Demande d'aide pour désinfecter mon ordi

[bruce lee]

re,

 

on va maintenant passer a la suppression de la bestiole:

 

Option 2 autofix (réparation utomatique)

• Ouvrir le dossier C:\Programm Files\haxfix et double-cliquer sur fix.bat
  (ou double-cliquer sur l'icone du bureau fix.bat )
  
• Fermer toutes les autres fenêtres, car Haxfix re-démarerra le système.
  
• Selectionner l'option 2. Run auto fix en tapant 2 puis "Entrée"
  

si une infection est trouvée, Vous aurez un message demandant de fermer toutes les autres fenêtres ouvertes.

• Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis taper "Entrée"
  
• La machine sera re-démarrée
  
• En fin de re-démarrage un rapport s'ouvrira > (c:\haxfix.txt)
  
• Poster le contenu de ce rapport ainsi qu'un nouveau rapport HijackThis .
  

[thiri]

re,

 

Je te fais suivre le fichier Haxfix, par contre, j'ai encore des alerte de type Win32:AgetnQJ !

 

HAXFIX logfile - by Marckie

--------------

version 2.42

22/05/2006 23:12:58,98

 

Auto Haxdoorfix

 

 

haxdoor key: xdud

searching for services....

services found

deleting services.....

 

 

rebooting the computer.....

 

 

haxdoor key: xdud

searching for services....

services not found

 

checking if files are found.....

xdudtt.dll

 

deleting files.....

 

checking if files are deleted.....

 

 

checking for other files.....

klgcptini.dat

fux87.ini

ps.a3d

 

deleting other files.....

 

checking if the files are deleted.....

 

 

Finished

[bruce lee]

bonjour,

 

et le nouveau log hijackthis il est ou ?

[thiri]

Re,

 

Desolé, mais j'etais parti en vacances entre 2 .

Le log ci-joint

 

Logfile of HijackThis v1.99.1

Scan saved at 19:51:25, on 29/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\services.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\HIMENSYST.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\thierry\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Windows File Migration Wizard] HIMENSYST.EXE

O4 - HKLM\..\RunServices: [Windows File Migration Wizard] HIMENSYST.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: offline-8876480 - {0BF45310-2AC0-4383-93C2-72E5C23E80E9} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Documents\Settings\polymorph.dll

O23 - Service: AolSoftwares (aolsoftwares) - Unknown owner - C:\WINDOWS\services.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)

[bruce lee]

bonjour,

 

bonne nouvelle, le haxdoor a bel et bien été erradiqué, beau boulot

 

j'aimerai que tu fasses une petite recherche:

 

1/

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

2/

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

 

recherche (demarrer/rechercher) et recherche ce fichier:

 

HIMENSYST.EXE

 

si tu le trouves rend toi sur ce site http://virusscan.jotti.org/ et fais le analyser et poste le rapport.

[thiri]

HIMENSYST.EXE est bien sur mon PC par contre, tu ne connais pas un autre site sur lequel je peux le faire analyser car le serveur est un peu busy en ce moment !

[bruce lee]

re,

 

essaye celui la:

 

http://www.virustotal.com/flash/index_en.html

[thiri]

Voila l'analyse de HIMENSYST.Exe

A priori, tout est OK, que dois-je faire maintenant ???

 

Service load: 0% 100%

 

File: HIMENSYST.EXE

 

 

Status: OK

MD5 8c58e9f0a5b3ab83bcf9523118649ae2

Packers detected: -

Scanner results

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VirusBuster Found nothing

VBA32 Found nothing

[bruce lee]

re,

 

A priori, tout est OK, que dois-je faire maintenant ???

 

patiente un peu le temps que je regarde ton nouveau log, retour dans 20 minutes

[bruce lee]

re,

 

 

 

1/-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/fais:

demarer executer services.msc repere AolSoftwares

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

fais la meme manip avec:

 

Network DRV

wins

 

 

4/maintenant on supprimer le service:

 

demarrer/executer/ cmd

 

execute cette commande qui est en citation sans le mot citation:

 

sc delete aolsoftwares

 

fais la meme manip avec:

 

NTDRV

wins

 

 

5/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O4 - HKLM\..\Run: [Windows File Migration Wizard] HIMENSYST.EXE

O4 - HKLM\..\RunServices: [Windows File Migration Wizard] HIMENSYST.EXE

O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Documents\Settings\polymorph.dll

O23 - Service: AolSoftwares (aolsoftwares) - Unknown owner - C:\WINDOWS\services.exe

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)

 

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

7/-Lance Pocketkillbox,choisis l'option Delete on reboot

 

choisis all files

 

Copie le chemin des fichiers entier, en gras ci-bas, et colle les dans la boîte Full Path of File to Delete :

C:\Documents and Settings\All Users\Documents\Settings\polymorph.dll

C:\WINDOWS\services.exe

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

 

6/redemarre en mode normal

 

9/poste un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+