Rapport Hijackthis

[Mejnor]

[size=2]Bonjour,

 

J'ai attrapé le syndrome de l'écran bleu. J'ai essayé de suivre quelques procédures sur le web, mais à mon grand étonnement aucuns programmes suggérant d'être effacer n'a pu être trouvé dans la liste de Hijackthis sur mon ordi. J'en déduit que je ne suis pas tombé sur la variante qui a infecté mon ordi.

Il est vrai que j'avais intuitivement déjà effacé plusieurs fichiers suspects.

J'ai réussi à avoir un fond d'écran blanc, mais le fameux écran bleu est revenu plus tard? Ce soir j'ai fais quelques tentatives en mode sans échecs, mais comme je l'ai dis je n'ai rien trouvé à effacer. Cependant lors de mon dernier redémarrage en mode normal pour poster mon problème, et bien au moment où j'écris ces lignes mon fond d'écran est redevenu blanc?

 

J'ai un cercle rouge avec un X blanc en bas à droite de mon écran dans la région de l'horloge de l'ordi.

Bref en fouillant avec explorateur windows j'ai l'impression qu'il y a plein de fichiers suspects, mais je n'ose plus les effacer n'étant pas certains s'ils sont nuisibles. Bref, mes limites en compétences informatiques ont été atteintes,

 

Merci d'avance pour votre aide

 

Mejnor[/size]

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:02:54, on 4/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Symantec\Ghost\ngserver.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\System32\sysservice.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\funk.exe

C:\WINDOWS\System32\ctfmon.exe

C:\themeGold55\CursorXP\CursorXP.exe

C:\PROGRA~1\SPYWAR~1\swdoctor.exe

C:\Program Files\Symantec\Ghost\bin\dbserv.exe

C:\Program Files\Symantec\Ghost\bin\rteng7.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

J:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [uSRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [NGServer] C:\Program Files\Symantec\Ghost\ngserver.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Microsoft Startup Manager] C:\WINDOWS\System32\sysservice.exe

O4 - HKLM\..\Run: [funk] funk.exe

O4 - HKLM\..\Run: [6be187f8.exe] C:\WINDOWS\System32\6be187f8.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [6be187f8.exe] C:\Documents and Settings\admin\Local Settings\Application Data\6be187f8.exe

O4 - HKCU\..\Run: [spyware Doctor] C:\PROGRA~1\SPYWAR~1\swdoctor.exe /Q

O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O16 - DPF: TruePass EPF 7,0,100,717 - https://blrscr3.egs-seg.gc.ca/applets/entru...sapplet-epf.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{71588BEC-1D9A-4961-8E9B-00D31956FE84}: NameServer = 66.129.128.2 66.129.128.4

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O20 - Winlogon Notify: xcdmfree - C:\WINDOWS\SYSTEM32\xcdmfree.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Program Files\Symantec\Ghost\bin\dbserv.exe

O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - C:\Program Files\Symantec\Ghost\ngserver.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

[horus agressor]

Bonjour,

 

O4 - HKLM\..\Run: [NGServer] C:\Program Files\Symantec\Ghost\ngserver.exe

 

Tu n'a pas une copie-miroir propre

 

Pour commencer une procédure, tu pourrais commencer par appliquer :

 

Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis

http://forum.zebulon.fr/index.php?showtopic=83986

 

Amicalement.

Modifié le 5 juin 2006 par horus agressor

[Mejnor]

Bonjour,

Tu n'a pas une copie-miroir propre

 

Pour commencer une procédure, tu pourrais commencer par appliquer :

 

Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis

http://forum.zebulon.fr/index.php?showtopic=83986

 

Amicalement.

 

 

Bonjour Horus,

 

Je prend des notes télécharges les programmes, imprime les directives et revient avec quelquechose de propre, espérons-le. Décalage oblige, ça sera pour ce soir au retour du travail (heure du Québec).

 

Bonne Journée et Merci

 

Mejnor

[Mejnor]

Rebonjour,

 

Alors maintenant ça semble être le syndrôme du fond d'écran BLANC! Merci tout de même pour avoir posté cette procédure. Beaucoup de larves en sont sortis

 

Donc, maintenant je me retrouve avec un fond d'écran blanc et je ne peux pas sélectionner aucun fond de bureau.

 

Autre chose! Ai-je été trop radical avec Antivir, en effet windows me signifie qu'il ne peut pas trouver le fichier

 

Program Files\Fichiers communs\Microsoft Shared\ Web Folder\ ibm00001.exe

 

Est-ce lourd de conséquence?

