Log highjackthis... virus résistant... help...

[arthus.briton]

Salut à tous,

 

j'ai hérité du pc portable d'une amie virussé. J'ai installé Ewido et avast qui m'ont débarassé de quelques virus, mais malheureusement il est encore impossible d'installer antivir ou escan (même en mode sans échec, une fenêtre annonce qu'ils sont corrompus par un virus).

 

En désespoir de cause, j'ai réalisé un scan highjackthis en mode sans échec... que voici...

 

Logfile of HijackThis v1.99.1

Scan saved at 3:57:59, on 25.7.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Logiciels anti-virus\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [s3hotkey] S3hotkey.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [VT100 Emulator] C:\WINDOWS\System32\VT100.EXE

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\csrs.exe

O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe

O8 - Extra context menu item: &MyToolBar Search - res://C:\Program Files\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

 

 

 

Pour être vraiment complet, j'en ai réalisé un autre en mode normal au cas ou...

 

 

Logfile of HijackThis v1.99.1

Scan saved at 4:05:36, on 25.7.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\update\updmgr.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\S3hotkey.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\csrs.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\wscntfy.exe

C:\windows\system32\msdntsrv.exe

C:\Program Files\Windows Media Player\wmplayer2.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Logiciels anti-virus\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [s3hotkey] S3hotkey.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe

O8 - Extra context menu item: &MyToolBar Search - res://C:\Program Files\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

 

 

Donc, si quelqu'un peut éclairer ma lanterne faiblissante et me guider sur la voie de la désinfection, je lui en serai vraiment gré...

 

En attendant la réponse d'un éventuel bon samaritain,

 

Merci à tous.

 

Cordialement,

 

Arthus.Briton.

[Thanos]

salut

 

Le pc est infecté par le Rootkit VT100.EXE entre autres!

 

Exécute la procédure suivante: va jusqu'au bout ! si tu ne comprends pas quelque chose n'hésite pas à demander.

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

---------------------------------------------------------------------------------------------------------------------------

Étape 1:

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge la dernière version de Killbox ici et met le sur ton bureau.

 

-Télécharger clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier nommé clean.

 

Étape 2:

 

* imprime ces instructions,ou copie- colle les dans un fichier texte pour lecture en mode Sans Échec.

 

* Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

C:\WINDOWS\update

-Assure toi que la case "Delete on Reboot" soit cochée.

Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON

 

Ainsi de suite tu entres les chemins de tout les fichiers=>

C:\WINDOWS\System32\VT100.EXE

C:\WINDOWS\system32\csrs.exe

C:\WINDOWS\system32\msdntsrv.exe

à la fin , le même message va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement.

 

Étape 3:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 4:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\ToolBar888\MyToolBar.dll

 

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [VT100 Emulator] C:\WINDOWS\System32\VT100.EXE

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\csrs.exe

O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe

O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe

 

O8 - Extra context menu item: &MyToolBar Search - res://C:\Program

Files\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM

 

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

*Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:

 

ToolBar888

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime le dossier en gras dans C:\Program Files:

 

C:\Program Files\ToolBar888

 

*Supprime les fichiers en grasdans C:\WINDOWS\System32:

 

C:\WINDOWS\system32\csrs.exe

C:\WINDOWS\system32\msdntsrv.exe

C:\WINDOWS\System32\VT100.EXE

 

*Supprime le fichier en gras:

 

C:\WINDOWS\update

 

ces fichiers ont normalement disparu: il faut t''en assurer!

 

Étape 5:

 

-vas dans le menu démarrer executer et tu tapes :cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc stop UpdateManager => clique sur [entrée]

sc delete UpdateManager => clique sur [entrée] Un message t'avertis du succès de l'opération

 

Quitte l'invite de commandes.

 

Étape 6:

 

Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte jusqu'à ce qu'elle se ferme.

 

Étape 7:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

-Coche la case suivante:"select all"

 

-Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 8:

 

*Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) fait comme ceci=>

 

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

* Ainsi que le rapport du scan suivant=>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

ou celui là :

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp

 

Allez courage

[arthus.briton]

Re Salut cher Charles Ingals,

 

j'ai suivi tes instructions à la lettre et résultat...

