HijackThis pour WIN32Résolu/Fermé

Question

Bonsoir ! 
J'ai sur mon ordinateur un magnifique trojan win32 : agent AFGW. J'ai parametré un scan au démarrage de avast désinstallé quelques logiciels suspects, j'ai lu qu'il fallait faire un test avec hijackthis mais vu que je ne comprend rien à son rapport, je pensais le coller ici ! Je ne sais pas si j'ai réussi à enlever ou non win 32. Voilà ce que j'ai : 


Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 22:01:36, on 29/01/2011 
Platform: Windows XP SP2 (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\System32\Ati2evxx.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe 
C:\PROGRA~1\Iomega\System32\AppServices.exe 
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\wuauclt.exe 
C:\WINDOWS\Explorer.EXE 
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe 
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe 
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe 
C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe 
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe 
C:\Program Files\QuickTime\qttask.exe 
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe 
C:\Program Files\Winamp\Winampa.exe 
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe 
C:\Program Files\Picasa2\PicasaMediaDetector.exe 
C:\Program Files\Portrait Displays\HP My Display\DTHtml.exe 
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe 
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\Messenger\msmsgs.exe 
C:\Program Files\Fichiers communs\Sonic Shared\cinetray.exe 
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE 
C:\Program Files\Fichiers communs\Portrait Displays\Shared\HookManager.exe
F:\HiJackThis.exe 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://ieconfig.sig.echonet/ie6.ins 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ncproxy1:8080 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local> 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe 
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe 
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" 
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" 
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" 
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe 
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe" 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [XP] C:\Program Files\Sexyliebe\Sexyliebe.exe 
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe 
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" 
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe 
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [DT HPW] C:\Program Files\Portrait Displays\HP My Display\DTHtml.exe -startup_folder 
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey 
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background 
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe" 
O4 - HKCU\..\Run: [guegae] C:\Documents and Settings\Administrateur.CPQ-DRCC01\guegae.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 
O4 - Startup: PowerReg Scheduler V3.exe 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = ? 
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE 
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML 
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC} - (no file) (HKCU) 
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe 
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe 
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe (file missing) 
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe 
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe 
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe 

-- 
End of file - 6900 bytes 



Quelques conseils à me donner ? 
Merci !



Configuration: Windows Vista / Safari 534.10

Lyonnais92 · Answer

Bonjour,

on essaye comme ça :

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes ' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4 

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

douie · Answer

Je vais le faire !
Le soucis c'est que je n'ai pas internet avec l'ordinateur infecté (ne marche pas). Ce n'est pas un problème ?
Sinon je viens de refaire un scan avec avast et il ne trouve plus WIN32, cela veut dire qu'il a été enlevé ou il peut encore se cacher ?

Lyonnais92 · Answer

Re,

ma faute, pourtant j'avais vu ...

Ouvre Internet explorer, clique sur Outils puis Options Internet.

Clique sur l'onglet Connexions puis sur Paramètres réseau.

Décoche la case devant "Utiliser un serveur proxy .....".

Ferme et réouvre Internet Explorer. Si on te demande de redémarrer l'ordi, redémarre le.

Internet fonctionne ?

douie · Answer

Ouii ca marche merci beaucoup !! 
Donc je fais le logiciel meme si avast n'a rien trouvé ? 
Je m'y met

Edit : en fait win 32 est toujours la, je fais la procédure

douie · Answer

En effet, 28 infections ... voilà le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5635

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

29/01/2011 22:54:25
mbam-log-2011-01-29 (22-54-25).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 158565
Temps écoulé: 8 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 10
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AdTools, Inc. (Adware.AdTools) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\TimeSink, Inc. (AdWare.TimeSink) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\TimeSink, Inc. (AdWare.TimeSink) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\guegae (Trojan.Agent) -> Value: guegae -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\program files\TimeSink (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Ads (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Users (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Users\administrateur (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss\Done.cdb (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss\Done.idx (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss\Done1.cdb (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss\Done1.idx (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss\Pending.cdb (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss\Pending.idx (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss\Pending1.cdb (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Profiles\imgcarslredist\administrateur\riss\Pending1.idx (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Users\administrateur\Sched.cdb (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Users\administrateur\Sched.idx (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Users\administrateur\Sched1.cdb (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\program files\TimeSink\adgateway\Users\administrateur\Sched1.idx (AdWare.Cydoor) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

Tout est supprimé ? Faut encore manipuler l'ordi ?

