RESOLU / Eradication malwares

[pierreforestier]

bonjour pierreforestier,

 

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\system32\ozukrgok.pwi

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

rend toi ici C:\ !KillBox et ouvre le dossier!KillBox et poste le fichier texte qui s'y trouve s'il te plait.

 

Merci. Voici le rapport:

Pocket Killbox version 2.0.0.648

Running on Windows XP as pierre(Administrator)

was started @ samedi, mai 20, 2006, 2:55 PM

 

# 1 [Files to Delete]

Path = c:\windows\system32\ozukrgok.pwi

*This file does not seem to exist

 

# 2 [Delete on Reboot]

Path = c:\windows\system32\ozukrgok.pwi

*This file does not seem to exist

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 2:57:44 PM

Killbox Closed(Exit) @ 2:57:46 PM

__________________________________________________

[bruce lee]

re,

 

bon apparement le fichier n'existe pas.Refais un scan en ligne et poste le rapport s'il te plait.

[pierreforestier]

re,

 

bon apparement le fichier n'existe pas.Refais un scan en ligne et poste le rapport s'il te plait.

 

 

-----

Voilà!

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER - RAPPORT

samedi 20 mai 2006 16:17:20

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 20/05/2006

Enregistrements dans la base antivirus Kaspersky : 183417

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie.: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

 

Statistiques de l'analyse:

Total d'objets analysés :: 83549

Nombre de virus trouvés: 2

Nombre d'objets infectés: 10

Nombre d'objets suspects: 0

Durée de l'analyse: 00:43:22

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\pierre\Local Settings\Temporary Internet Files\Content.IE5\4H6JKLYZ\ishow5[1].asp Infecté: Worm.Win32.Feebs.gen ignoré

C:\Documents and Settings\pierre\Local Settings\Temporary Internet Files\Content.IE5\WLAZCPQF\ishow5[1].asp Infecté: Worm.Win32.Feebs.gen ignoré

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED/UNNAMED/[From [email protected]][Date Wed, 3 Mar 2004 14:33:10 +0100]/document_full.pif Infecté: Email-Worm.Win32.NetSky.d ignoré

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED/UNNAMED Infecté: Email-Worm.Win32.NetSky.d ignoré

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED Infecté: Email-Worm.Win32.NetSky.d ignoré

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx Mail MS Outlook 5: infecté - 3 ignoré

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Local Settings\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED/UNNAMED/[From [email protected]][Date Wed, 3 Mar 2004 14:33:10 +0100]/document_full.pif Infecté: Email-Worm.Win32.NetSky.d ignoré

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Local Settings\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED/UNNAMED Infecté: Email-Worm.Win32.NetSky.d ignoré

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Local Settings\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED Infecté: Email-Worm.Win32.NetSky.d ignoré

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Local Settings\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx Mail MS Outlook 5: infecté - 3 ignoré

 

Analyse terminée.

--------

 

P.S: je me régale! j'apprends beaucoup. merci

[bruce lee]

re,

 

la bestiole que l'on ne trouvait pas ozukrgok.pwi a du etre supprimé ce qui est une bonne chose

 

on avance bien, pu que deux petites bestioles .

 

1/ lance internet explorer, tu cliques sur "outils" puis sur "options internet..." tu vas dans l'

onglet "general" et dans "Fichiers internet temporaires" tu cliques sur:

 

supprimer les cookies...

supprimer les fichiers...

 

 

2/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

3/ demarrer/poste de travail/ Disque local (G:)

 

apres avoir cliqué sur Disque local (G:) tu cliques sur le dossier RECYCLER et tu

supprimes tout ce qu'il y dedans.

 

 

4/ refais un scan chez kaspersky et poste le rapport s'il te plait.

Modifié le 20 mai 2006 par bruce lee

[pierreforestier]

re,

 

la bestiole que l'on ne trouvait pas ozukrgok.pwi a du etre supprimé ce qui est une bonne chose

 

on avance bien, pu que deux petites bestioles .

 

1/ lance internet explorer, tu cliques sur "outils" puis sur "options internet..." tu vas dans l'

onglet "general" et dans "Fichiers internet temporaires" tu cliques sur:

 

supprimer les cookies...

supprimer les fichiers...

2/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

3/ demarrer/poste de travail/ Disque local (G:)

 

apres avoir cliqué sur Disque local (G:) tu cliques sur le dossier RECYCLER et tu

supprimes tout ce qu'il y dedans.

4/ refais un scan chez kaspersky et poste le rapport s'il te plait.

----------------

Je n'arrive pas à supprimer le fichier : S-1-5-21-1078081533-1767777339-839522115-1004. Il revient toujours.

J'ai ensuite utilisé killbox pour le détruire, j'ai analysé le disque G avec kaspersky ... qui me dit que tout est correct!!

Je ferai demain un scan complet et je t'enverrai le rapport.

Bonne nuit

Pierre

Modifié le 20 mai 2006 par pierreforestier

[bruce lee]

bonjour pierreforestier,

 

si tu as deja scanner le lecteur G et qu'il n'y a aucune bebete. Scan seulement le lecteur C.

 

@+

 

EDIT: microdog

Modifié le 21 mai 2006 par bruce lee

[pierreforestier]

bonjour pierreforestier,

 

si tu as deja scanner le lecteur G et qu'il n'y a aucune bebete. Scan seulement le lecteur C.

 

@+

 

EDIT: microdog

 

 

Salut Bruce!

 

J'ai fait un scan complet de tout le systeme avec Kas et Antivir, les 2 n'ont rien trouvé! Les petites bêtes ont du partir.

Par contre j'ai tjrs quelques fenêtres qui s'ouvrent quand je rentre sur le net, style casino ou autre.

Cordialement

Pierre

[bruce lee]

re,

 

pour les pages qui s'ouvrent telecharge et installe ceci http://toolbar.google.com/intl/fr/index_ie et dis moi ce que ca donne.

 

@+

[pierreforestier]

re,

 

pour les pages qui s'ouvrent telecharge et installe ceci http://toolbar.google.com/intl/fr/index_ie et dis moi ce que ca donne.

 

@+

 

 

bonjour!

J'avais déjà la barre google, mais j'ai réinstallé par dessus.

J'ai toujours quelques pub qui m'énervent!!!!

Ci joint le dernier rapport Hijack

Cordialement

Pierre

--------

Logfile of HijackThis v1.99.1

Scan saved at 10:25:55, on 22/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\Logitech\Video\AlbumDB2.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\System32\LVComsX.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/abonnes/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.isearch.com/index.php?app=SE&af...ODQ6NTo5&Terms=

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKLM\..\Run: [ManualRun] "E:\AUTORUN\AutoRun"

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [mcqvyjunrd] c:\windows\system32\mcqvyjunrd.exe mcqvyjunrd

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program Files\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - Startup: desktop(2)(2).ini

O4 - Startup: desktop(2).ini

O4 - Global Startup: desktop(2)(2).ini

O4 - Global Startup: desktop(2).ini

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1144816829546

O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://adobe.kodakgallery.fr/downloads/BUM..._1/axofupld.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://fdata.over-blog.com/script/ImageUploader3.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fnacphoto.com/ectelechargement/...oad/XUpload.ocx

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

[bruce lee]

bonjour,

 

es tu sur que c'est le log du meme PC?