Win32 trojano et gen

[thebear]

[RESOLU]

Modifié le 12 mai 2006 par thebear

[tornado]

Salut thebear et bienvenue sur zébulon ,

 

 

 

Ton rapport montre de multiples signes d'infections, mais on va y remédier, ne t'inquiète pas

 

Avant toute manip de désinfection, tu dois suivre avec assiduité la procédure de pré-nettoyage --> http://forum.zebulon.fr/index.php?showtopic=83986

 

Quand tu l'auras appliqué, n'oublie pas de faire un nouveau scan hijackthis en mode normal , puis poste le rapport.

 

 

 

Petite remarque:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:56:23, on 19/04/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

 

Ton système n'est pas à jour... tu n'as pas installé le sp2, qui corrige de nombreuses failles de sécurité. C'est sûrement l'une des raisons des tes nombreuses infections.

A moins que tu n'ais pas installé le sp2 volontairement, et que tu appliques les "fix" de substitution... mais j'en doute

 

 

Tu mettras à jour Windows après la désinfection, quand le système sera propre.

 

 

 

 

 

Bon courage

Modifié le 19 avril 2006 par tornado

[thebear]

Salut thebear et bienvenue sur zébulon ,

Ton rapport montre de multiples signes d'infections, mais on va y remédier, ne t'inquiète pas

 

Avant toute manip de désinfection, tu dois suivre avec assiduité la procédure de pré-nettoyage --> http://forum.zebulon.fr/index.php?showtopic=83986

 

Quand tu l'auras appliqué, n'oublie pas de faire un nouveau scan hijackthis en mode normal , puis poste le rapport.

Petite remarque:

Ton système n'est pas à jour... tu n'as pas installé le sp2, qui corrige de nombreuses failles de sécurité. C'est sûrement l'une des raisons des tes nombreuses infections.

A moins que tu n'ais pas installé le sp2 volontairement, et que tu appliques les "fix" de substitution... mais j'en doute

Tu mettras à jour Windows après la désinfection, quand le système sera propre.

Bon courage

 

 

MERCI TORNADO J'APPLIQUE TES CONSEILS DE SUITE ET JE TE POSTE LE RAPPORT !

[thebear]

Cher TORNADO,

Voici mon dernier rapport après exécution de la méthode de prénettoyage...

Un grand merci!

J'attends ton analyse avec impatience!

[thebear]

Cher TORNADO,

Voici mon dernier rapport après exécution de la méthode de prénettoyage...

Un grand merci!

J'attends ton analyse avec impatience!

 

Logfile of HijackThis v1.99.1

Scan saved at 22:08:55, on 20/04/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\explorer.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\windows\mousepad12.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\ashc\tseh.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\ntsec.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00017.exe"

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [drwtsn64] C:\WINDOWS\System32\drwtsn64.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad12.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname12.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [drwtsn64] C:\WINDOWS\System32\drwtsn64.exe

O4 - HKLM\..\RunServices: [Windows Configuration GUI] systemconfig32.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [drwtsn64] C:\WINDOWS\System32\drwtsn64.exe

O4 - HKCU\..\Run: [Windows Configuration GUI] systemconfig32.exe

O4 - HKCU\..\Run: [Lseu] "C:\Program Files\ashc\tseh.exe" -vt yazr

O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O20 - Winlogon Notify: directpt - directpt.dll (file missing)

O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - (no file)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)

O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)

[naheulbeuk]

salut !

 

1/ n'as tu pas de pare-feu ? sinon télécharge kerio qui est gratuit et très efficace !

 

2/ tu as 2 antivirus d'installés sur ton pc ! désinstalle en un ! risque de conflits ! garde avast! ou antivir comme tu veux ! mais desinstalles en un !

 

3/ Télécharge SmitFraudFix

Dézippe-le sur le Bureau.

Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd

Choisis l'option 1 (Recherche)

Post moi le rapport !

 

A+

[thebear]

pare-feu kerio: installé

 

antivir : desinstallé!

 

MERCI L'AMI

 

SmitFraudFix v2.33b

 

Rapport fait à 16:27:30,78, 21/04/2006

Executé à partir de C:\Documents and Settings\fabrice\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fabrice\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\fabrice\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[naheulbeuk]

coucou,

 

1/ Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et me l'envoyer ici !

 

2/ fais un scan panda en ligne :

ici

et post moi le rapport de ce scan ici une fois terminé !

 

ps : comme tu possèdes avast comme antivirus, désactive-le le temps du scan !

 

3/ repost un nouveau rapport hijackthis !

 

bon courage ! A+

[thebear]

Salut l'ami,

Ce n'est pas sans peine que j'ai réussi a exécuter tes conseils ( chargement ultra lent, déconnexion, même impossibilité de me connecter ...j'ai du réinstaller ma connexion au net...) enfin j'y suis parvenu...ouf

Voici les rapports que tu m'as demandés...ne pouvant scanner en ligne j'ai télécharger la version d'évaluation de panda titanium...ça a l'air puissant...

