WORM/Medbot.A

[clis]

bonjour tt le monde

voila mon probleme ...

 

j'ai un virus que detecte antivir (resident)

a chaque demarrage du pc il le vire ... mais reviens tjrs

j'ai fait des analyses et procedure de tt sorte en mode sans echec (nettoyage etc..)

panda en ligne --> rien trouver

scan de antivir --> 22 warning, o infection

ad-aware, spybot, hijakthis ...

 

et toujours ce petit caca

 

quelqu'un pourrait-il m'orienter ?

 

je laisse le rapport de EWIDO

et celui hijackthis

 

qu'est-ce que je peux fixer dans hijackthis ?

(mise a par les 04 du demarrage que je reconnais, les autres ché pas trop)

 

merci pour votre aide

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 18:04 pierrot, 18/05/2006

+ Somme de contrôle: 894341E2

 

+ Résultats du scan:

 

[2820] VM_00400000 -> Trojan.Small : Erreur durant le nettoyage

C:\WINDOWS\system\smss.exe -> Trojan.Small : Nettoyer et sauvegarder

C:\Documents and Settings\pierre\Mes documents\telechargement de la mule\Totalidea Tweak-XP Pro v4.0.6 Crack - Keygen - Serial.zip/crackfix.exe -> Trojan.BHO.b : Nettoyer et sauvegarder

::Fin du rapport

 

h i j a c k t h i s .......

 

Logfile of HijackThis v1.99.1

Scan saved at 16:18 pierrot, on 18/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe

C:\Program Files\Lavasoft\Ad-Aware SE Plus\Ad-Aware.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = surf avec IExplorer

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [FTP Server] C:\PROGRA~1\TYPSOF~1\ftpserv.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe

O4 - HKCU\..\Run: [Pense-Bête] C:\Program Files\Pense-bete\pb79b.exe

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1122637501187

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1147295268203

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[Invité Laurent_62]

Bonsoir,

 

Je crois que j'ai trouvé la source des infections

C:\Documents and Settings\pierre\Mes documents\ [b]telechargement de la mule[/b] \Totalidea Tweak-XP Pro v4.0.6 [b]Crack - Keygen[/b] - Serial.zip/crackfix.exe

 

qu'est-ce que je peux fixer dans hijackthis ?

(mise a par les 04 du demarrage que je reconnais, les autres ché pas trop)

 

Celle ci aussi on l'exclue de l'analyse ????

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\ system \smss.exe /w

Modifié le 18 mai 2006 par Laurent_62

[did71]

bonsoir Laurent_62, clis,

 

cette ligne est bien à fixer dans hijackthis :

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

 

et supprimer ensuite :

 

C:\WINDOWS\system\smss.exe

 

attention ne pas supprimer smss.exe qui se trouve sous C:\WINDOWS\system32 et qui est légitime

 

a+

[Invité Laurent_62]

Bonsoir, did71

 

Ce fichier ne fait aucun doute mais je ne faisais que lui demander confirmation vu que clis excluait les lignes 04 dans sa question

 

Bonne continuation

[clis]

je viens de voir , enfin de lire, et grave la gaffe !!!! (mdr)

peu pas faire mieux , desoler...

merci, pour le coup de pouce ....

je vais faire de ce pas les suppressions de tout ca

merci encore ...

je pense que cela devrais aller mieux apres ...

z'avais pas ouvert mes yeux....