[Win32:Zapchast-O] fichier infecté wmimgr32.dll

[Invité Laurent_62]

Reste quelques petites choses à virer mais avant cela

 

Déplace hijachthis ou place le dans un dossier séparé (C:\Documents and Settings\Karine\Desktop\dossier\HijackThis.exe)

l'idéal étant qu'il soit placé de cette façon c:\hijackthis\hijackthis.exe ou comme préciser dans la procédure de "prénettoyage" C:\Program Files\HijackThis

 

 

 

Désactive la restauration systeme

 

Télécharge

Ccleaner

Cliquez sur download latest version en haut a droite pour le télécharger.

 

Installe le,

Dans erreur

Décocher la case devant Intégrité du registre et Intégrité des fichiers Ne l'utilise pas de suite

 

 

Regseeker

Un tuto Décompresse le dans un dossier (c:\regseeker) on l'utilisera à la fin aussi.

 

 

Redémarre en mode sans echec

 

Relance hijackthis et coche ces lignes

 

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe

 

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,userinit.exe

 

Clique sur le bouton fixer objet ou fix checked

 

 

- Autorise l'affichage des fichiers et dossiers cachés

 

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage

- Coche Afficher les Fichiers et dossiers cachés

- Décoche Masquer les fichiers protégés du système d'exploitation

- Décoche Masquer les extensions dont le type est connu

- clique sur Appliquer et Ok pour valider les changements

 

Recherche et supprime ce fichier

 

C:\WINDOWS\config\svchost.exe

 

ATTENTION: Prend bien garde au chemin d'acces en aucun cas ne supprime le fichier situé dans c:\windows\system32

 

 

- Utilise Ccleaner pour parfaire le ménage sur ton disque dur

 

- Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers

- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage

 

 

- Utilise regseeker

nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees

 

 

Redémarre en mode Normal

 

Refais un nouveau log hijackthis pour controle

 

Bonne soirée

Modifié le 16 mai 2006 par Laurent_62

[kl3000]

Voila le dernier log hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 8:29:49 PM, on 5/19/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\carpserv.exe

C:\Program Files\hijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - http://www.parallelgraphics.com/bin/cortvrml10.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Sinon, au redemarrage en mode normal, j'ai eu le message suivant :

 

avast! detected unauthorized modification of this file c:\PROGA~1\ALWIL~\Avast4\ashDisp.exe

Continuing can be dangerous. Run anyway?

 

J'ai selectionné no.

[Invité Laurent_62]

Bonsoir kl3000,

 

C'est de l'excellent boulot, ce dernier log est propre et exempt de signe d'infection.

 

Par mesure de précaution et suite à ce message concernant avast je te propose de faire un scan en ligne toujours sur Kapersky http://www.kaspersky.com/virusscanner afin de s'en assurer et deux avis valent mieux qu'un.

 

Si ce scan s'avère négatif je pense que l'on pourra considérer ce problème comme étant résolu sous réserve bien sur qu'un conseiller en sécurité n'y voit quelque chose à ajouter.

 

dans le cas contraire tu pourras rétablir certains parametres Windows

 

- Masqués les fichiers et dossiers cachés

 

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage

- Décoche Afficher les Fichiers et dossiers cachés

- Coche Masquer les fichiers protégés du système d'exploitation

- Coche Masquer les extensions dont le type est connu

- clique sur Appliquer et Ok pour valider les changements

 

Réactive la restauration système

 

Démarrer > panneau de configuration > systeme

Onglet restauration du systeme

Décoche la case "désactiver la surveillance pour tous les lecteurs"

Appliquer et ok

 

Si et seulement si tout est OK tu pourras donc éditer ta première intervention afin d'éditer le titre en y ajoutant [Résolu] STP

 

** Un systeme d'exploitation à jour fait partie intégrante des mesures préventives car les failles de sécurité sont corrigées ce qui n'est pas le cas sur ce PC.

 

 

Ne me reste qu'à te souhaiter une bonne soirée et bonne continuation.

Si besoin de précision ou informations complémentaires je reste à ta disposition bien sur notement si le scan Kapersky ne serait pas vierge.