Un grand merci...à bientôt

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 22:48:05, 21/04/2006

+ Somme de contrôle: 98829DE4

 

+ Résultats du scan:

 

C:\Documents and Settings\fabrice\Cookies\fabrice@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@ehg-ads.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@project2.realtracker[1].txt -> TrackingCookie.Realtracker : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\fabrice\Cookies\fabrice@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4X6VKLQB\gsaczjt[1].txt -> Trojan.Small.ev : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4X6VKLQB\tdrfwbp[1].txt -> Trojan.Sinowal.d : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4X6VKLQB\tdrfwbp[2].txt -> Trojan.Sinowal.d : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ER8JQVIN\ozhsliscr[1].txt -> Trojan.Sinowal.d : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ER8JQVIN\qwtdvqmdcs[1].txt -> Downloader.Tiny.al : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ER8JQVIN\rfqtp[1].txt -> Hijacker.Small.kr : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KPURW1EB\dytis[1].txt -> Trojan.Sinowal.d : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KPURW1EB\mrmolvffhi[1].txt -> Hijacker.Small.kr : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KPURW1EB\zuopthm[1].txt -> Hijacker.Small.kr : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MPEH0PKJ\3338[1].exe -> Dropper.Agent.ail : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MPEH0PKJ\dhcbskq[1].txt -> Trojan.Sinowal.d : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MPEH0PKJ\owatqjgqw[1].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder

C:\Program Files\ashc\tseh.exe -> Adware.MediaTickets : Nettoyer et sauvegarder

C:\Program Files\Dialer\Dialer.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00018.dll -> Trojan.Sinowal.d : Nettoyer et sauvegarder

C:\Program Files\whInstall -> Adware.Webhancer : Nettoyer et sauvegarder

C:\Program Files\whInstall\license.txt -> Adware.Webhancer : Nettoyer et sauvegarder

C:\Program Files\whInstall\readme.txt -> Adware.Webhancer : Nettoyer et sauvegarder

C:\Program Files\whInstall\whAgent.ini -> Adware.Webhancer : Nettoyer et sauvegarder

C:\WINDOWS\mousepad12.exe -> Hijacker.VB.mo : Nettoyer et sauvegarder

C:\WINDOWS\newname12.exe -> Downloader.VB.aaf : Nettoyer et sauvegarder

C:\WINDOWS\system32\explore.exe -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\WINDOWS\system32\ntsec.exe -> Backdoor.SdBot.apr : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Rapport des incidents de Panda Titanium 2006 Antivirus + Antispyware

 

EVENEMENT DATE RESULTAT INFORMATIONS SUPPLEMENTAIRES

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Fin de l'analyse 22/04/06 20:35:59 Analyse : Tout Mon PC

Logiciel publicitaire détecté : Adware/Yazzle 22/04/06 20:30:26 Eliminé Emplacement : C:\SnowballWarsInstaller.exe

Logiciel publicitaire détecté : Adware/Deskwizz 22/04/06 20:30:26 Eliminé Emplacement : C:\sk02.exe

Logiciel publicitaire détecté : Adware/PurityScan 22/04/06 20:30:14 Eliminé Emplacement : C:\Program Files\Yazzle Snowball Wars\SnowballWars.exe

Logiciel publicitaire détecté : Adware/Adsmart 22/04/06 20:26:25 Eliminé Emplacement : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KPURW1EB\z[1].jpg

Logiciel publicitaire détecté : Adware/Adsmart 22/04/06 20:26:25 Eliminé Emplacement : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ER8JQVIN\z[1].jpg

Logiciel publicitaire détecté : Adware/Adsmart 22/04/06 20:26:24 Eliminé Emplacement : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4X6VKLQB\z[1].jpg

Début de l'analyse 22/04/06 20:24:01 Analyse : Tout Mon PC

Spyware détecté : Cookie/Xiti 22/04/06 20:22:18 Eliminé Emplacement : c:\documents and settings\fabrice\cookies\fabrice@xiti[1].txt

Spyware détecté : Cookie/Xiti 22/04/06 20:21:56 Eliminé Emplacement : c:\documents and settings\fabrice\cookies\fabrice@xiti[1].txt

Spyware détecté : Cookie/Advertising 22/04/06 20:21:52 Eliminé Emplacement : c:\documents and settings\fabrice\cookies\fabrice@advertising[1].txt

Tentative de connexion 22/04/06 20:21:49 Bloqué Ad. IP source : 83.156.157.231

Tentative de connexion 22/04/06 20:21:45 Bloqué Ad. IP source : 83.156.30.184

Spyware détecté : Cookie/Bluestreak 22/04/06 20:21:21 Eliminé Emplacement : c:\documents and settings\fabrice\cookies\fabrice@bluestreak[1].txt

Tentative de connexion 22/04/06 20:19:21 Bloqué Ad. IP source : 83.156.181.44

Spyware détecté : Cookie/Bluestreak 22/04/06 20:19:20 Eliminé Emplacement : c:\documents and settings\fabrice\cookies\fabrice@bluestreak[1].txt

