Ben... un virus !

Bob_ · le 1 juillet 2006

Bonjour Malekal, Denis95 ainsi que tous le monde,

Malekal j'ai un doute sur une nouvelle variante d'une infection de type wareout, il y a quelques similitudes ?? Peut etre ne voit on plus les lignes 017 ??. Tu en penses quoi ?

(Désolé de mon incrust. sur ce post)

Malekal_morte · le 1 juillet 2006

Bonjour Malekal, Denis95 ainsi que tous le monde,

Malekal j'ai un doute sur une nouvelle variante d'une infection de type wareout, il y a quelques similitudes ?? Peut etre ne voit on plus les lignes 017 ??. Tu en penses quoi ?

(Désolé de mon incrust. sur ce post)

Wareout, je crois pas, à moins que j'ai loupé un truc. Par contre il avait une nouvelle variante : Trojan-Downloader.Win32.Zlob.VZ

%SYSTEM%\ixt?.dll

%SYSTEM%\ixt??.dll

%SYSTEM%\ishost.exe

%SYSTEM%\ismon.exe

%SYSTEM%\isnotify.exe

%SYSTEM%\issearch.exe

M'enfin là, y a ZA qui bloque les connexions DNS, c'est pénible car la connexion internet ne fonctionne pas.

Ca serait bien de pouvoir faire un scan en ligne.

Modifié le 1 juillet 2006 par Malekal_morte

Denis95 · le 2 juillet 2006

Bonjour Malekal et Bob

Le vérrouillage automatique d'internet est désactivé. Heureusement que j'avais imprimé ton tuto, car je ne peux afficher les photos et les liens ne marchent pas.

Sur la petite fenêtre qui apparait lorsque j'appuis sur le bouton "avancé", il me manque la dernière ligne (Désactiver le pare feu windows).

J'ai coché les deux options, et je ne surfe pas mieux.

J'ai mis les niveaux au plus bas dans le pare feu. Pas mieux. (par contre Norman s'amuse bien !!)

Je téléchargerais le soft kerio avec ZA déconnecté. Puis sous l'assaut de virus mon ordi a planté et redémarré.

Je n'ai pas pu tout noter mais en autre il y a:

C:\PROGRAM FILES\LQVYVOYE.EXE W32/Renos.FC

C:\Program Files\lqvyvoye.exe W32/Renos.FC

C:\Program Files\lqvyvoye.exe W32/Tiny.CB

C:WINDOWS\system32\o TextBotFTP.gen

c:\wvyqv.exe

c:\Document and setting W32/Renos.EK

Bref j'ai redémarré en mode sans échec.

Installé Antivir, scanné, désinstallé

Installé ewido, scanné, désinstallé

Fais un scan avec Norman

Fais un scan avec Spybot

Ils m'ont trouvé des choses et me les ont supprimé. Kerios est installé. Je redémarre en mode normal et là j'ai:

ibm00001.exe et ibm00003.exe qui doivent fermer....

Voici le rapport Hijackthis au cas ou:

Logfile of HijackThis v1.99.1

Scan saved at 12:58:13, on 02/07/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\BOOTCFG64.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Norman\bin\ZLH.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\E-Color\True Internet Color\TICIcon.exe

C:\Norman\Bin\Zanda.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Norman\Nvc\bin\nvcoas.exe

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Norman\Nvc\BIN\nipsvc.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Norman\bin\NJEEVES.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Norman\bin\niu.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\notepad.exe

c:\nmoyj.exe

c:\dfndrb_3.exe

c:\ac3_0010.exe

C:\WINDOWS\System32\RUNDLL32.EXE

c:\windows\system32\taskmgn.exe

C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [ÿ_zskO`EUZFE`CK`K[NC] C:\WINDOWS\System32\_zskwrkni04\CN[K`KC`EFZUE`O.exe

O4 - HKLM\..\Run: [defender] c:\\dfndrb_3.exe

O4 - HKLM\..\Run: [keyboard] c:\\kybrdb_3.exe

O4 - HKLM\..\Run: [newname] c:\\nwnmb_3.exe

O4 - HKLM\..\Run: [rle941be] RUNDLL32.EXE w007b592.dll,n 001941bd0000000a007b592

O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe

O4 - HKLM\..\RunServices: [ÿ_zskO`EUZFE`CK`K[NC] C:\WINDOWS\System32\_zskwrkni04\CN[K`KC`EFZUE`O.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe

O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe

O4 - Global Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149887603275

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149887578306

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37870.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F47F91F-4B1E-4F60-BEB5-31306D444981}: NameServer = 212.27.32.5,212.27.32.176

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Avec Kerios, je surf sur internet sans problème apparement.

