Ralentissement et reboot

[tornado]

Salut skanner,

 

Panda a détecté une infection, mais ne l'a pas supprimé.

Donc, depuis l'explorateur de Windows, supprime le fichier suivant :

 

C:\Documents and Settings\Lajuly11\Application Data\Opera\Opera\profile\cache4\opr05FTW.exe

 

Et vide la corbeille

 

 

ensuite, pour Blacklight ca se corse, j'ai ete sur le site, j'ai clique sur I Accept, mais premierement je ne vois pas l'option "Scan trough Windows explorer", deuxiemement, je ne vois pas comment enregistre le log apres l'analyse !

donc voila

++Skanner

 

Pour l'option "Scan trough Windows explorer", elle n'existe effectivement plus... donc n'y fais pas attention, clique directement sur le bouton Scan

Pour enregistrer le log, il suffit de copier le contenu du fichier texte, généré dans le même repertoire que blbeta.exe (sur le bureau; il prend le nom suivant fsbl.xxxxxxx.log , et une fois le scan de Blacklight terminé.

 

 

 

A+

[Skanner]

Merci pour tout, donc, le fichier .exe, je l'ai supprime, je ne sais pas si ca correspond a WinAntivir2006, nous verrons dans les heures a venir.

Ensuite voici le log de blacklight :

 

07/21/06 12:25:43 [info]: BlackLight Engine 1.0.42 initialized

07/21/06 12:25:43 [info]: OS: 5.1 build 2600 (Service Pack 2)

07/21/06 12:25:43 [Note]: 7019 4

07/21/06 12:25:43 [Note]: 7005 0

07/21/06 12:25:46 [Note]: 7006 0

07/21/06 12:25:46 [Note]: 7011 2548

07/21/06 12:25:46 [Note]: 7026 0

07/21/06 12:25:46 [Note]: 7026 0

07/21/06 12:25:51 [Note]: FSRAW library version 1.7.1019

07/21/06 12:31:32 [Note]: 7007 0

 

Vala, vala !

++Skanner

[tornado]

Re,

 

 

Merci pour tout, donc, le fichier .exe, je l'ai supprime, je ne sais pas si ca correspond a WinAntivir2006, nous verrons dans les heures a venir.

 

Je pense que oui, étant donné qu'Errorsafe est dans la même lignée de ce genre de rogue (faux logiciel)

Par précaution, je te recommande de vider le cache d'Opera, avec la fonction d'Atf cleaner par exemple :

Double-clique ATF-Cleaner.exe afin de lancer le programme.

 

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

 

Concernant le rapport de blacklight, rien à signaler

 

Remarques-tu encore des disfonctionnement ?

Si Non, on peut maintenant considérer ton système comme propre...

 

On va donc à présent rétablir certains paramètres sur ton système par :

1. La rétablissement de l'affichage des fichiers/dossiers
   
2. La suppression de certains outils utilisés au cours de la procédure de désinfection
   
3. La suppression des points de restauration
   

========================================================

 

Etape 1 : Rétablissement de l'affichage des fichiers/dossiers

 

Je t'avais fait faire ceci pour avoir accès à tous les fichiers =>

 

Démarrer, Poste de travail / Menu Outils / Options des dossiers / onglet Affichage :

Activer le bouton : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Cliquer sur "Appliquer à tous les dossiers", puis OK

A présent, recache tous ces dossiers pour ne pas en effacer un par erreur !

 

 

Etape 2 : Suppression de certains outils de la procédure

 

De plus , je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection :

• Les pages Web => ne te sont plus utiles à présents
  
• Blacklight => peut parfois détecter des fichiers légitimes, même chose que pour vundofix
  
• Smitfraudfix => ne t'est plus utile, nécessaire uniquement lorsque tu as affaire à des infections qui modifient l'environnement de WIndows (bureau, barre des tâches etc...)
  