Mise à jour 22/04/06 20:19:17 Correcte Nouvelles signatures de menaces : 1343

Tentative de connexion 22/04/06 20:18:46 Bloqué Ad. IP source : 83.156.228.191

Spyware détecté : Cookie/Doubleclick 22/04/06 20:18:19 Eliminé Emplacement : c:\documents and settings\fabrice\cookies\fabrice@doubleclick[2].txt

Spyware détecté : Cookie/Doubleclick 22/04/06 20:18:19 Eliminé Emplacement : c:\documents and settings\fabrice\cookies\fabrice@doubleclick[1].txt

Tentative de connexion 22/04/06 20:18:12 Bloqué Ad. IP source : 83.156.196.115

Spyware détecté : Cookie/Doubleclick 22/04/06 20:17:27 Eliminé Emplacement : c:\documents and settings\fabrice\cookies\fabrice@doubleclick[1].txt

Fin de l'analyse 22/04/06 10:05:24 Analyse : Tout Mon PC

Début de l'analyse 22/04/06 09:53:37 Analyse : Tout Mon PC

Fin de l'analyse 22/04/06 09:53:17 Analyse : Tout Mon PC

Début de l'analyse 22/04/06 09:46:26 Analyse : Tout Mon PC

Tentative de connexion 22/04/06 09:00:14 Bloqué Ad. IP source : 61.208.234.202

Fin de l'analyse 22/04/06 08:54:20 Analyse : Tout Mon PC

Programme de surveillance détecté 22/04/06 08:53:48 Eliminé Emplacement : C:\WINDOWS\system32\Process.exe

Programme de surveillance détecté 22/04/06 08:53:15 Eliminé Emplacement : c:\windows\system32\process.exe

Virus détecté : W32/Sdbot.ftp 22/04/06 08:41:39 Désinfecté Emplacement : C:\WINDOWS\system32\i

Programme de surveillance détecté 22/04/06 08:37:01 Eliminé Emplacement : C:\RECYCLER\S-1-...\Dc4.zip[Process.exe]

Programme de surveillance détecté 22/04/06 08:29:53 Eliminé Emplacement : C:\Documents and Settings...\Process.exe

Tentative de connexion 22/04/06 08:28:51 Bloqué Ad. IP source : 204.221.243.189

Logiciel publicitaire détecté : adware/dollarrevenue 22/04/06 08:28:07 Eliminé Emplacement : C:\WINDOWS\newname.dat

Début de l'analyse 22/04/06 08:27:41 Analyse : Tout Mon PC

Mise à jour 22/04/06 08:26:56 Incorrecte Erreur : Erreur survenue lors de l'accès au serveur de mises à jour

Tentative de connexion 22/04/06 08:24:16 Bloqué Ad. IP source : 83.155.196.241

Tentative de connexion 21/04/06 23:31:11 Bloqué Ad. IP source : 83.156.88.205

Tentative de connexion 21/04/06 23:31:06 Bloqué Ad. IP source : 204.16.208.110

Tentative de connexion 21/04/06 23:30:59 Bloqué Ad. IP source : 83.156.217.53

Mise à jour 21/04/06 23:30:32 Incorrecte Erreur : Erreur survenue lors de l'accès au serveur de mises à jour

Tentative de connexion 21/04/06 23:30:03 Bloqué Ad. IP source : 83.156.95.183

Tentative de connexion 21/04/06 23:29:41 Bloqué Ad. IP source : 83.157.251.28

Mise à jour 21/04/06 23:29:40 Incorrecte Erreur : Erreur survenue lors de l'accès au serveur de mises à jour

Mise à jour 21/04/06 23:29:35 Incorrecte Erreur : Erreur survenue lors de l'accès au serveur de mises à jour

Mise à jour 21/04/06 23:29:32 Incorrecte Erreur : Erreur survenue lors de l'accès au serveur de mises à jour

Tentative de connexion 21/04/06 23:29:26 Bloqué Ad. IP source : 83.156.180.203

Mise à jour 21/04/06 23:29:16 Incorrecte Erreur : Erreur survenue lors de l'accès au serveur de mises à jour

Logfile of HijackThis v1.99.1

Scan saved at 20:42:05, on 22/04/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe

C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00017.exe"

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [1337 virus] explore.exe

O4 - HKLM\..\Run: [drwtsn64] C:\WINDOWS\System32\drwtsn64.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\RunServices: [drwtsn64] C:\WINDOWS\System32\drwtsn64.exe

O4 - HKLM\..\RunServices: [Windows Configuration GUI] systemconfig32.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe

O4 - HKCU\..\Run: [Windows Configuration GUI] systemconfig32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Lseu] "C:\Program Files\ashc\tseh.exe" -vt yazr

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: directpt - directpt.dll (file missing)

O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - (no file)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)

O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)

[tornado]

Salut thebear,

 

Ewido t'a supprimé un tas de malwares... et panda en a également supprimé.

 

Ton dernier rapport hijackthis montre toujours de signes d'infection...

 

Je prépare une procédure de désinfection, réponse dans 15 min

Modifié le 23 avril 2006 par tornado