Infection Win32:Horst-C - Demande d'aide (débutant) [résolu]

[nonop]

re,

 

a priori c'est bon:

 

L'analyse est terminée.

Pas de logiciel malveillant détecté. Les sections analysées sont SAINES.

 

merci! cool! enfin fini avec ces saletés! je sais pas comment te remercier! tu fais quoi pour être aussi calé si c'est pas indiscret?

 

tu me dis que les autres (backdoor Agobot, Backdoor Medbot et Tenga) ont été supprimés; mais comment puisque je n'ai rien fait??? Kaspersky non plus... non?

 

sinon, j'ai encore qq questions et après je te laisse tranquile:

 

- est-ce que je réactive la restauration du système de Windows XP?

 

- Tenga m'a viré le fichier install.exe du hdd D:\ Comment je fais pour le remettre (parce que du coup je ne peux plus y accéder par le poste de travail; tu te souviens? l'icone est pas normale et quand je double clique dessus, il me dit "programme introuvable, etc...")

 

- qu'est ce que tu me conseilles pour la config d'avast? est-ce que je garde ewido? est-ce que Adaware SE est utile (tu le config comment?)? est-ce qu'il y a autre chose à installer pour ne plus avoir de problèmes?

 

à tte,

 

arno

[bruce lee]

re,

 

tu me dis que les autres (backdoor Agobot, Backdoor Medbot et Tenga) ont été supprimés;

mais comment puisque je n'ai rien fait??? Kaspersky non plus... non?

 

Si je me souviens bien il etait dans la restauration de systeme donc en la désactivant on les a

 

tous supprimé donc par conséquant les bestioles aussi ont été supprimé

 

est-ce que je réactive la restauration du système de Windows XP?

 

oui

 

Tenga m'a viré le fichier install.exe du hdd D:\ Comment je fais pour le remettre (parce

que du coup je ne peux plus y accéder par le poste de travail; tu te souviens? l'icone est pas

normale et quand je double clique dessus, il me dit "programme introuvable, etc...")

 

bizare.. fais un scan complet de ta machine avec avast et dis moi ce que ca donne

 

qu'est ce que tu me conseilles pour la config d'avast? est-ce que je garde ewido?

est-ce que Adaware SE est utile (tu le config comment?)? est-ce qu'il y a autre chose à

installer pour ne plus avoir de problèmes?

 

je te donnerai tout ca a la fin ne t'inquiete pas.

 

@+

Modifié le 5 mai 2006 par bruce lee

[nonop]

re,

Si je me souviens bien il etait dans la restauration de systeme donc en la désactivant on les a

 

tous supprimé donc par conséquant les bestioles aussi ont été supprimé

 

cool!!!!!

 

oui

 

c'est fait...

 

bizare.. fais un scan complet de ta machine avec avast et dis moi ce que ca donne

 

je fais ça dès que possible (je pars jusqu'à lundi, mardi et mercredi a priori je peux pas être là mais jeudi ce sera fait... sorry je fais un peu trainer le truc mais on va y arriver... merci de me suivre comme ça! (tu as la possibilité d'être prévenu quand je posterai un nouveau message???)

 

je te donnerai tout ca a la fin ne t'inquiete pas.

 

je ne m'inquiète pas!!!!!

 

très bon week-end en tout cas et @+!

 

arno

[bruce lee]

bonjour,

 

ne t'inquiete pas je serai prevenu des que tu posetra une reponse

 

@+ et a jeudi

[nonop]

re-bonjour bruce, j'espère que ton week-end a été bon. alors, tout frais revenu j'ai effectué le scan avast! complet (minutieux, archives comprises et tous les supports)... et il ne m'a rien trouvé donc c'est qu'a priori j'en suis débarassé!!!! re-merci donc!!!

 

sinon j'ai toujours ce problème concernant D:\. En fait, avant de venir sur le forum, win32:tenga a du contaminer install.exe. J'ai sans doute dû le mettre en quarentaine et le supprimer... voilà pourquoi je ne peux plus y accéder par l'icone du poste de travail (elle est comme "abimée" mais je n'arrive pas à mettre une image ici pour te montrer) mais par l'arborescence des dossiers...

 

j'attends ton avis!!

 

++, arno

[bruce lee]

bonjour nonop,

 

installe hijackthis sur ton disque dur D et fais un scan et poste le rapport s'il te plait.

 

@+

[nonop]

re,

 

voilà le rapport mais je sais pas si ça a marché (il a râlé quand j'ai lancé hijackthis sur D:\)

 

Logfile of HijackThis v1.99.1

Scan saved at 17:56:48, on 11/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Free Surfer\fs20.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

D:\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [freesurfer] C:\Program Files\Free Surfer\fs20.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Program Files\Free Surfer\FS20.exe

O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Program Files\Free Surfer\FS20.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst_current.cab

O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127988674622

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{537F4D54-7EA4-4CE3-8FD7-6023265C1DED}: NameServer = 192.168.0.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

voilà!

[nonop]

dis moi si c'est ce qu'il fallait faire...

 

abibac demain! bonne soirée,

 

arno

 

je vois que tu es là! j'attends 5 min

@+

[bruce lee]

re,

 

hijackthis a scanner le disque C pourquoi je sais pas j'ai regarder les pages predentes, et je ne pense pas que tu es de bestiole car kaspersky ce qu'il a trouvé ce trouvait sur le disque dur D donc le disque dur D est sain.

 

Est ce que quand tu scannes avec avast il te detecte une bestiole?

[nonop]

re bruce,

 

hijackthis a analysé C:\ parce que je l'ai exécuté à partir de D:\ en faisant "do a system scan and save a log file" mais je sais pas s'il fallait que je sélectionne D:\ quelque part...

 

en fait je ne pense pas qu'il me reste une bestiole sur D:\ parce que Kaspersky et Avast me disent qu'il est sain. Le seul truc c'est que Tenga a du infecter install.exe AVANT qu'on nettoie tout ça ensemble. Le seul problème persistant c'est que lorsque je double clique sur l'icone (abimée comme je te le disais) D:\ dans le poste de travail, il m'affiche un message disant qu'il ne trouve pas install.exe et du coup il fait rien. Pour accéder à D:\ je ne peux que passer par l'arborescence des dossiers. Le plus simple ce serait que je t'envoie une image du poste de travail... comment faire? Dis-moi!

 

je sais pas quand je te répondrai mais keep in touch!

 

++

 

arno