Je vais en profiter poue faire un scan en ligne avec Kaspersky, et je vous poste le résultat.

Merci.

Malekal_morte · le 2 juillet 2006

Super ZoneAlarm................................ La prise de tete pour bcp.

Bon laisse bien allumé Kerio car tu t'es fait réinfecter.

On va devoir redésinfecter à nouveau. J'aurai du te faire télécharger kerio par une machine tiers, ça t'aurait évité l'infection.

Après Désinfection, ça devrait être OK.

Si tu avais eu un Windows légitime, avec l'installation du SP2, tu n'aurais pas eu tous ces problèmes.

Tu peux constater que d'avoir un Windows piraté est vraiment très pénalisant.

Bon c'est reparti pour un tour :

-- Menu Démarrer puis executer, dans le champs tape : SC delete NTDRV

Sur HijackThis, coche ces lignes :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.comF2 -

02 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"$

O4 - HKLM\..\Run: [ÿ_zskO`EUZFE`CK`K[NC] C:\WINDOWS\System32\_zskwrkni04\CN[K`KC`EFZUE`O.exe

O4 - HKLM\..\Run: [defender] c:\\dfndrb_3.exe

O4 - HKLM\..\Run: [keyboard] c:\\kybrdb_3.exe

O4 - HKLM\..\Run: [newname] c:\\nwnmb_3.exe

O4 - HKLM\..\Run: [rle941be] RUNDLL32.EXE w007b592.dll,n 001941bd0000000a007b592

O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe

O4 - HKLM\..\RunServices: [ÿ_zskO`EUZFE`CK`K[NC] C:\WINDOWS\System32\_zskwrkni04\CN[K`KC`EFZUE`O.exe

--> clic sur fix checked

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

-- Ensuite, navigue dans tes dossiers pour supprimes les dossiers, si existants :

C:\WINDOWS\System32\_zskwrkni04\

C:\PROGRAM FILES\LQVYVOYE.EXE

c:\wvyqv.exe

- Ouvre ewido et clic sur l'onglet Scanner en haut

- Démarre ewido et clique "Complete System Scan"

** Si un fichier est infecté, choisis l'option " Apply All Actions " en fin d'analyse **

Clique sur " Save Report " puis sur " Save Report As "

Enregistre ce fichier .txt sur ton bureau.

N'hésite pas à consulter l'Aide ewido pour tout problème.

-- Redémarre en mode normal

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

Modifié le 2 juillet 2006 par Malekal_morte

Denis95 · le 2 juillet 2006

Bonjour Malekal

Oui je m'en suis rendu compta pour le SP2. Mais à 139 €, je trouve ça cher. Comme je l'ai dis je vais me débrouiller et si je ne trouve pas je me résignerais à les dépenser.

Cela fait 8 ans que je surf sans aucun soucis. Mais il a fallu que je me butte à faire marcher un clavier sans fil, et c'est à ce moment là que j'ai voulu mettre le SP2 et c'est à ce moment là que tout à déconné.

(Au final le clavier ne marche toujours pas, donc c'est que des emmerdes pour rien.)

Je fais ce que tu m'a dis et je reviens.

Merci.

Denis95 · le 3 juillet 2006

J'ai fait ce que tu m'as dis:

SC delete NTDRV

Hijackthis

EWIDO

Clean.zip

Je n'ai pas trouvé:

C:\WINDOWS\System32\_zskwrkni04\

C:\PROGRAM FILES\LQVYVOYE.EXE

Puis Kaspersky, ben... pas fait parce qu'au redémarrage en mode normal j'ai perdu la souris encore une fois. Comme j'en avais un peu marre, j'ai éteint l'ordi et suis sortis profiter de ce beau soleil.

Le soir en rallumant l'ordi j'ai eu droit à un ecran bleu marine me disant que l'initialisation de windows s'était arrêtée pour des raisons de sécurité.

J'ai éteint et rallumé, trois fois de suite. Même topo.

J'ai donc amené mon HDD au taff et l'ai passé sous viruscan, des chevaux de troie et mendoza1.exe, rxnli.exe, ujpmtd.exe tous sous C:\ ont été trouvé et éliminé.

Je colle le rapport Hijackthis: