rapport hijackthis ... help... (Résolu)

[buzz 06]

maintenant j'attends plus que de vos nouvelles afin de me donner la marche a suivre.

 

 

en tout cas un immense merci pour votre patience et votre disponibilité.

[buzz 06]

voici pour info, ce qui m'est indiqué dans les alertes mail (qui sont toujours la...)

 

Il y a trop de mails identiques envoyés dans un faible intervalle de temps

 

 

Expéditeur : "kkngpgc" <kkngpgc@discoverfinancial.com>

Destinataire : cdgreen@telusplanet.net

Sujet : Fw: cdgreenIl y a trop de mails identiques envoyés dans un faible intervalle de temps

 

 

Expéditeur : "yboakdpvzv" <yboakdpvzv@wood.com>

Destinataire : cdgreen@telusplanet.net; cdgreen@telus.net

Sujet : Fw: cdgreen

 

Expéditeur : "yboakdpvzv" <yboakdpvzv@wood.com>

Destinataire : cdgreen@telusplanet.net; cdgreen@telus.net

Sujet : Fw: cdgreenIl y a trop de mails identiques envoyés dans un faible intervalle de temps

 

 

Expéditeur : "yeoqvszw" <yeoqvszw@motorola.com>

Destinataire : cdgreen@telusplanet.net; cdgreen@telus.net; cdgreen@sympatico.ca

Sujet : Fw: cdgreen

 

 

qu'en dites vous?*

[regis56]

Re

 

je comprend pas pourquoi on retrouve les mêmes fichiers qui aurait du étre supprimé par killbox as tu eu un problème avec killbox ?

 

Seul ces fichiers on été supprimé a priori :

 

c:\windows\system32\mswinf32.dll

c:\windows\system32\mtc.dll

c:\windows\system32\tcpservice2.exe

 

On va retenter la manip

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Peut tu faire ceci STP ?

 

- redémarre l'ordinateur en mode sans échec

 

- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\system32\cd_clint.dll

c:\windows\system32\azebar.xml

c:\windows\system32\ddmp.dll

c:\windows\dpe.dll

c:\windows\uniq

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- si un ou des fichiers ".dll" sont présents dans la liste, coche "Unregister .dll Before Deleting".

--- clique sur la croix blanche sur fond rouge (Delete File) :

 

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

 

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

 

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

 

Ensuite on va vérifier si les fichiers sont toujours présents !

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Ensuite on va désebregistrer les DLL infectieuses !

 

Démarrer/Exécuter / taper NotePad et cliquer sur OK pour lancer le bloc-notes / copier-coller le texte suivant :

@echo off
echo D‚senregistrement-Suppression d'un fichier DLL localis‚ dans System32
echo (modifier les parties en italique)
echo.
echo cd_clint
set temp-gM=cd_clint
%systemdrive%\
cd \Windows\System32
regsvr32.exe /u %temp-gM%.dll
attrib -s -h -r %temp-gM%.dll
del /q %temp-gM%.dll
set temp-gM=

 

Fichier/Enregistrer sous... / Enregistrer dans : Bureau; Nom de fichier : Fixdll.bat; Type : Tous les fichiers / Enregistrer

Double-cliquer sur Fixdll.bat (sur le bureau), une fenêtre sur fond noir s'ouvre puis se ferme rapidement, c'est normal, tout est très rapide !

 

Recommence la manip avec ce code STP

@echo off
echo D‚senregistrement-Suppression d'un fichier DLL localis‚ dans System32
echo (modifier les parties en italique)
echo.
echo ddmp
set temp-gM=ddmp
%systemdrive%\
cd \Windows\System32
regsvr32.exe /u %temp-gM%.dll
attrib -s -h -r %temp-gM%.dll
del /q %temp-gM%.dll
set temp-gM=

 

Et enfuin avec celui ci

@echo off
echo D‚senregistrement-Suppression d'un fichier DLL localis‚ dans System32
echo (modifier les parties en italique)
echo.
echo dpe
set temp-gM=dpe
%systemdrive%\
cd \Windows\System32
regsvr32.exe /u %temp-gM%.dll
attrib -s -h -r %temp-gM%.dll
del /q %temp-gM%.dll
set temp-gM=

 

Maintenant on va supprimer manuellement les fichiers infectieux !

 

Si les suppressions echoues retente en mode sans échec STP !

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\WINDOWS\system32\

Le dossier va s'ouvrir

Supprime le fichier indiqué en gras si présent:

cd_clint.dll(clique droit /supprimer)

azebar.xml

ddmp.dll

 

Répète l'opération pour ceux là

c:\windows\

dpe.dll

uniq

 

Vider la poubelle !

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

-Redémarrer en mode normal Si besoin :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport Panda

-Indiquer si le Pc présente encore des dysfonctionnements

 

Bon courage et tiens nous au courant à plus !

Modifié le 23 mai 2006 par regis56

[buzz 06]

re

j'ai eu aucun problemes avec killbox...

 

je comprends pas j'ai tout fais comme il faut semble til...

 

je commence la procedure conseillée. a tte

[buzz 06]

salut, je viens de terminer la procedure. l'envoi de mail persiste, firefox et a terme ma machine plantent toujours... on dirait que le nombre de mails augmentent, j'ai de plus en plus d'alertes

 

j'ai pas pu les supprimer en manuel, cer je les ai plus retrouvé dans system32 après avoir passé la kill box

 

et la manip avec le bloc note n'a apperement pas fonctionné en me renvoyant le message d'erreur suivant:

 

<< loadlibrary "nom du fichier" a échoué, le module spécifié est introuvable >>

 

d'autre part easy cleaner ne fonctionne apperement pas sur mon pc, carquand je clique sur le raccourci, rien ne se passes...