 

Bonne soirée

[kl3000]

Malheureusement, Kasperky a encore trouvé des virus. Je n'ai pas terminé le scan mais voilà ce que donne le log pour le moment :

 

KASPERSKY ON-LINE SCANNER REPORT

Friday, May 19, 2006 9:21:35 PM

Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 19/05/2006

Kaspersky Anti-Virus database records: 183298

 

 

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

A:\

C:\

D:\

 

Scan Statistics

Total number of scanned objects 9127

Number of viruses found 2

Number of infected objects 3

Number of suspicious objects 0

Duration of the scan process 00:07:39

 

Infected Object Name Virus Name Last Action

C:\!KillBox\wmimgr32.dl_.mwt/ Infected: Virus.Win32.Sality.k skipped

 

C:\!KillBox\wmimgr32.dl_.mwt MS Expand: infected - 1 skipped

 

C:\Documents and Settings\Karine\Desktop\MWAV.EXE Infected: Virus.Win32.Sality.l skipped

 

Scan was interrupted by user!

[Invité Laurent_62]

Tout d'abord je vais te demander si tu as suivi le conseil donné par Charles Ingals

 

salut Laurent_62 ,kl3000

 

Te serais t'il possible d'uploader un des fichiers infectés sur le site de notre expert en la matière S!RI , pour qu'il l'analyse stp?? celui ci par exemple : C:\i386\AUTOCHK.EXE

l'adresse ou l'envoyer(le fichier ne doit pas excéder 600ko):

http://siri.urz.free.fr/upload/

 

merci beaucoup j'espère qu'on vas pouvoir te débarrasser de cette daube!!(merci à Laurent_62 !)

Sinon il serait tres interessant d'y penser car l'analyse des fichiers infectés est le seul moyen de trouver des solutions efficaces et cela permettra d'aider beaucoup de personnes infectées par ce Sality. Bien sur le fichier sera l'un des deux infectés trouvés il va sans dire.

 

*** ***///***///***///***///***///***///***///***///***///***///***///***///***///***///***///***///***///

Le plus simple est de relancer l'utilitaire de Kapersky en mode sans echec qui est le seul efficace contre ce sality.

Mais avant ca nous allons supprimer ces fichiers

 

Histoire d'en être débarassé

 

Ouvre le bloc note demarrer > tous les programmes > accessoires > blocnote

fais un copier coller de ce texte

 

@ECHO OFF

if exist "C:\!KillBox\wmimgr32.dl_.mwt" attrib -r -s -h "C:\!KillBox\wmimgr32.dl_.mwt"

if exist "C:\!KillBox\wmimgr32.dl_.mwt" del /a /f "C:\!KillBox\wmimgr32.dl_.mwt"

if exist "C:\Documents and Settings\Karine\Desktop\MWAV.EXE" attrib -r -s -h "C:\Documents and Settings\Karine\Desktop\MWAV.EXE"

if exist "C:\Documents and Settings\Karine\Desktop\MWAV.EXE" del /a /f "C:\Documents and Settings\Karine\Desktop\MWAV.EXE"

 

Fichier > enregistrer sous

dans type de fichier selectionne "tous"

nomme ce fichier

sup.bat

enregistre le sur le bureau

 

Redémarre en mode sans echec

 

Doubleclique sur le fichier sup.bat

 

lance l'utilitaire Kapersky ( C:\Kaspersky\mwavscan.com )

pour rappel la procédure se trouve ici http://forum.zebulon.fr/index.php?s=&showt...ndpost&p=738559

 

Une fois fini redémarre

 

refais un scan en ligne avec Kapersky mais si possible complet pour voir si l'infection a été erradiquée ou si elle continue malgres tout à se propager

 

Decidement tres coriace ce Sality

Modifié le 19 mai 2006 par Laurent_62

[kl3000]

Déjà, j'ai terminé le scan avec Kasperky. Voilà le log final :

 

KASPERSKY ON-LINE SCANNER REPORT

Friday, May 19, 2006 10:42:18 PM

Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 19/05/2006

Kaspersky Anti-Virus database records: 183298

 

 

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

A:\

C:\

D:\

 

Scan Statistics

Total number of scanned objects 40248

Number of viruses found 3

Number of infected objects 125

Number of suspicious objects 0

Duration of the scan process 01:02:14

 

Infected Object Name Virus Name Last Action

C:\!KillBox\wmimgr32.dl_.mwt/ Infected: Virus.Win32.Sality.k skipped

 

C:\!KillBox\wmimgr32.dl_.mwt MS Expand: infected - 1 skipped

 

C:\Documents and Settings\Karine\Desktop\MWAV.EXE Infected: Virus.Win32.Sality.l skipped

 

C:\Kaspersky\Getvlist.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Killbox\KillBox.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashAvast.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashBug.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashChest.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashDisp.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashLogV.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashPopWz.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashQuick.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashServ.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashSimp2.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashSkPck.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashUpd.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Alwil Software\Avast4\sched.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\hijackThis\HijackThis.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Macromedia\Flash 8\Flash.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Macromedia\Flash.zip/Flash.exe Infected: Virus.Win32.Sality.l skipped

