Infection Win32:Horst-C - Demande d'aide (débutant) [résolu]

[nonop]

Ah et toutes mes félicitations! J'ai vu que tu étais passé Godlike member!!!!!!

[nonop]

re bruce,

 

sur le forum où j'ai été pour ce problème d'icône, Fantasio m'a donné ces inos qui pourront peut-être t'aider si tu ne connais déjà tout ça (moi je t'avoue que ça ne me parle pas trop!!! ).

 

Soit ton Windows n'est pas correctement à jour ( patch de sécurite KB823980 port TCP 139, disponible ici:http://download.microsoft.com/download/d/7...980-x86-FRA.exe), soit c'est ton antivirus qui ne l'est pas, voire les deux. Si tu ne maintiens pas à jour ton système, les personnes du forum Sécurité risquent de te voir souvent.

 

Pour info, voici le comportement de w32.tenga, associé au troyen Trojan-Downloader.Win32.Small.bdc :

dès que le troyen détecte une connexion Internet, il se connecte et récupère les fichiers suivants:

--> [http://]utenti.lycos.it/.../dl.exe

--> [http://]utenti.lycos.it/.../CBACK.EXE

--> [http://]utenti.lycos.it/.../GAELICUM.EXE

puis cherche à se diffuser sur le Net à travers le domaine vx9.users.freebsd.at

Sur ton PC, ces fichiers sont lancés dans la base de registres à la clé:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

afin de pourrir tous les exécutables Windows (chaque exécutable voit sa taille augmenter de 3 Ko).

Le malheur, c'est qu'en plus, on le retrouve trop souvent dans les diverses restaurations du système.

 

Si ça peut aider Bruce à te dépatouiller, tant mieux, mais pense surtout à faire toutes tes mises à jour de sécurité Windows et Antivirus.

 

J'ai téléchargé le patch de sécurité dont il m'a donné le lien... Après je sais pas trop... J'attends ton avis!

 

++

 

arno

[bruce lee]

bonjour nonop,

 

Ah et toutes mes félicitations! J'ai vu que tu étais passé Godlike member!!!!!!

 

merci

 

Le malheur, c'est qu'en plus, on le retrouve trop souvent dans les diverses restaurations du système.

 

Pour ca que la derniere fois je te l'avais fait désactiver la restauration de systeme

 

mais ce que je tilt pas c'est ca:

 

Sur ton PC, ces fichiers sont lancés dans la base de registres à la clé:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

 

normalement la bestiole se lance au demarrage et dans hijackthis on devrait la voir (ligne 04).

 

poste s'il te plait un nouveau log hijackthis( si la bestiole n'est pas presente on verifiera si

elle ne se lance pas en "silence" et au pire on ira faire un tour dans le registre).

 

@+ et t'inquiete pas on l'avoir la sale bete!

[nonop]

poste s'il te plait un nouveau log hijackthis( si la bestiole n'est pas presente on verifiera si

elle ne se lance pas en "silence" et au pire on ira faire un tour dans le registre).

 

ok mais comment je le fais le scan? depuis D:\? parce que je pense que la bête est sur ce hdd... ou sur C:\, normalement... j'attends ta réponse pour le faire.

 

@+ et t'inquiete pas on l'avoir la sale bete!

 

Je te fais confiance pour ça!

[bruce lee]

re,

 

beh de toutes facon quand tu lances hiajakthis a partir de D ca t'analyse le C donc autant lancé a partir de C ca reviendra au meme

 

@+

Modifié le 15 mai 2006 par bruce lee

[nonop]

voilà.............

 

Logfile of HijackThis v1.99.1

Scan saved at 21:31:31, on 15/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Free Surfer\fs20.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

 

http://www.free.fr/search/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

 

http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

 

Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

 

C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN

 

Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

 

c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -

 

C:\Program Files\MSN Apps\MSN Toolbar\MSN

 

Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

 

C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program

 

Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

 

files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [freesurfer] C:\Program Files\Free Surfer\fs20.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers

 

communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [WpsRePsw]

 

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator

 

5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

 

Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur

 

CANALPLAY\CanalPlayer.exe /iconic

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"

 

-atboottime

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software

 

Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash

 

/minimized

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program

 

Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program

 

Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

 

Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program

 

files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program

 

files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program

 

files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program

 

files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel -

 

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program

 

files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program

 

files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

 

C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} -

 

C:\Program Files\Free Surfer\FS20.exe

O9 - Extra 'Tools' menuitem: Free Surfer -

 

{AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Program Files\Free

 

Surfer\FS20.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}

 

- C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger -

 

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -

 

C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

 

C:\Program Files\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Messenger -

 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

 

Files\Messenger\MSMSGS.EXE (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: teleir_cert -

 

https://static.ir.dgi.minefi.gouv.fr/secure.../ie4n4/teleir_c

 

ert.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

 

http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus

 

scanner) -

 

http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) -

 

http://us.dl1.yimg.com/download.yahoo.com/...nst_current.cab

O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) -

 

http://rd1.surfernetwork.com/surferplugin.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

 

http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

 

http://update.microsoft.com/windowsupdate/.../client/wuweb_s

 

ite.cab?1127988674622

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility

 

Class) -

 

http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

 

(MsnMessengerSetupDownloadControl Class) -

 

http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) -

 

http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O17 -

 

HKLM\System\CCS\Services\Tcpip\..\{537F4D54-7EA4-4CE3-8FD7-6023265C1DED}:

 

NameServer = 192.168.0.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

 

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -

 

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil

 

Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil

 

Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil

 

Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program

 

Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

 

Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel

 

32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program

 

Files\iPod\bin\iPodService.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. -

 

C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

à pluche!

 

arno

[bruce lee]

re,

 

bon hijackthis n'a rien trouvé...

 

on va verifié si la bestiole se lance en silence:

 

1/telecharge silent runners http://www.silentrunners.org/Silent%20Runners.vbs

 

2/déconnecte toi du net et ferme toutes les applications en cours.

 

3/lance silent runners laisse le travailler quand il aura finit de scanner tu en sauras averti par un message et un nouveau fichier texte sera crée ouvre ce fichier texte et colle la totalité du rapport.

 

@+

[nonop]

re,

 

sorry... je ferais ça demain bruce; là faut que j'y aille...

 

par contre j'ai cliqué sur le lien et rien ne se télécharge...

 

++

 

arno

[bruce lee]

re,

 

moi aussi je dois y aller, pour le lien tu dois faire clique droit dessus puis "enregistrer la clible sous..."

 

@+

[nonop]

2 sec avant de partir:

 

j'ai téléchargé le fichier zip... après avoir fermé les appli et déconnecté internet, je le lance comment ce fichier vbs?...

 

je te fais ça demain matin.

 

++