Lyonnais92 · Answer

Re,

on continue comme ça :

fais redémarrer l'ordi.

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

douie · Answer

voilà le lien :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijawObsms.txt

Par contre, pendant l'analyse, avast a dénoncé une menace (win32) située dans ZHPDiag !! C'est normal ?

Lyonnais92 · Answer

Re,

deux choses pour ce soir (moi je vais dormir après ça).

* Télécharge USBFix ici :
 
http://www.teamxscript.org/usbfixTelechargement.html
 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

* Double clic sur le raccourci UsbFix présent sur ton bureau . 

* Choisis l'option Nettoyage

* Laisse travailler l'outil. 

* Ensuite post le rapport UsbFix.txt qui apparaîtra. 

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 

===

 * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

douie · Answer

Bon nouveau problème avec cet ordi. Hier il ne s'éteignait pas donc j'ai fait un peu de 'forcing'. Ce matin je le rallume, écran 'Windows n'a pas été éteint correctement' puis plusieurs choix (mode sans échec, démarrer normalement etc ..) mais j'ai beau tout essayer, un écran bleu apparaît pendant une seconde puis ça revient sur ce menu. J'ai beau essayer toutes les options, rien !
Une blague de Win32 ou Adware ? (j'ai vu un post similaire sur ce problème ce matin ...)

Lyonnais92 · Answer

Bonjour,

j'ai fait un peu de 'forcing'

ça veut dire quoi exactement ?

===

L'ordi ne démarre même pas en mode sans échec ?

ni en "dernière bonne configuration connue" (si cette option existe) ?

douie · Answer

ca veut ire que je l'ai éteint en appuyant sur le bouton (j'avais lancé plusieurs fois 'éteindre l'ordinateur' mais il ne s'éteignait pas)  
Non il ne démarre avec rien. C'est exactement comme le post de arnaud31.
Fin bon je pense que je vais abandonner cet ordinateur et le formater quand j'aurais retrouvé le cd ...

Lyonnais92 · Answer

Re,

Il y a plusieurs maneuvres possibles sans formater.

Tu as des données sensibles à récupérer ?

Sinon, le formatage est une solution quand tu auras récupéré le CD.

===

Etant donné le message d'erreur, la première maneuvre à tenter est d'exécuter la commande 

chkdsk c: /f


On peut le faire avec la console de récupération (mais il faut le CD car je ne crois pas qu'elle soit installée)

On peut aussi graver sur ton autre ordi un CD qui permettra à la fois de lancer la commande (en mode Exécuter) et de sauvegarder tes données sensibles sur un DD externe (ou une clé USB si il y en a peu).


 Télécharger OTLPEnet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

Enregistre le sur ton Bureau et exécute le (double clic sous Xp, clic droit et Exécuter en tant qu'administrateur sous Vista et Xp).

Mets un CD réinscriptible dans ton graveur.

Modifie le BIOS du PC malade afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/PC/tutoriel-modifier-sequence-sujet_27442_1.htm

Fairs redémarrer le PC, qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE

Tu as des outils pour copier tes données (si le DD est lisible) sur un support externe.

Cherche aussi la commande Exécuter et tape 

chkdsk c: /f

puis OK.

Répare les fichiers si nécessaire.

 Essaye de redémarrer en mode normal (en enlevant le CD du lecteur).

douie · Answer

C'est fait j'ai mis notebook multibay en second et notebook hard drive en premier. Lorsque j'insère le cd cela me fait la même chose : le menu me demandant comment je veux démarrer windows puis l'écran bleu puis un redémarrage ...

Lyonnais92 · Answer

Re,

Si tu mets le hard drive en premier, tu vas démarrer comme tu le fais.

Il faut que tu mettes le lecteur de Cd rom en premier.

