Infection Win32:Horst-C - Demande d'aide (débutant) [résolu]

[nonop]

Re,

 

Tu rigoles? t'inquiète pas!!! tu m'as déjà sacrément aidé... tu devrais changer ton nom en "allmighty bruce"!!!!

 

j'ai posté sur ce sujet

 

ah, et si ça peut te donner une dernière idée, antivir m'a supprimé un virus "exploit" en mode sans échec...

 

++

 

nonop

[bruce lee]

re,

 

arf mais c'est pas normal qu'il te detecte d'autres bestioles...

 

Es tu d'accord que l'on continue a passer des utilitaires afin d'etre sur qu'aucune bestiole ne soit presente? (tu continuerais en parallele avec papo sur l'autre sujet)

[nonop]

Re,

 

Yep, pas de problème...

 

En fait il m'avait trouvé cet "exploit" grâce à la procédure que j'avais appliqué avant que tu ne m'aides à nouveau... mais je me demandais si ça t'aiderait. et puis c'est bizarre qu'il y ait eu cette bestiole!

 

comme tu le sens! je reste à l'écoute.

 

++

[bruce lee]

re,

 

On va verifier au niveau des spywares...

 

-Télécharge Spywareterminator

suis le turoriel fait par Malekal_Morte(merci!):

http://www.malekal.com/tutorial_SpywareTerminator.html

Met le programme à jour: L'assistant va te demander si tu désires activer la protection en temps réel.(Would you like to enable Real Time Protection?) : répond "non"(tu l'activeras par la suite, on en a pas besoin pour le moment): quitte le programme.

 

 

 

* Lance Spywareterminator et scanne le pc :(regarde le tuto de Malekal_Morte et suis les étapes)

• Clique sur Full Spyware Scan puis en bas sur le bouton Start Scan Now.
  
• Lorsque le scan est terminé, tu obtiens le rapport.
  
• Dans l'onglet Threats, les malwares détectés apparaîssent sous forme de liste, note qu'ils sont cochés pour être pret à être supprimé.
  
• Clique sur le bouton "Remove" pour éliminer les infections.
  
• Clique sur le bouton view system Report pour que s'affiche un rapport de scan sous le bloc-note.Le rapport se nomme "Report.txt"
  
• Clique sur le menu Fichier puis Sélectionne "Enregistrer sous" => choisis d'enregistrer "Report.txt" sur le bureau.
  

 

@+

[nonop]

Bruce, j'ai téléchargé et ouvert "starter"; il y a un truc appelé "kernelfaultcheck"...

 

ça te dit quelque chose? j'attends la réponse de papo sur l'autre sujet... et je regarde si tu as une idée...

 

++

[nonop]

Re,

 

j'ai téléchargé spywareterminator; là il faut malheureusement que j'y aille mais je fais ça rapido (genre dimanche si je peux et je te tiens au courant dès que possible)...

 

merci pour ton aide!

 

++

[bruce lee]

re,

 

Bruce, j'ai téléchargé et ouvert "starter"; il y a un truc appelé "kernelfaultcheck"...

 

Ne t'inquiete pas, ce n'est pas nefaste, c'est quand il y a eu une erreur.

 

@+

 

EDIT: sur ton autre post, on te l'a expliqué

Modifié le 18 août 2006 par bruce lee

[nonop]

re,

 

j'ai eu le temps de faire le scan. il a trouvé deux "critical objects" mais je n'arrive pas à ouvrir les docs texte donc je te les poste dès que je peux!

 

++

[nonop]

Bonjour Bruce,

 

voilà le rapport de spyware terminator:

 

Spyware Terminator Version: 1.5.0.718

Start time: 18/08/2006 17:57:37

System: Windows XP

User: Limited

 

Processes Scan

C:\WINDOWS\SYSTEM32\SVCHOST.EXE [Microsoft Corporation] C:\WINDOWS\SYSTEM32\ESENT.DLL [Microsoft Corporation

],

C:\PROGRAM FILES\SPYWARE TERMINATOR\SPYWARETERMINATOR.EXE [Crawler.com]

 

Startup Scan

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"RocketDock" = "C:\PROGRAM FILES\ROCKETDOCK\ROCKETDOCK.EXE" [ Empty ]