 

Finalement voici mon nouveau rapport après avoir suivi toutes les directives. J'ai même refait la procédure avec les updates d'antivir et de nouveaux mouchards sont sorti du sac.

 

Merci

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:38:14, on 5/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\System32\sysservice.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\themeGold55\CursorXP\CursorXP.exe

C:\WINDOWS\System32\msiexec.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [uSRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Microsoft Startup Manager] C:\WINDOWS\System32\sysservice.exe

O4 - HKLM\..\Run: [6be187f8.exe] C:\WINDOWS\System32\6be187f8.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [6be187f8.exe] C:\Documents and Settings\admin\Local Settings\Application Data\6be187f8.exe

O4 - HKCU\..\Run: [spyware Doctor] C:\PROGRA~1\SPYWAR~1\swdoctor.exe /Q

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O16 - DPF: TruePass EPF 7,0,100,717 - https://blrscr3.egs-seg.gc.ca/applets/entru...sapplet-epf.cab

O20 - Winlogon Notify: xcdmfree - xcdmfree.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

[regis56]

Bonjour Mejnor !

 

Analyse en cours retour dans un instant !

[regis56]

Re

 

Tout d'abord ton système n'est pas à jour et tu n'as pas de firewall d'installé

=> on remédiera à ca plus tard !

 

Deuxièment tu as un keylogger sur ton Pc il faudra penser très sérieusement à changer tout tes mots de passes (banquaire y compris si besoin )

 

Cette bestiole est très dur a faire partir sur d'autes forum il demande de formater d'emblé on sera peut étre obliger aussi mais pas tout de suite.

En tout cas prend tes précautions en sauvegardant dès maintenant tout tes documents importants !

 

 

Voici ce que tu vas devoir faire STP

 

-Télécharger SmitfraudFix de S!Ri sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

-Son tutorial

http://siri.urz.free.fr/Fix/SmitfraudFix.php

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

-Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant partie de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

-Télécharger la version d'évaluation d'Ewido (Programme faisant partie des anti-malwares):

http://www.ewido.net/en/download/

 

Installer et mettre à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" :

décocher les deux options "Install background guard" et "Install scan via context menu".

 

Démarrer Ewido avec l'icône qui se trouve sur le Bureau.

Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme.

 

-Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

-Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

 

 

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKLM\..\Run: [Microsoft Startup Manager] C:\WINDOWS\System32\sysservice.exe

O4 - HKLM\..\Run: [6be187f8.exe] C:\WINDOWS\System32\6be187f8.exe

O4 - HKCU\..\Run: [6be187f8.exe] C:\Documents and Settings\admin\Local Settings\Application Data\6be187f8.exe

O16 - DPF: TruePass EPF 7,0,100,717 - https://blrscr3.egs-seg.gc.ca/applets/entru...sapplet-epf.cab

O20 - Winlogon Notify: xcdmfree - xcdmfree.dll (file missing)

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

-Maintenant on va supprimer manuellement les fichiers infectieux !

 

Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse.

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\

Le dossier va s'ouvrir

Supprime le fichier indiqué en gras:

ibm00001.exe(clique droit /supprimer)

 

 

Répète l'opération pour ceux là

C:\WINDOWS\System32\

sysservice.exe

6be187f8.exe

C:\Documents and Settings\admin\Local Settings\Application Data\

6be187f8.exe

 

 

-Vider la poubelle !

 

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

-Ensuite double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention : l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

-Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher

"Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Blackligth

-Mettre le rapport de Smitfraudfix

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

Après avoir posté ta réponse :

 

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

 

 

A plus et bon courage !

Modifié le 6 juin 2006 par regis56

[Mejnor]

Merci Regis,

 

J'ai parlé avec mon frère qui est plus connaissant que moi en informatique (il est responsable du réseau de son entreprise) et c'est également lui qui m'a légé son ordi. Il m'écrit en disant:

 

 

Il faudrait que je t'envoie spyware Doctor 3.2, je ne l'ai pas présentement,

il est à l'appart . Sinon, regarde si j'avais fait une image de ton disque

dur sur le drive D ou E. Ca devrait être un fichier de quelque gigs avec

l'extension gho. Il faudrait écrase le drive C: avec cette image.

 

Si tu n'as pas sauver tes photos et documents sur un autre drive que le C,

il faudrait le faire avec de réinstalle l'image.

 

En effet, tout mes programmes sont sur le C, tandis que mes trucs personnels auxquels je tiens sont sur le D. Serais-ce la solution la plus simple et efficace

 

Merci

 

Mejnor

 

 

 

Re

 

Tout d'abord ton système n'est pas à jour et tu n'as pas de firewall d'installé

=> on remédiera à ca plus tard !

