTsvc

- E:\Program Files\New.net

- E:\Program Files\MessengerPlus! 3

 

- E:\WINDOWS\oltdv.exe

- E:\WINDOWS\RACLE~1\dvdplay.exe

- E:\WINDOWS\system32\??stem\l?gonui.exe

 

 

- Vide la corbeille

 

 

 

 

 

6/ Exécute lopremover pour supprimer les restes de l'infection par Lop

 

 

 

 

7/ Lance ensuite Fixistbar et clique sur "Start". Un rapport du scan est alors créé dans le même répertoire de l'.exe, tu le posteras à la fin de la procédure

 

 

 

 

 

8/ Exécute UninstalleNewdonet

 

NB : Si tu perds ta connexion au redémarrage en mode normal, lance Lspfix et suis les instructions... et redémarre à nouveau

 

 

 

 

 

9/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

 

10/ Fais un scan avec Ewido:

 

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

 

 

 

11/ Répète l'étape 8/

 

 

 

 

 

12/ Redémarre en mode normal, poste le rapport de fixistbar , celui d'ewido ainsi qu'un nouveau rapport hijackthis

 

 

 

 

 

 

 

Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

 

A+

Modifié le 29 mars 2006 par tornado