"UberIcon" = "C:\PROGRAM FILES\UBERICON\UBERICON MANAGER.EXE" [ Empty ]

"Skype" = "C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE" [ Empty ]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"freesurfer" = "C:\PROGRAM FILES\FREE SURFER\FS20.EXE" [ EMS-Project 2002 © ]

"BigDogPath" = "C:\WINDOWS\VM_STI.EXE" [ BIGDOG ]

"WpsRePsw" = "C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\2\WPSREPSW.EXE" [ Canon Inc. ]

"CanalPlayer" = "C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe \iconic" [ file not found ]

"iTunesHelper" = "C:\PROGRAM FILES\ITUNES\ITUNESHELPER.EXE" [ Apple Computer, Inc. ]

"avast!" = "C:\Program Files\Alwil Software\Avast4\ashDisp.exe" [ Empty ]

"TkBellExe" = "C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE" [ RealNetworks, Inc. ]

"KernelFaultCheck" = "C:\WINDOWS\SYSTEM32\DUMPREP.EXE" [ Microsoft Corporation ]

"QuickTime Task" = "C:\PROGRAM FILES\QUICKTIME\QTTASK.EXE" [ Apple Computer, Inc. ]

"MessengerPlus3" = "C:\PROGRAM FILES\MESSENGERPLUS! 3\MSGPLUS.EXE" [ Patchou ]

"Update" = "C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe \CALLSCHEDULER \DM="0" \CALLSCHEDULER" [ file not found ]

"SunJavaUpdateSched" = "C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\JUSCHED.EXE" [ Sun Microsystems, Inc. ]

 

Toolbars Scan

MSN {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\MSN TOOLBAR\01.02.5000.1021\FR\MSNTB.DLL [Microsoft Corporation]

&Google {2318C2B1-4965-11d4-9B18-009027A5CD4F} C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL [Google Inc.]

 

BHO Scan

AcroIEHlprObj Class {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\PROGRAM FILES\ADOBE\ACROBAT 7.0\ACTIVEX\ACROIEHELPER.DLL [Adobe Systems Incorporated]

SSVHelper Class {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL [sun Microsystems, Inc.]

ST {9394EDE7-C8B5-483E-8773-474BF36AF6E4} C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL [Microsoft Corporation]

Google Toolbar Helper {AA58ED58-01DD-4d91-8333-CF10577473F7} C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL [Google Inc.]

MSNToolBandBHO {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\MSN TOOLBAR\01.02.5000.1021\FR\MSNTB.DLL [Microsoft Corporation]

Web Browser Applet Control {08B0E5C0-4FCB-11CF-AAA5-00401C608501} C:\WINDOWS\SYSTEM32\MSJAVA.DLL [Microsoft Corporation]

{AFC3FA82-AD07-45cd-8B57-983435B9899E} [file not found]

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} C:\Program Files\Yahoo!\Messenger\YPager.exe [Yahoo! Inc.]

{FB5F1910-F110-11d2-BB9E-00C04F795683} [file not found]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

{42071714-76d4-11d1-8b24-00a0c9068ff3} = Extension Affichage Panorama du Panneau de configuration (deskpan.dll) [file not found]

{764BF0E1-F219-11ce-972D-00AA00A14F56} = Extensions de l'environnement de compression de fichiers () [file not found]

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} = Menu contextuel de cryptage () [file not found]

{88895560-9AA2-1069-930E-00AA0030EBC8} = Extension icône HyperTerminal (C:\WINDOWS\SYSTEM32\HTICONS.DLL) [Hilgraeve, Inc.]

{0DF44EAA-FF21-4412-828E-260A8728E7F1} = Barre des tâches et menu Démarrer () [file not found]

{7A9D77BD-5403-11d2-8785-2E0420524153} = Comptes d'utilisateurs () [file not found]

{42042206-2D85-11D3-8CFF-005004838597} = Microsoft Office HTML Icon Handler (C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE10\MSOHEV.DLL) [Microsoft Corporation]

{B41DB860-8EE4-11D2-9906-E49FADC173CA} = WinRAR shell extension (C:\PROGRAM FILES\WINRAR\RAREXT.DLL) [Empty]

{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} = Shell Extensions for RealOne Player (C:\PROGRAM FILES\REAL\REALPLAYER\RPSHELL.DLL) [RealNetworks, Inc.]