 

j'ai réussi à générer un log HighJackThis après avoir mené à bien l'ensemble de prescriptions que tu m'avais recommandé d'effectuer. Malheureusement, impossible de réaliser un scan en ligne : la fenêtre de scan de panda se ferme même toute seule après le début de l'analyse...

 

Alors en attendant voici le log d'HighJackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:33:42, on 25.7.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\S3hotkey.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Logiciels anti-virus\hijackthis\HijackThis.exe

C:\WINDOWS\system32\taskmgr.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [s3hotkey] S3hotkey.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

 

Dans l'attente de tes conseils avisés...

 

Amicalement,

 

Arthus.Briton.

[arthus.briton]

Re,

 

tant que j'y pense j'ai remarqué la présence d'un exe sur le bureau portant le doux nom de : freeprodtb.exe et qu'il est impossible de supprimer...

 

Par ailleurs, j'ai effectué les mises à jour de windows xp (cela n'avait jamais été fait... résultat 48 maj à charger et installer...) mais une mise à jour critique ne veut pas s'installer, même après l'avoir chargé en téléchargement manuel... pour information, il s'agit de la mise à jour critique KB886185-x86-fra destinée apparemment à optimiser l'efficacité du pare feu de windows XP SP2...

 

 

D'autre part, ces mises à jour effectuées ont installé l'outil de suppression de logiciels malveillants qui en scannant le HD a trouvé un virus nommé Backdoor:Win32/Sdbot.gen. Mais après nettoyage, suppression et redémarrage, un nouveau scan avec cet outil le signale comme non détecté...

 

Voilà pour les précisions qui ne seront pas forcément utiles mais qui peuvent, je l'espère, avoir un intérêt...

 

Encore merci pour l'aide apportée...

 

Amicalement,

 

Arthus.Briton

[Thanos]

salut

 

Si bien sûr les précisions sont importantes! un point à retenir: si tu as affaire à un système particulièrement infecté, ne fais pas les mises à jour tout de suite!!et surtout pas d'installation du sp2!! les risques de plantage de la machine sont élevés!(risque de formatage!) Les mises à jour sont à faire une fois le système nettoyé!Je regarde tes rapports et te dis quoi faire

Un autre point très important :

 

Installe dès à présent un parefeu + un firewall=>

 

-télécharge Antivir

http://www.free-av.com

-son tutorial:

http://speedweb1.free.fr/frames2.php?page=tuto5

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

il y en a d'autres bien sûr! tu peux aussi installer Avast + Kério si tu veux pas exemple!

 

-pour télécharger kério:

http://www.sunbelt-software.com/Kerio-Download.cfm

-son tutorial:

http://www.vulgarisation-informatique.com/kerio.php

-Patch francais:

http://macmicro.chez-alice.fr/Download/download.htm

 

pour Avast =>

http://telechargement.zebulon.fr/category-25.html

Modifié le 24 juin 2006 par charles ingals

[Thanos]

l'avantage c'est que ton rapport est rapide à lire

 

Donc : installe de toute urgence le firewall + l'antivirus.

Une fois ceci fait il faudra configurer Antivir selon les conseils de tesgaz et scanner le pc en mode sans échec.

 

Peux tu stp me coller le rapport suivant =>

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici

 

Peux tu poster le rapport nommé rapport_clean.txt que tu trouvera dans le volume C:\ ?

A la place du scan chez Panda, as tu essayé le scan chez Kaspersky??

 

Edit: tu as bien bossé en tout cas le rapport hijackthis est propre!!

Modifié le 24 juin 2006 par charles ingals

[arthus.briton]

Alors,

 

récapitulons, pour antivir, j'ai déjà essayé mais impossible de finaliser l'installation... un paneau s'affiche me disant que les fichiers ont été modifié par un virus (c'est la même chose pour escan de Kaspersky d'ailleurs....)