Tu peux à présent les supprimer, car ils ne te seront plus utiles, ou car leur utilisation est délicate (et vide la corbeille)

 

 

Etape 3 : Suppression des points de restauration

 

Il se peut que certains malwares aient également infecté ta restauration système. Tu vas donc la désactiver, puis la réactiver, pour en supprimer les points de restauration => http://www.libellules.ch/desactiver_restauration.php

 

(n'oublie pas de la réactiver au redémarrage, car la restauration système est parfois utile)

 

====================================================================

 

J'attend que tu ais fait ceci, avant que l'on sécurise ton pc pour le garder propre (prévention)

Bonne chance

Modifié le 21 juillet 2006 par tornado

[Skanner]

Alors, je vois encore quelques disfonctionnement.

Premierement, Norton m'annonce 5 a 6 fois dans la journee qu'il a trouve un trojan,je pense que je peut remedier a ca avec une analyse anti trojan

 

Ensuite, j'ai une boite de dialogue qui s'ouvre me disant que j'ai ete infecte par le virus "Serwab", c'est bien sur une pub !

Quand a Winantiviruspro 2006, je n'en est plus signe de vie !

 

Pour ce qui est des programmes je vais les garder sous le coude, on ne sait jamais si il m'arrive encore une mesaventure de ce genre !

Sur ce je m'en vais vider le cache d'opera !

 

++Skanner

[tornado]

Re,

 

Alors, je vois encore quelques disfonctionnement.

Premierement, Norton m'annonce 5 a 6 fois dans la journee qu'il a trouve un trojan,je pense que je peut remedier a ca avec une analyse anti trojan

 

Ca serait bien que tu fasses scanner ton pc avec Norton... pour voir où sont situées les infections restantes. (met le rapport obtenu)

 

Et puis, si tu as le temps, je t'invite à compléter le scan de Panda par un autre scan en ligne; celui de Kaspersky => http://webscanner.kaspersky.fr

J'ai besoin du rapport de fin de scan. Le tutorial si tu bloques sur quelque chose...

 

Si les 2 scans ne trouvent toujours rien, scanne ton pc avec un anti-èspyware en ligne cette fois-ci :

 

- Rend toi sur cette page depuis Internet explorer (utilisation d'activex) => http://www.trendmicro.com/spyware-scan/

- Clique sur le bouton Scan & Clean your PC

- Attend quelque secondes jusqu'à l'apparition de ce message:

 

- Clique sur celui-ci, choisis "Installer le contrôle ActiveX"

- Une fenêtre apparaît, clqiue sur Installer

- Clique sur "I Accept" puis sur "Start Scan"

- Une fois le Scan terminé, clique sur "Scan Results"

- Va sur "Scan details"

- Etant donné qu'on ne peut pas sauvegarder le rapport, fais une capture d'écran comme ici et aide toi de ce tuto pour mettre l'image sur le forum => http://forum.zebulon.fr/index.php?showtopi...p;hl=imageshack

- Choisis "Clean threats now"

- Clique sur Exit

 

 

 

 

 

A+

[Skanner]

Desole d'avoir mis tant de temps a repondre, mais je retrouvai plus mon login sur le forum Zeb, merci Yann

Donc, revenons a nos moutons.

J'ai ete sur le site de kaspersky, j'ai accepte le controle, etc ...mais rien n'y fait je n'arrive pas a faire l'analyse en ligne.

Sur trendnet, j'ai fait l'analyse, il m'a detecte 6 fichiers malveillants, je les ai supprime.

Quand, a Norton, chose etrange quand je fait l'analyse, au bout d'un moment windows me fait une erreur serieuse et reboot !

Pour terminer j'ai encore et toujours Winantiviruspro !!!!

Mais je l'aurai un jour, qu'il disait l'autre dans la pub Maaf !

Sur ce bonne nuit !

++Skanner

[tornado]

Re,

 

 

J'aimerais vérifie quelque chose :

 

- Télécharge silentrunners et dézippe-le dans un répertoire dédié ---> http://www.silentrunners.org/Silent%20Runners.zip

 

- Déconnecte-toi du net et ferme toutes les applications en cours

 

- Lance le fichier .vbs

- Une fenêtre s'affiche, clique sur yes

- Le scan est alors démarré, patiente quelques secondes

- Un message t'informe de la fin du scan

- Un fichier .txt est alors créé dans le même dossier que silentrunners

- Copie l'intégralité de son contenu, puis poste-le

 

 

 

A+

Modifié le 28 juillet 2006 par tornado

[Skanner]

Argh, que de problemes, que de problemes, j'ai telecharger silent runners, j'ai ferme toutes les applications en cours, et quand je clique sur silent runner, rien ne se passe !