Tu dois avoir un message qui te précise que tu démarres sur le CD.

douie · Answer

voilà pour USB fix :


############################## | UsbFix 7.038 | [Recherche]

Utilisateur: Administrateur (Administrateur) # CPQ-DRCC01 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 16:22:23 | 30/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
Antivirus: Lavasoft Ad-Watch Live! Antivirus  [(!) Disabled | Updated]
Antivirus: avast! Antivirus 5.0.83952505 [(!) Disabled | Updated]
RAM -> 255 Mo 
C:\ (%systemdrive%) -> Disque fixe # 10 Go (2 Go libre(s) - 21%) [RootDisk] # NTFS
D:\ -> Disque fixe # 18 Go (13 Go libre(s) - 69%) [Datas] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (2 Go libre(s) - 58%) [NANO PRO] # FAT32

################## | Éléments infectieux |


Présent! F:\HiJackThis.exe
Présent! C:\WINDOWS\system32\f
Présent! C:\WINDOWS\IFinst27.exe

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{096403a0-cb7b-11dd-9074-000802da8019}
Shell\AutoRun\Command = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Shell\open\Command = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{0aaa9870-d1a3-11db-8e7c-000802da8019}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL mHRih.eXe

HKCU\.\.\.\.\Explorer\MountPoints2\{52c09ca0-b8bb-11dd-9067-000802da8019}
Shell\AutoRun\Command = H:\copetttt.com
Shell\explore\Command = H:\copetttt.com
Shell\open\Command = H:\copetttt.com

HKCU\.\.\.\.\Explorer\MountPoints2\{9325ded0-1165-11de-9083-000802da8019}
Shell\AutoRun\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Shell\open\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{9325ded1-1165-11de-9083-000802da8019}
Shell\AutoRun\Command = J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Shell\open\Command = J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{939fafd1-850b-11de-90e9-000802da8019}
Shell\AutoRun\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Shell\open\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{965b0bf0-13c5-11da-8b92-000802da8019}
Shell\AutoRun\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Shell\open\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{a7d20fa0-e75c-11dc-8fc4-000802da8019}
Shell\AutoRun\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Shell\open\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{b1276820-2908-11df-9127-000802da8019}
Shell\AutoRun\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Shell\open\Command = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


et voilà pour ad remover :


======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:27:46 le 30/01/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Administrateur@CPQ-DRCC01 ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\WINDOWS\gvcasinos.ini
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Viewpoint
Dossier supprimé: C:\Program Files\Viewpoint

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé supprimée: HKLM\Software\MetaStream
Clé supprimée: HKLM\Software\Viewpoint
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [6.0.2900.2180] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 53 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/01/2011 (664 Octet(s)) 

Fin à: 16:29:39, 30/01/2011 
 
============== E.O.F ==============

Lyonnais92 · Answer

Re,

il faut que tu précises ce que tu as fait.

Tu as pu redémarrer normalement après chkdsk ?

Si oui, réexécutes USBFix avec l'option Nettoyage.

Poste le rapport obtenu.

douie · Answer

Oui désolé. Ta procédure pour redémarrer l'ordinateur a bien fonctionné. Par contre ça ne m'a pas demandé de réparer des fichiers. Après l'avoir redémarré normalement j'ai lancé USBfix puis l'option 'supprimer' (l'option nettoyage n'y était pas). Voilà le rapport obtenu :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijJ7Q1cYm.txt

Lyonnais92 · Answer

Re,

donc tu as exécuté chkdsk (mais on ne t'a rien demandé) ?

===

Fais redémarrer l'ordi, relance ZHPDiag et clique sur la flèche verte.

Suis les instructions pour le mettre à jour.

Exécute le et poste le nouveau rapport dans un lien Cijoint.

douie · Answer

Non ça ne m'a rien demandé. 
Sinon j'ai refait un test avec MalwareBytes et ça n'a trouvé aucune infection.

Lyonnais92 · Answer

Re,

Ok, 

mais je voudrais bien voir un rapport ZHPDiag sur l'état actuel.

douie · Answer

Voilà le rapport :


http://www.cijoint.fr/cjlink.php?file=cj201101/cijO7e0TUk.rtf

Lyonnais92 · Answer

Re,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKCU\Software\180solutions]
[HKLM\Software\Totem]
O43 - CFD: 22/01/2005 - 17:24:08 ----D- C:\Program Files\Fichiers Communs\Totem Shared
O51 - MPSK:{9325ded1-1165-11de-9083-000802da8019}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe (.not file.)
O51 - MPSK:{9325ded1-1165-11de-9083-000802da8019}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe (.not file.)