 

Zone Alarm, j"ai pas essayé par contre... donc je fonctionne seulement avec le pare feu windows... ce qui me fait penser que je suis déjà en sp2... je savais pas tout ce que tu m'as dit là dessus et je l'ai installé (bien avant de poster mon premier message sur le forum). Idem pour les mises à jour Windows... mais bon, ça a pas l'air trop grave, vu que après plusieurs redémarrage aucun problème à signaler de ce côté là... sauf pour ce qui concerne la maj critique dont je t'ai parlé précédemment qui demeure impossible à installer...

 

En ce qui concerne l'antivirus, j'avais installé avast mais il me signalais aussi une corruption du système et que ça affectais son fonctionnement... j'ai quand même scanné mon HD avec et il m'a éliminé quelques virus mais apparemment pas de manière complète...

 

Avant de recevoir ton post, j'ai par contre installé spybot et il m'a éliminé un virus en rapport avec le fichier wbse32.exe... et l'exe sur mon bureau s'est envolé... lol...

 

Donc, avant de faire quoi que ce soit, voici un log HighJackThis consécutif à toutes ces manips :

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:14:08, on 25/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\S3hotkey.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\wbse32.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\wscntfy.exe

c:\windows\system32\msdntsrv.exe

C:\Logiciels anti-virus\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [s3hotkey] S3hotkey.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [Windows Base Services] wbse32.exe

O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe

O4 - HKLM\..\RunServices: [Windows Base Services] wbse32.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

 

Ce qui me permets de remarquer au passage que ce wbse32.exe est encore présent sur le pc...

 

Dans l'attente de ta réponse,

 

Cordialement,

 

Arthus.Briton.

[Thanos]

Ok , il y a encore du boulot

 

Je te prépare une procédure(je reviens dans une heure environ)

[arthus.briton]

Oki... j'attends avec impatience la formule magique... lol...

 

Encore merci...

[Thanos]

Y en a pas

 

Puisque tu ne peux pas installer antivir, on va scanner ton pc en mode sans échec avec un antivirus qui ne s'installe pas à proprement parler.Par contre: il faut avant toute chose désactiver le Teatimer de Spybot par le menu options => "Réglages"=>"Outils"=>"Résident"=>décoche la case "Résident Teatimer".

Le teatimer peux bloquer la désinfection!

 

Étape 1:

 

-Crée un dossier que tu vas nommer Sysclean Package dans C:\Program Files par exemple.

 

-Désactive, le temps de la procédure, tous les contrôleurs d'intégrité

(si présents) comme le tea timer de Spybot, Process Guard, Hanti hook,

Winpooch, etc..

 

-Télécharge Sysclean Package et enregistre le dans le dossier que tu viens de créer.

 

-Rends toi à la page suivante:Controlled Pattern Release,et accepte le disclaimer en cliquant sur I Accept.

 

-Une nouvelle fenêtre vas s'ouvrir:télécharge le fichier nommé lptXXX.zip (ou X représente la version du fichier,c'est le premier de la liste.),et dézippe le dans le dossier que tu viens de créer.

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Base Services"=-
"Microsoft DNT Service"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Base Services"=-

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:remove.reg

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

 

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

* Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

c:\windows\system32\msdntsrv.exe

 

-Assure toi que la case "Delete on Reboot" soit cochée.

Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON

 

Ainsi de suite tu entres les chemins de tout les fichiers=>

C:\Windows\system32\wbse32.exe

à la fin , le même message va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement.

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

*Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Étape 4:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 5:

 

-Comment utiliser Trend Micro Sysclean Package :

• *Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir.
   
  *coche la case "Automatically clean or delete detected files"
   
  *Clique sur le bouton Scan
   
  *Patiente le scan peut prendre du temps!
   
  *Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré.Ferme le programme.
  

Étape 6:

 

Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Je t'avais demandé un log hijackthis fait de cette manière stp!!=>

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici

 

Poste le contenu du fichier: C:\rappoprt_clean.txt

Poste le contenu du fichier:C:\!KillBox\Logs\Kb.log

Poste le rapport de Trend Micro Sysclean.

@+

 

Note: dans la mesure ou ce rootkit infecte les exécutables, il va certainement falloir faire une réparation de windows...(on verra ca après)as tu le cd de windows?

Modifié le 24 juin 2006 par charles ingals