cheval de troi trop tenace

[zlolo]

voila j'ai trop de virus et avast na pas voulu me les supprimer ni me les mettre en quarentaine j'ai donc fait un rapport hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 14:25:48, on 20/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\win32host.exe

C:\WINDOWS\system32\winscntrl.exe

C:\WINDOWS\System32\win32bootcfg.exe

C:\Program Files\asou.exe

C:\WINDOWS\System32\c02801c4.exe

C:\WINDOWS\System32\0mcamcap.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\michel82\LOCALS~1\Temp\Rar$EX00.899\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00009.exe"

O4 - HKLM\..\Run: [Windows Core Kernel Update] C:\WINDOWS\System32\win32bootcfg.exe

O4 - HKLM\..\Run: [sysTray] C:\Program Files\asou.exe

O4 - HKLM\..\Run: [c02801c4.exe] C:\WINDOWS\System32\c02801c4.exe

O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKCU\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\uwfx5.exe /scan

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKCU\..\Run: [c02801c4.exe] C:\Documents and Settings\michel82\Local Settings\Application Data\c02801c4.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{19B41133-0406-43E7-902B-F7D9EAB86C37}: NameServer = 212.27.54.252 213.228.0.168

O17 - HKLM\System\CS1\Services\Tcpip\..\{19B41133-0406-43E7-902B-F7D9EAB86C37}: NameServer = 212.27.54.252 213.228.0.168

O17 - HKLM\System\CS2\Services\Tcpip\..\{19B41133-0406-43E7-902B-F7D9EAB86C37}: NameServer = 212.27.54.252 213.228.0.168

O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe

 

 

alors s'il vous pouvez m'aider sa serais vraiment trop sympa

[Malekal_morte]

Bonjour zlolo,

 

Merci d'effectuer la procédure de pré-nettoyage : http://forum.zebulon.fr/index.php?showtopic=83986

 

et aussi d'installer un firewall : kerio - Aide Kerio ou ZoneAlarm ou encore Outpost.

[Invité Laurent_62]

Bonjour zlolo et bienvenue sur le forum de zeb-sécu!

 

Oups!!

 

désolé je n'avais pas vu l'intervention de Malekal_morte

 

Bonne journée à tout deux.

Modifié le 20 mai 2006 par Laurent_62

[Malekal_morte]

Bonjour Laurent_62,

 

On s'est un peu télescopé.

Si cela ne te dérange pas, j'aimerai continuer.

 

EDIT: Merci Laurent.

Modifié le 20 mai 2006 par Malekal_morte

[Invité Laurent_62]

Oh mais pas le moins du monde.

 

Bonne continuation

[zlolo]

je suis desole de vous avouir fait attendre mais la j'ai les nerf car jusqu'a présent je narrive plus a naviguer sur le net.

ceci etant j'ai fait le pré nettoyage comme vous me l'avais indiquer et voila le rapport hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 12:38:16, on 21/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\win32host.exe

C:\WINDOWS\system32\winscntrl.exe

C:\WINDOWS\System32\win32bootcfg.exe

C:\Program Files\asou.exe

C:\WINDOWS\System32\c02801c4.exe

C:\w32.exe

C:\WINDOWS\System32\0mcamcap.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00015.exe"

O4 - HKLM\..\Run: [Windows Core Kernel Update] C:\WINDOWS\System32\win32bootcfg.exe

O4 - HKLM\..\Run: [sysTray] C:\Program Files\asou.exe

O4 - HKLM\..\Run: [c02801c4.exe] C:\WINDOWS\System32\c02801c4.exe

O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKLM\..\Run: [WINDOWS] C:\w32.exe

O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKCU\..\Run: [c02801c4.exe] C:\Documents and Settings\michel82\Local Settings\Application Data\c02801c4.exe

O4 - HKCU\..\Run: [WinFixer2005] "C:\Program Files\WinFixer 2005\uwfx5.exe" /min

O4 - HKCU\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\uwfx5.exe /scan

O17 - HKLM\System\CCS\Services\Tcpip\..\{19B41133-0406-43E7-902B-F7D9EAB86C37}: NameServer = 212.27.54.252 212.27.32.5

O17 - HKLM\System\CS1\Services\Tcpip\..\{19B41133-0406-43E7-902B-F7D9EAB86C37}: NameServer = 212.27.54.252 212.27.32.5

O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll

O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Program Files\AVPersonal\AVWUPSRV.EXE (file missing)

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe

[Malekal_morte]

Télécharger haxfix.exe

et le sauvegarde sur le bureau.

• Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
  
• Cocher "Create a desktop icon"
  
• Cliquer "Next"
  
• Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
  
• Cliquer "Finish"
  

Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:

1. Make logfile (créer un rapport)

2. Run auto fix (lancer la réparation en mode automatique)

3. Run manual fix (lancer la réparation en mode manuel)

4. Run wnlogow fix (lancer la réparation pour wnlogow)

E. Exit Haxfix (quitter Haxfix)

 

[*]Selectionner l'option 3. Run manual fix en tapant 3 puis "Entrée"

 

ce message apparait:

echo Insert the haxdoorkey,

and then press Enter:

[*]taper ceci : xdudtt

Puis appuyer sur "Entrée".

 

Si l'infection est identifiée, tu verras un message te demandant de fermer toutes les fenêtres ("Close all windows").

Ferme les toutes, sauf la fenêtre DOS avec fond rouge (l'outil), et appuie sur "Entrer".

Ton PC va redémarrer.

Après le redémarrage, poste (copie/colle) le contenu du rapport, situé ici : C:\haxfix.txt

 

Colle également un nouveau log HijackThis.

[zlolo]

alors suite a cette demarche il n'a pas detecté l'infection je pense car il m'a affiché cela:

 

no matching service found

haxdoorkey has not been added

do you want to add a new haxdoorkey?

press y for yes or n for no and them press enter

[Malekal_morte]

Télécharge F-Secure Blacklight : http://www.f-secure.com/blacklight/try.shtml

 

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

[zlolo]

est ce que a la suite de ca j'aurais d'autre chose a telecharger? car je ne peut pas naviguer sur internet merci