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===)

Choisis un antivirus entre Avast et McAfee.

Sauf si tu as une licence payante avec McAfee, je te conseille de conserver Avast.

douie · Answer

J'ai exactement fait comme tu avais dit.  
Après avoir appuyé sur H puis sur la malette, j'ai revu la ligne que j'ai copié, que j'ai donc selectionné et nettoyé. (c'était ça ?). Ca ne m'a pas demandé de redémarrer et voilà la seule chose que j'ai eu : 
Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011 
Fichier d'export Registre :  
Run by Administrateur at 30/01/2011 21:21:58 
Windows XP Professional Service Pack 2 (Build 2600) 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 
========== Récapitulatif ========== 
End of the scan 

au niveau de l'antivirus j'avais déjà desinstallé McAfee

Lyonnais92 · Answer

Re,

la ligne que j'ai copié ?

il y aurait du en avoir 5.

Laquelle avais tu ?

douie · Answer

Voilà le scan :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijX4AEYHe.rtf

Lyonnais92 · Answer

Re,

ça doit être OK.

Il faut mettre à jour Windows en installant le Sp3 :

ouvre ce lien https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/ télécharge le fichier, enregistre le.

déconnecte toi d'Internet, ferme toutes les applications, y compris désactive la protection résidente de Avast puis exécute le.

Réactive Avast, fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.

douie · Answer

Désolé, mon ordi a mis une heure à se mettre à jour et plus de 40 min à s'allumer et 10 minutes à lancer une application (une horreur !) je ne sais pas si c'est du au trojan car d'habitude il n'est pas si long ....

Mauvaise nouvelle : AdAware Watch Live m'a annoncé qu'il avait bloqué une application au démarrage car elle contenait un trojan nommé win32 ... J'ai bien l'impression qu'il n'est toujours pas parti ....

Voilà le nouveau scan : 
http://www.cijoint.fr/cjlink.php?file=cj201101/cijRqHMtJl.rtf

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi.

Toujours aussi long ?

Tu as des détails sur le fichier bloqué par AdAware Watch Live ?

douie · Answer

Oui, toujours aussi long. Peut être à cause des misses à jour ou des programmes qui se lancent au démarrage. Le soucis c'esr que quand je veux ouvrir Ad Aware j'ai le panneau 'Lavasoft AdAware chargement' qui s'ouvre mais l'application n'arrive jamais ...

Le test de ZHPdiag ne detecte rien de nouveau ?

En tout cas merci beaucoup pour ton aide !

Lyonnais92 · Answer

Bonjour,

ZHPDiag ne me semble rien déceler.

Par contre, tu as effectivement beaucoup de processus au démarrage et aussi un DD C: qui est presque plein.

Peux tu faire du ménage dessus ?

Tu as combien de RAM ?

douie · Answer

Oui je vais faire un grand nettoyage !
J'essaie de redémarrer Ad Aware pour voir si je trouve l'application.

Ou est-ce qu'on voit combien de RAM on a ?

douie · Answer

Voilà, j'ai pu ouvrir Ad Aware et le fichier qu'il a bloqué est mmrtkrnl.exe qui s'execute au démarrage. Il se situe dans HKLM/Software/Microsoft/Windows/CurrentVersion/Run. 

Dans le même genre, mais non bloqué il y a aussi Ati2mdxx.exe au démarrage. 

Sinon j'ai fait un nettoyage de programmes et ça va beaucoup plus vite.
Je suis aussi en train de faire un scan sur le registre grâce à ce site : http://www.liutilities.com/products/campaigns/plib/rb/ et apparemment j'ai enormément d'erreurs !

Lyonnais92 · Answer

Re,

les 2 fichiers sont légitimes, le premier n'est pas nécessaire au démarrage.

Je n'aime pas beaucoup ce logiciel (Uniblue) et n'ai guère confiance en lui.

Si tu juges nécessaire de nettoyer le registre, CCleaner me semble préférable :

https://www.commentcamarche.net/download/s/ccleaner%20slim

Prends la précaution de sauvegarder quand l'outil te le propose.

