Bonjour,
Je suis désolée d'avoir à vous demander de l'aide, mais j'ai fait de mon côté tout ce que j'ai pu. Maintenant, je ne sais plus quoi essayer...
J'ai 2 ordis. Celui des enfants est en réseau sur le mien.
Mon plus vieux est venu à la maison et a joué dans "l'ordi des enfants". Je suis très bien protégée (anti-virus mis-à-jour tous les jours, firewall, Spybot S&D avec TeaTimer, WinPatrol, etc.). Mais lui, il a dû accepter des changements que j'aurais refusé. J'ai voulu nettoyer l'ordi après son passage.
J'ai perdu le lien, je crois que c'était sur PCAstuces. Mais j'ai suivi toutes les étapes de la bonne installation de HijackThis.
J'ai fait toutes les étapes (toutes les pages) de
http://pcastuces.com/pratique/windows/services/page1.htm (Désactiver les services inutiles)
Je n'ai rien vu de particulier dans le log de HijackThis, mais je ne m'y connais pas à ce point...
Le 3 août, j'ai le virus SpySheriff et 2 icônes identiques à celui du programme Killbox dans ma barre de tâches.
J'ai refait un HijackThis, il était complètement différent de la veille.
http://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.html
À l'étape 7 (scan avec Ewido), il y avait 24 virus-spywares-malwares-etc.
J'ai fait toutes les étapes une à une, sauf :
Étape 7.2 : je n'ai pas trouvé ça.
Étape 9. et 10. : SpySheriff n'était plus là (je ne sais pas s'il y était avant, je n'avais pas essayé de le désinstaller).
Étape 11. : Le seul que j'aie trouvé était C:\winstall.exe.
J'ai repris un à un à partir de 12.
J'ai remis le fond d'écran originel.
J'ai refait un HijackThis et j'ai coché les items suivants :
04 - HKLM\..\Run: [wicwinh] C:\Windows\System32\wicwinh.exe
04 - HKLM\..\Run: [System] C:\Windows\System32\kernels.exe
Pour les 3 derniers liens en bas de page, tous les "Symptoms in a HijackThis Log" étaient négatifs.
Vidage de Corbeille, redémarrage en mode normal.
kernels.exe et SpySheriff sont revenus.
Dans la barre des tâches, j'ai encore deux icônes identiques à celles de Killbox, en plus d'une nouvelle que je n'arrive pas à identifier.
Mon fond d'écran est ok.
SpySheriff ouvre de temps à autre (trop souvent à mon goût !).
J'ai refait un scan de RavAntivirus, puis un HijackThis.
À ce niveau, je ne sais plus quoi faire.
J'ai conservé tous les logs. Voici les derniers de RavAntivirus et de HijackThis :
Scan started at 2005-08-04 16:21:11
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
Scanned
============================
Objects: 24908
Directories: 2248
Archives: 799
Size(Kb): 448714
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 1
Disinfected files: 0
Mail files: 85
HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 16:54:49, on 2005-08-04
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\winstall.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinPatrol Plus] C:\PROGRA~1\WINPAT~1\WINPAT~1.EXE
O4 - HKLM\..\Run: [xicwinh] C:\WINDOWS\System32\xicwinh.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://67.15.58.53/download/cfweb_67.15.58.53-download_instmodule.exe
O16 - DPF: {4F5E4276-C120-11D6-A1FD-00508B9D48EA} (dldisplay Class) - http://www.gamehouse.com/ghdlctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119832197714
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC283012-1090-44B9-8FBD-0B8F780780CA}: NameServer = 192.168.0.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Est-ce que quelqu'un pourrait m'aider à résoudre mes problèmes svp ? J'apprécierais énormément...
Ensuite, je mettrai un log de mon propre ordi, pour être certaine que ces virus ne se sont pas propagés.
Je vous remercie à l'avance !
