PC infecté

[oufti]

Bonjour à tous,

 

J'ai découvert votre forum (fort bien interessant d'ailleur) en recherchant des infos car je suspecte, en fait non, je suis sur que mon pc est infecté! J'ai formaté mon dd, fait plusieurs scans, appliqué plusieurs patches,.... rien n'y fait....

 

Après avoir suivi la procédure décrite, voici mon log sur hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:27:07, on 09/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\ClamWin\bin\ClamTray.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\Azzuro\LOCALS~1\Temp\Rar$EX00.360\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

 

Comme on le précise dans hijackthis, il est nécessaire d'avoir l'avis d'un expert avant de faire quoique ce soit donc....(je sais qu'en cette période de coupe du monde, vous avez sans doute autre chose à faire et je le comprend parfaitement !!! NO PROB !)

[centaure]

Bajour !!!

 

 

Il as quoi comme symptomes ton pc ?

[oufti]

Bajour !!!

Il as quoi comme symptomes ton pc ?

 

Il plante, est très lent au démarrage et quand il est bien énervé, écran bleu !!

 

J'ai fais un scan sur Norton Security response et il m'a trouvé cela : C:\WINDOWS\system32\cmdow.exe est infecté par Hacktool.HideWindow.

[Invité Laurent_62]

Bonjour,

 

Suis la procédure de nettoyage http://forum.zebulon.fr/index.php?showtopic=83986

 

en respectant point par point les étapes (emplacement d'hijackthis par exemple)

 

et post les logs (complet)

 

Quelqu'un analysera tout ca et te donnera une suite juste apres.

[oufti]

Bonjour,

 

Suis la procédure de nettoyage http://forum.zebulon.fr/index.php?showtopic=83986

 

en respectant point par point les étapes (emplacement d'hijackthis par exemple)

 

et post les logs (complet)

 

Quelqu'un analysera tout ca et te donnera une suite juste apres.

 

 

Merci Laurent 62 pour ton aide.

 

Comme je le précise plus haut, j'ai suivi scrupuleusement la procédure. En ce qui concerne le log, il est complet (il est peut être light, sans doute parce que je viens de formater mon pc????)

 

Si malgré tout, il te semble que ce soit mieux que je refasse la manip, dis le moi !

 

Encore merci !

 

Oufti

[Invité Laurent_62]

Bonjour,

 

Si j'ai ecrit de resuivre la procédure c'etait pour remédier à ces points

 

C:\DOCUME~1\Azzuro\LOCALS~1\Temp\Rar$EX00.360\HijackThis.exe

 

Hijacktjhis est dans un dossier temporaire ors il ne devrait pas.

 

De plus ce qui m'a fait suspecté que le log etait incomplet c'est surtout qu'il n'y a aucune liges 023 (services) apparaissant dans ce log ce qui n'est pas courant.

 

Voila

 

Donc si tu pouvais remédier et revérifier ces points avant de continuer ca serait une excellente chose.

 

 

 

Merci

 

a+

Modifié le 10 juillet 2006 par Laurent_62

[oufti]

Ca marche ! Je t'envoie cela dés que possible.

 

A+

[bruce lee]

Bonjour a tous,

 

Avant de faire la procedure preliminaire, installe un firewall:

 

_zone alarm que tu peux télecharger ici http://www.zonelabs.com/store/content/cata...&lid=nav_za

_tuto pour zone alarm ici http://speedweb1.free.fr/frames2.php?page=tuto1

_aide pour le parametrer ici http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

 

 

Pour les services c'est peut etre normal, vu qu'il n'a pas de firewall n'y d'antivirus. Quand tu installeras antivir, ne le desinstalle pas a la fin de la procedure.

 

@+ et bon courage

[oufti]

Re-Hello,

 

Merci Bruce pour tous ces bons conseils. Effectivement, un pote m'a également conseillé Zone Alarm, question Firewall il parait que c'est le top.

 

Bon j'ai refais la proc, y'a plus de C:\DOCUME~1\Azzuro\LOCALS~1\Temp\Rar$EX00.360\HijackThis.exe

dans le rapport mais toujours pas de ligne 23...

 

 

Le voici :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:40:53, on 10/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\ClamWin\bin\ClamTray.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

 

Je ne sais pas si c'est important de le mentionner, mais j'utilise un windows optimisé. Donc voila pour l'info.

 

a+

[bruce lee]

re,

 

as tu suivis la procedure preliminaire?