 

C:\Program Files\Macromedia\Flash.zip ZIP: infected - 1 skipped

 

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe Infected: Virus.Win32.Sality.l skipped

 

C:\regseeker\RegSeeker\RegSeeker.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\$NtUninstallKB911567-OE6SP1-20060316.165634$\msimn.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\$NtUninstallKB911567-OE6SP1-20060316.165634$\oemig50.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\$NtUninstallKB911567-OE6SP1-20060316.165634$\wab.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\$NtUninstallKB911567-OE6SP1-20060316.165634$\wabmig.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Downloaded Installations\Macromedia Flash 8\WindowsInstaller-KB884016-v2-x86.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{2BD5C305-1B27-4D41-B690-7A61172D2FEB}\ARPPRODUCTICONFL8.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{350C97B0-3D7C-4EE8-BAA9-00BCB3D54227}\places.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{3869903C-0EF4-48D9-A12F-145AD549BA12}\sbase.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{3869903C-0EF4-48D9-A12F-145AD549BA12}\scalc.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{3869903C-0EF4-48D9-A12F-145AD549BA12}\sdraw.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{3869903C-0EF4-48D9-A12F-145AD549BA12}\simpress.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{3869903C-0EF4-48D9-A12F-145AD549BA12}\smath.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{3869903C-0EF4-48D9-A12F-145AD549BA12}\soffice.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{3869903C-0EF4-48D9-A12F-145AD549BA12}\swriter.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{3C8C9FB3-5FDF-40B4-B314-EAD722728C76}\EMARPPRODUCTICON.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\Installer\{8BF2C401-02CE-424D-BC26-6C4F9FB446B6}\ARPPRODUCTICONFLV1.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\IsUninst.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HscUpd.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dplaysvr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dpnsvr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dpvsetup.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dxdiag.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dxdllreg.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\setdebug.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\accwiz.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\admin.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\agentsvr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\ahui.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\alg.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\at.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\atmadm.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\auditusr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\author.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\autochk.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\autoconv.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\autofmt.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\autolfn.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\blastcln.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\cfgwiz.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\cisvc.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\cliconfg.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\clipbrd.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\clipsrv.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\cmd.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\cmdl32.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\cmmon32.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\cmstp.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\comrepl.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\conf.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\conime.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\cscript.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\csrss.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\ctfmon.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\ddeshare.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\defrag.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dfrgfat.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dfrgntfs.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\diantz.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\diskpart.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dlimport.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dllhost.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dmadmin.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dmremote.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dplaysvr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dpnsvr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dpvsetup.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dumprep.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dvdupgrd.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dwwin.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\dxdiag.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\eudcedit.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\evntcmd.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\evntwin.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\explorer.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\extrac32.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\faxpatch.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\findstr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fltmc.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fontview.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fp98sadm.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fp98swin.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fpadmcgi.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fpcount.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fpremadm.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fpsrvadm.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fsquirt.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\ftp.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fxsclnt.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\fxscover.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\grpconv.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\SoftwareDistribution\Download\16b2c96a0c41f4dfdb4d3cc228a4f819\helpctr.exe Infected: Virus.Win32.Sality.l skipped

 

C:\WINDOWS\system32\wcuauth.dll Infected: Trojan.Win32.AVKill.i skipped

 

C:\WINDOWS\system32\wmimgr32.dll Infected: Virus.Win32.Sality.k skipped

 

Scan process completed.

 

L'envoi du fichier demandé par charles ingalls avait echoué et entre temps le fichier avait était désinfecté, mais j'ai l'occasion de vous en envoyer un tout nouvellement infecté.

[Invité Laurent_62]

Ok n'hesite surtout pas à envoyer l'un de ces fichiers c'est pour la bonne cause , en te remerciant pas avance.

 

 

 

Cela dit il va falloir recommencer la procédure complète décrite sur la réponse #12

http://forum.zebulon.fr/index.php?s=&showt...ndpost&p=738559

Car c'est à cette heure le moyen le plus efficace que j'ai à proposer

 

 

 

Je vais tout de même essayer de contacter un conseiller en sécurité afin de voir si une idée pourrait surgir car la c'est pas tres simple. et tout ce que l'on arrive à faire c'est contenir l'infection sans pour autant réussir à l'erradiquer.

 

A suivre avec interet.

 

Bon courage

[Thanos]

salut Laurent_62 , kl3000

 

Une belle saloperie ce virus!! Le problème étant qu'il se régénère!