{640167b4-59b0-47a6-b335-a6b3c0695aea} = Portable Media Devices (C:\WINDOWS\SYSTEM32\AUDIODEV.DLL) [Microsoft Corporation]

{cc86590a-b60a-48e6-996b-41d25ed39a1e} = Portable Media Devices Menu (C:\WINDOWS\SYSTEM32\AUDIODEV.DLL) [Microsoft Corporation]

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} = iTunes (C:\PROGRAM FILES\ITUNES\ITUNESMINIPLAYER.DLL) [Apple Computer, Inc.]

{5E44E225-A408-11CF-B581-008029601108} = Adaptec DirectCD Shell Extension (C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\Shellex.dll) [Roxio]

{043308A2-3CF7-4ED5-A668-2B4FB0BD307A} = dBpowerAMP dAP Scripting () [file not found]

{FED7043D-346A-414D-ACD7-550D052499A7} = dBpowerAMP Popup Info () [file not found]

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = Shell Extension for Malware scanning () [file not found]

{472083B0-C522-11CF-8763-00608CC02F24} = avast (C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSHELL.DLL) [ALWIL Software]

{1530F7EE-5128-43BD-9977-84A4B0FAD7DF} = PhotoToys (C:\WINDOWS\SYSTEM32\PHOTOTOYS.DLL) [Microsoft Corporation]

{23170F69-40C1-278A-1000-000100020000} = 7-Zip Shell Extension (C:\PROGRAM FILES\7-ZIP\7-ZIP.DLL) [Empty]

 

Services Scan

"aswUpdSv" = C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE [Empty]

"ati2mtaa" = C:\WINDOWS\SYSTEM32\DRIVERS\ATI2MTAA.SYS [ATI Technologies Inc.]

"avast! Antivirus" = C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE [Empty]

"avast! Mail Scanner" = C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE [ALWIL Software]

"avast! Web Scanner" = C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE [ALWIL Software]

"cmuda" = C:\WINDOWS\SYSTEM32\DRIVERS\CMUDA.SYS [C-Media Inc]

"CO_Mon" = C:\WINDOWS\SYSTEM32\DRIVERS\CO_MON.SYS [Empty]

"dmboot" = C:\WINDOWS\SYSTEM32\DRIVERS\DMBOOT.SYS [Microsoft Corp., Veritas Software]

"dmio" = C:\WINDOWS\SYSTEM32\DRIVERS\DMIO.SYS [Microsoft Corp., Veritas Software]

"ewido security suite control" = C:\PROGRAM FILES\EWIDO ANTI-MALWARE\EWIDOCTRL.EXE [ewido networks]

"fbxusb" = C:\WINDOWS\SYSTEM32\DRIVERS\FBXUSB.SYS [FreeBox SA]

"GEARAspiWDM" = C:\WINDOWS\SYSTEM32\DRIVERS\GEARASPIWDM.SYS [GEAR Software Inc.]

"HPZid412" = C:\WINDOWS\SYSTEM32\DRIVERS\HPZID412.SYS [HP]

"HPZipr12" = C:\WINDOWS\SYSTEM32\DRIVERS\HPZIPR12.SYS [HP]

"HPZius12" = C:\WINDOWS\SYSTEM32\DRIVERS\HPZIUS12.SYS [HP]

"IDriverT" = C:\PROGRAM FILES\FICHIERS COMMUNS\INSTALLSHIELD\DRIVER\11\INTEL 32\IDRIVERT.EXE [Macrovision Corporation]

"iPodService" = C:\PROGRAM FILES\IPOD\BIN\IPODSERVICE.EXE [Apple Computer, Inc.]

"Pctspk" = C:\WINDOWS\SYSTEM32\PCTSPK.EXE [PCtel, Inc.]

"Pml Driver HPZ12" = C:\WINDOWS\SYSTEM32\HPZIPM12.EXE [HP]

"Ptilink" = C:\WINDOWS\SYSTEM32\DRIVERS\PTILINK.SYS [Parallel Technologies, Inc.]