Je sais pas si on va y arriver un jour !

[tornado]

Re,

 

 

 

 

Bon... Peux tu essayer ceci s'il te plait :

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
  
• Coche Run VundoFix as a task.
  
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  
• Démarre ton PC à nouveau.
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

Si à l'étape "Clique sur le bouton Scan for Vundo.", rien n'est trouvé (rien dans la fenêtre blanché), arrête toi là, et quitte le logiciel. Toujours si le logiciel n'a rien trouvé, fais ceci :

 

- Télécharge StartupList version TWO

- Dézippe l'archive sur le bureau

- Double-clique sur StartupList.exe

- Laisse l'outil scanner le système

- Une fois la barre de chargement remplie, dans le menu, choisis File > Copy to clipboard

- Fais un clic droit dans ton post et choisis Coller

 

 

 

A+

Modifié le 29 juillet 2006 par tornado

[Skanner]

Voila alors, j'ai fait un Scan avec Vundo, dont voici le log :

 

 

VundoFix V5.1.5

 

Running as SYSTEM

from c:\windows\system32\VundoFix.exe

 

Checking Java version...

 

Sun Java not detected

Scan started at 14:07:03 31/07/2006

 

Listing files found while scanning....

 

C:\windows\system32\ssttr.dll

C:\windows\system32\rttss.ini

C:\windows\system32\rttss.bak1

C:\windows\system32\rttss.bak2

C:\windows\system32\rttss.ini2

C:\windows\system32\rttss.tmp

C:\WINDOWS\system32\Drivers\DP.sys

 

Beginning removal...

 

The process smss.exe was successfully stopped

 

The process winlogon.exe could not be stopped

Vundofix may not be able to delete some files that were found.

 

The process explorer.exe was successfully stopped

 

The process iexplore.exe was successfully stopped

 

The process rundll32.exe was successfully stopped

 

Attempting to delete C:\windows\system32\ssttr.dll

C:\windows\system32\ssttr.dll Could not be deleted.

 

Attempting to delete C:\windows\system32\rttss.ini

C:\windows\system32\rttss.ini Has been deleted!

 

Attempting to delete C:\windows\system32\rttss.bak1

C:\windows\system32\rttss.bak1 Has been deleted!

 

Attempting to delete C:\windows\system32\rttss.bak2

C:\windows\system32\rttss.bak2 Has been deleted!

 

Attempting to delete C:\windows\system32\rttss.ini2

C:\windows\system32\rttss.ini2 Has been deleted!

 

Attempting to delete C:\windows\system32\rttss.tmp

C:\windows\system32\rttss.tmp Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\Drivers\DP.sys

C:\WINDOWS\system32\Drivers\DP.sys Has been deleted!

 

Performing Repairs to the registry.

Done!

 

 

Ensuite, j'ai refait un scan avec Hijack comme tu me le disai :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:19:42, on 31/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\dslagent.exe

D:\Program Files\QuickTime\qttask.exe

D:\Program Files\MSN Messenger\msnmsgr.exe

D:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

D:\Downloads\startuplist\StartupList.exe

C:\Program Files\Opera\Opera.exe

D:\Program Files\Hijack\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O1 - Hosts: 87.252.2.116 l2authd.lineage2.com

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Steganos Internet Anonyme - {00000000-5736-4205-0008-f7ed0776fb27} - d:\program files\steganos internet anonym 2006\sia2006iep.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

O4 - HKLM\..\Run: [iconcache] c:\windows\vcp_temp\iconcache\icon.bat

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: wineak32 - C:\WINDOWS\SYSTEM32\wineak32.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

Pour ce scan de hijackthis, je n'ai pas tout active au demarrage, dans le panneau MSconfig, comme il m'avait ete preconise auparavant, est ce important ?

 

Bien sur jen 'ai pas utilise Startuplist, puisque Vundo a trouve des fichiers.

 

Sur ce ++ et encore mrci de s'occuper de moi comme ça !

Je sais pas comment vous faites, mais merci, merci !