Tu peux refaire un ZHPDiag pour voir où on en est. (rapport dans un lien Cijoint)

douie · Answer

J'ai refait un scan avec Ad aware qui m'a trouvé WIN32 dans ce fichier (mmrtkrln.exe) et qui l'a supprimé. Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijap7ZODg.txt

Et voila le nouveau rapport de ZHPdiag :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij57wkVDz.rtf

Lyonnais92 · Answer

Re,

le rapport a fait apparaître des lignes qui n'étaient apparues jusqu'ici dont un malware.

Relance ZHPFix avec cette ligne :

O53 - SMSR:HKLM\...\startupreg\XP  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Sexyliebe\Sexyliebe.exe

Tu es au bout du ménage sur C: ?

Essaye de purger la Restauration système :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

douie · Answer

Oui le nettoyage était terminé !  
J'ai fais ce que tu m'a dit pour la restauration.  
Voilà le rapport de zhpfix :  
http://www.cijoint.fr/cjlink.php?file=cj201101/cijxf6miBB.rtf  

J'ai refait un test avec zhpdiag :  
http://www.cijoint.fr/cjlink.php?file=cj201101/cij3sYUG7g.rtf  

J'ai vu que dans Applications démarrées par registre & par dossier (O4) il y avait toujours mmrtkrnl.exe on peut l'enlever définitivement ?? Il y a aussi dans 064, une ligne avec 'MAGIX' (en bleu) qui était un logiciel avec un trojan ... Je pensais l'avoir totalement enlevé mais apparemment non

Sinon j'avais aussi lancé spybot qui avait trouvé 12 spyware/dialer

Lyonnais92 · Answer

Re,

je pense que Ad Aware se trompe pour mmrtkrnl.exe.

relance MPBAM, mets le à jour et fais un scan complet.

Poste le rapport.

douie · Answer

C'est bon, MPBAM n'a absolument rien trouvé (0 de partout).
En tout cas si c'est fini, merci beaucoup pour ton aide !

Lyonnais92 · Answer

Re,

de rien pour l'aide, ce fut avec plaisir.

On en a fini après ça :

mets à jour Internet Explorer

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

douie · Answer

Voilà c'est fait !
Vu que j'utilise google chrome je n'ai pas mis à jour internet explorer..
Bon ben merci beaucoup mon ordi marche beaucoup mieux =)

douie · Answer

L'ordinateur infecté était celui de mon père. Devenue paranoiaque j'ai fait toutes sortes d'analyse sur mon ordinateur (avast, spybot, ccleaner, malwarebytes) et j'ai terminé par Ad aware qui m'a trouvé (encore) Win32 sur MON ordinateur (ahah) est-ce Ad Aware qui psychote avec WIN32?

Lyonnais92 · Answer

Bonjour,

télécharge la dernière version de ZHPDiag sur ton ordi, fais un scan et poste le rapport dans un lien Cijoint.

Je n'ai pas une grande confiance actuellement en AdAware.

douie · Answer

Voilà pour le scan sur mon ordi :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijJ1vvhyw.txt

Est-ce Ad aware qui voit WIN32 de partout ?

Lyonnais92 · Answer

Bonsoir,

je ne vois rien d'infectieux sur l'ordi.

AdAware le vois où ?

douie · Answer

Je ne me rapelle plus ... Mais bon si malwarebytes ne détecte rien je ne pense pas que je dois m'en inquiéter ... C'était encore sur un fichier similaire à celui de l'autre ordinateur

Lyonnais92 · Answer

Re,

mets à jour ta console java, Internet Explorer et vérifie si tu n'as pas des mises à jour de Windows en attente.

douie · Answer

Ok ! je vais faire tout ça.
Je pense que je vais abandonner ad aware ...
Merci encore

Lyonnais92 · Answer

Re,

encore de rien pour l'aide.

N'oublie pas de supprimer ZHPDiag via ZHPFix.

MBAM remplacera avantageusement Ad Aware (pas de protection résidente mais tu le passes de temps en temps après mise à jour).

HijackThis pour WIN32

48 réponses

Discussions similaires

Newsletters