 

ensuite le rapport de PANDA:

 

 

Incident Status Location

 

Adware:adware/cydoor Not disinfected c:\windows\system32\cd_load.exe

 

Spyware:spyware/dynadesk Not disinfected c:\windows\system32\redirect.dll

 

 

voila je reste a votre écoute.

 

amicalement.

Modifié le 24 mai 2006 par buzz 06

[regis56]

Bonjour buzz 06 !

 

Effectivement ton cas n'est pas simple !

Mais on progresse => Panda montre des fichiers qui n'apparraissaient pas auparavant !

 

On va continuer comme ceci

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

On va regarder la date de l'infection si tu veux bien !

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge c:\windows\system32\

Le dossier va s'ouvrir

Recherche le fichier indiqué en gras si présent:

redirect.dll => regarde la date et l'heure exacte de création du fichier STP note le et donne l'info lors de la prochaine réponse STP

 

Fais de même pour celui ci qui se trouve dans le même dossier !

cd_load.exe

 

Ensuite

 

- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

c:\windows\system32\redirect.dll

c:\windows\system32\cd_load.exe

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- cocher "Unregister .dll Before Deleting".

--- clique sur la croix blanche sur fond rouge (Delete File) :

 

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

 

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

 

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

 

Refais un scan Panda STP et poste le ici !

 

A plus !

[buzz 06]

c'est parti!

 

merci encore de ton aide précieuse. a tte

[buzz 06]

c'est fait, j'ai viré les deux choses, mais les alertes persistentent encore et encore dès que je repasse en mode normal, et donc connecté...

 

voici les dates et heures d'apparition et de dernières modifications des deux fichiers demandés :

redirect: vendredi 17 février 2006, 14:49:00

modifié le: jeudi 4 mai 2006, 10:20:04

 

cd load: vendredi 17 février 2006, 14:49:00

modifié le: jeudi 4 mai 2006, 10:20:03

 

 

a savoir que aux environs du 17 fevrier, j'avais eu une attaque assez violente de vrus (par ma faute je suis allé ou j'aurais pas dut...) et que je pensais avoir réussi a resoudre le probleme depuis, mais apperement j'avais pas tout désinfecté... et cela a été réactualise.

 

 

rapport de PANDA:

 

 

Incident Status Location

 

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Zedo Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[.zedo.com/]

Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[.tradedoubler.com/]

Spyware:Cookie/YieldManager Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[ad.yieldmanager.com/]

Spyware:Cookie/Adtech Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[.adtech.de/]

Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[.bluestreak.com/]

Spyware:Cookie/Falkag Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[as1.falkag.de/]

Spyware:Cookie/Serving-sys Not disinfected C:\Documents and Settings\Sébastien Buzieu\Application Data\Mozilla\Firefox\Profiles\k67wa897.default\cookies.txt[.serving-sys.com/]

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Sébastien Buzieu\Bureau\SmitfraudFix\Process.exe

Spyware:Cookie/PointRoll Not disinfected C:\Documents and Settings\Sébastien Buzieu\Cookies\sébastien buzieu@ads.pointroll[1].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Sébastien Buzieu\Cookies\sébastien buzieu@weborama[2].txt

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Sébastien Buzieu\Mes documents\SmitfraudFix.zip[smitfraudFix/Process.exe]

Adware:Adware/AzeSearch Not disinfected C:\Program Files\hijackthis\backups\backup-20060522-205635-210.inf

Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe

 

 

je comprends plus rien... plus j'enleve de truc, plus y en a

 

help

[regis56]

Bonsoir buzz 06 !

 

Je comprend pas le rapport est bon il reste juste les sauvegardes hijackthis !

 

On va quand même les supprimer mais je ne pense pas que cela résoudera le problème !

 

Tu vas essayer de faire ceci STP !

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Program Files\hijackthis\backups\

Le dossier va s'ouvrir

Supprime tous ce qui à dedans !

 

Ensuite fais ceci :

-Faire un scan antivirus en ligne à titre de vérification

http://housecall65.trendmicro.com/ (fire fox ou IE)

Et celui-ci

http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)

 

A la fin du scan, sauvegarder le rapport sur le Bureau.(cliquer sur l'onglet Résultats/ puis cliquer sur Edition/tout sélectionner/copier puis ouvrir un fichier texte et coller la sélection dedans)

N'oublie pas de supprimer ce qu'il trouve

 

-Poster le(s) rapport(s) trendmicro

 

A plus !

[buzz 06]

salut!

 

le second scan n'a rien trouvé du tout, par contre je n'ai pas réussi a faire le premier, au moment du scan, il y a un gros quicktime avec un point d'interogation qui s'affiche a la place du scan

je suppose que c'est un probleme avec flash player, que je n'ai jamais réussi a installer correctement pour firefox, car il y a pas mal d'animation que je ne peut pas voir sur le net... si on pouvait remedier a ça aussi en passant ça serait cool, a moins qu'il faille que je fasse un nouveau topic.

 

sinon, j'ai pas encore rebooté ma machine, mais pour l'instant l'ordi tourne parfaitement, a voir si ça continue après le reboot...

 

a suivre donc

 

merci en tout cas pour ton aide régis56!!!