Si tu veux bien(je sais que c'est pénible tous ces rapports!),j'aimerai en voir plus!

Peux tu stp, faire ceci:

 

-télécharge WinPFind et met le das un dossier:

http://www.bleepingcomputer.com/files/oldtimer/WinPFind.zip

dezippe le et lance winpfind.exe

clique sur Start Scan et soit patient ca peut durer une demi heure

et poste le rapport.

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Poste les deux rapport, on va faire quelques investigations! Allez, courage

Modifié le 20 mai 2006 par charles ingals

[kl3000]

Avant de faire tout ca, vendredi soir j'ai pensé que ce serait bien de mettre à jour ma machine alors Windows Update m'a proposé d'installer Windows Service Pack 2. Grave erreur! Mon PC ne redemarre plus sous Windows!!!

 

Je vais tout réinstaller, c'est la meilleure solution.

 

En tout cas, je vous remercie pour votre aide.

[Thanos]

salut kl3000

 

Aie!!.... dommage qu'on ait pas pu te prévénir!Faire une mise à jour de Windows alors que celui ci est endommagé ou vérolé est à proscrire totalement!! Surtout une mise à jour aussi importante que le SP2!

Beaucoup de personnes qui viennent demander de l'aide , on un os qui n'est pas à jour,on le leur fait remarquer: mais on insiste bien sur le fait qu'ils ne doivent faire les MAJ qu'une fois le pc clean!!

 

Un grand merci à Laurent_62

 

Voilà quelques conseils, pour sécuriser ton et éviter les infections à l'avenir:

 

Commence par formater ton pc (en NTFS) en suivant les infos sur ce site=>

http://www.informatruc.com/formatage_ntfs.php

 

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

 

http://gerard.melone.free.fr/IT/IT-AM0.html

 

1)-Voici les utilitaires et programmes que tu peux installer pour sécuriser ton pc:

 

=>Erunt:Pour faire une sauvegarde de la base de registre de manière très simple.A faire maintenant que tu as formaté et que ton pc est clean!C'est important de pouvoir restaurer le registre et retrouver ainsi un système fonctionnel en cas de gros problème:

 

-Téléchargement: http://telechargement.zebulon.fr/202-erunt.html

son utilisation (au paragraphe "Sauvegarder le registre" de cette page): http://www.zebulon.fr/articles/base-de-registre-3.php

 

=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE! :

 

=>Télécharge Ie-spyad2 d'Eric L. Howes:

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit=>(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

 

=> ZebProtect (pour sécuriser les ports de ton pc,très simple)

 

-Tutorial:http://www.zebulon.fr/articles/zebprotect.php

-Téléchargement: http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du pc:

 

http://www.pcflank.com/

 

 

=>SpywareBlaster:

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=>Ad-aware SE un excellent antispyware pour scanner le pc( pour bénéficier de la protection en temsp réel, il faut choisir la version payante)

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

 

=>SpyBot-Search & Destroy(intègre une protection en temps réel apellée Teatimer)

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

=>Ewido:ici

c'est une version d'essai,qui perd certaines fonctions payantes,(pas de protection résidente apres 14 jours)

mais il reste efficace!Met le à jour avant de scanner ton pc.Excellent antitroyan.

 

2)-Les utilitaires pour nettoyer le pc:

 

=>EasyCleaner de Toni Helenius

Utiliser uniquement les fonctions "Registre" et "Inutiles".Ne pas toucher à la fonction doublons.

 

-Tutorial:

http://www.uptoopc.net/nettoyer/temporaires.php

http://www.uptoopc.net/nettoyer/registre.php

http://www.uptoopc.net/nettoyer/autresfonctions.php

 

=> Regseeker : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'appliquer de nombreux paramètres Windows.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

 

-Téléchargement : http://www.hoverdesk.net/freeware.htm

 

-Turorial : http://www.zebulon.fr/articles/regseeker-1.php

 

=> JV16 PowerTools de Jouni Vuorio : Utilitaire tres complet : Il integre les fonctions de Regcleaner.Dédié au nettoyage du registre

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

 

-Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

 

-Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

Conserve Ewido,il est à l'essai 14 jours puis il perd certaines fonctions payantes, mais il reste efficace!Met le à jour avant de scanner ton pc.

 

-Pour finir,il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware:

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens ce sont joint pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaire, peuvent déposer une plainte contre le malware et leurs auteurs.

Plus d'info sur le topic d'ipl_001 ici(merci à Kimberley !!)=>

 

http://forum.zebulon.fr/index.php?showtopic=88688

Bon surf