"Ptserlp" = C:\WINDOWS\SYSTEM32\DRIVERS\PTSERLP.SYS [PCTEL, INC.]

"PxHelp20" = C:\WINDOWS\SYSTEM32\DRIVERS\PXHELP20.SYS [sonic Solutions]

"revolution3d" = C:\WINDOWS\SYSTEM32\DRIVERS\N9I3D.SYS [Number Nine Visual Technology Corp.]

"Secdrv" = C:\WINDOWS\SYSTEM32\DRIVERS\SECDRV.SYS [Empty]

"sisagp" = C:\WINDOWS\SYSTEM32\DRIVERS\SISAGP.SYS [silicon Integrated Systems Corporation]

"SISNIC" = C:\WINDOWS\SYSTEM32\DRIVERS\SISNIC.SYS [siS Corporation]

"SymEvent" = C:\Program Files\Symantec\SYMEVENT.SYS [file not found]

"Vmodem" = C:\WINDOWS\SYSTEM32\DRIVERS\VMODEM.SYS [PCTEL, INC.]

"Vpctcom" = C:\WINDOWS\SYSTEM32\DRIVERS\VPCTCOM.SYS [PCtel, Inc.]

"Vvoice" = C:\WINDOWS\SYSTEM32\DRIVERS\VVOICE.SYS [PCtel, Inc.]

"Windows Log" = C:\WINDOWS\system32\nvsvcd.exe [file not found]

"WpsPeppy" = C:\WINDOWS\SYSTEM32\DRIVERS\WPSPEPPY.SYS [Canon Inc.]

"ZSMC301b" = C:\WINDOWS\SYSTEM32\DRIVERS\USBVM31B.SYS [VM]

 

Protocol Filters Scan

Class Install Handler = {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} (C:\WINDOWS\SYSTEM32\URLMON.DLL) [Microsoft Corporation]

 

Hosts Scan

LOCALHOST mapping = 1

 

IE Scan

IERESET.INF missing Signature="$CHICAGO$"

IERESET.INF missing AdvancedINF=2.5,"You need a new version of advpack.dll"

IERESET.INF missing AddReg=RestoreHomePage.reg

IERESET.INF missing HKCU,"Software\Microsoft\Internet Explorer\Main","Start Page",0,%START_PAGE_URL%

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main","Default_Page_URL",0,%START_PAGE_URL%

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main","Default_Search_URL",0,%SEARCH_PAGE_URL%

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main","Search Page",0,%SEARCH_PAGE_URL%

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","1",0,"www.%s.com"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","2",0,"www.%s.org"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","3",0,"www.%s.net"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","4",0,"www.%s.edu"

IERESET.INF missing HKCU,"Software\Microsoft\Internet Explorer\Main","Search Page",0,%SEARCH_PAGE_URL%

IERESET.INF missing HKCU,"Software\Microsoft\Internet Explorer\SearchUrl","Provider",0,""

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Search","SearchAssistant",0,"http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Search","CustomizeSearch",0,"http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"

IERESET.INF missing HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\SafeSites",%SAFESITE_VALUE%,0,"http://ie.search.msn.com/*"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","5"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","6"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","7"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","8"

IERESET.INF missing HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","9"

IERESET.INF missing HKCU,"Software\Microsoft\Internet Explorer\Main","AutoSearch"

IERESET.INF missing SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

IERESET.INF missing AddReg=RestoreBrowserSettings.reg

IERESET.INF missing DelReg=DeleteTemplates.reg or DelReg=DeleteTemplates.reg, DeleteAutosearch.reg

IERESET.INF missing START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" or START_PAGE_URL="http://www.msn.com"'>http://www.msn.com"

IERESET.INF missing SAFESITE_VALUE="http://home.microsoft.com/" or SAFESITE_VALUE="ie.search.msn.com"

IERESET.INF missing MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" or MS_START_PAGE_URL="http://www.msn.com"

 

d'après ce dont je me souviens il a trouvé 2 "critical objects"... qu'en penses-tu?

 

++

[bruce lee]

Bonjour nonop,

 

ce rapport ne revele rien; te rappeles tu des deux objets qu'il a trouvés? as tu pu voir si ils ont bel et bien été supprimés?