 

Deuxièment tu as un keylogger sur ton Pc il faudra penser très sérieusement à changer tout tes mots de passes (banquaire y compris si besoin )

 

Cette bestiole est très dur a faire partir sur d'autes forum il demande de formater d'emblé on sera peut étre obliger aussi mais pas tout de suite.

En tout cas prend tes précautions en sauvegardant dès maintenant tout tes documents importants !

Voici ce que tu vas devoir faire STP

 

-Télécharger SmitfraudFix de S!Ri sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

-Son tutorial

http://siri.urz.free.fr/Fix/SmitfraudFix.php

-Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant partie de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

-Télécharger la version d'évaluation d'Ewido (Programme faisant partie des anti-malwares):

http://www.ewido.net/en/download/

 

Installer et mettre à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" :

décocher les deux options "Install background guard" et "Install scan via context menu".

 

Démarrer Ewido avec l'icône qui se trouve sur le Bureau.

Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme.

 

-Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

-Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

 

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKLM\..\Run: [Microsoft Startup Manager] C:\WINDOWS\System32\sysservice.exe

O4 - HKLM\..\Run: [6be187f8.exe] C:\WINDOWS\System32\6be187f8.exe

O4 - HKCU\..\Run: [6be187f8.exe] C:\Documents and Settings\admin\Local Settings\Application Data\6be187f8.exe

O16 - DPF: TruePass EPF 7,0,100,717 - https://blrscr3.egs-seg.gc.ca/applets/entru...sapplet-epf.cab

O20 - Winlogon Notify: xcdmfree - xcdmfree.dll (file missing)

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

-Vérifier d'avoir accès à tous les fichiers :

-Maintenant on va supprimer manuellement les fichiers infectieux !

 

Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse.

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\

Le dossier va s'ouvrir

Supprime le fichier indiqué en gras:

ibm00001.exe(clique droit /supprimer)

Répète l'opération pour ceux là

C:\WINDOWS\System32\

sysservice.exe

6be187f8.exe

C:\Documents and Settings\admin\Local Settings\Application Data\

6be187f8.exe

-Vider la poubelle !

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

-Ensuite double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention : l'option 2 de l'outil supprime le fond d'écran !

-Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher

"Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Blackligth

-Mettre le rapport de Smitfraudfix

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

Après avoir posté ta réponse :

 

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

A plus et bon courage !

[regis56]

Re

 

Effectivement cela peut étre une solution !

 

Mais tu peut très bien tenter la désinfection aussi à toi de voir !

 

A plus !

[horus agressor]

Bonjour,

 

Deuxièment tu as un keylogger sur ton Pc...

 

Voici la définition donnée par l'aide de SpyBot:

Keylogger (enregistreur de frappe au clavier)

Le nom keylogger a été défini autrefois, au (bon ?) vieux temps du DOS, quand on ne faisait marcher les ordinateurs qu'en utilisant un clavier. Les plus basiques des keyloggers hérités de cette époque enregistrent seulement les touches que vous frappez. L'espion, une personne ayant un accès physique à votre machine, pouvait obtenir cet enregistrement et voir tout ce que vous aviez tapé.

 

Les keyloggers modernes se sont bien améliorés. Non seulement ils enregistrent les touches que vous frappez, mais ils font aussi des captures d'écran pour montrer à l'espion sur quelle fenêtre vous travaillez, ils captent des informations sur votre utilisation d'internet, et bien plus encore. L'espion n'a même plus besoin d'avoir un accès physique à votre machine parce que de nombreux keyloggers actuels envoient leurs fichiers journaux (logs) par email.

 

Amicalement.

[Mejnor]

Re

 

Effectivement cela peut étre une solution !

 

Mais tu peut très bien tenter la désinfection aussi à toi de voir !

 

A plus !

 

 

 

Bonjour Régis,

 

Hier j'ai finalement écraser le C avec mon image sur le E (méthode marteau). Étant donné que j'avais juste des programmes sur le C, mes données étant sur le D, alors c'était le moindre mal. En plus j'étais pressé, je suis dans les boîtes (déménagement). Si j'avais eu plus de temps, j'aurais sûrement aimé essayé la version chirurgicale proposée. Le résultat est positif car mon problème est réglé. Donc, le bios n'était pas atteint.

 

Merci Régis

Merci Horus

 

En terminant je vais vous dire ce que je dis à mon garagiste lorsque vient le temps de payer la facture salée des réparations de mon auto. Tartanpion t'es un chic type, mais j'espère ne plus avoir à faire à toi avant bien longtemps...

 

Bonne Journée

 

Mejnor