[Infection/Intrusion] je deviens folle

bonjour

tout d'abord bravo pour ta ténacité !

ma contribution (compassion) est celle d'un parano ignare mais expérimenté.
mais ne dit-on pas que seuls les paranos survivent ?

un pc n'est pas un animal de compagnie !
j'ai passé des nuits entières sur internet , dépensé des sommes folles à tenter de protéger mes pcs contre toutes sortes de maladies, virus etc...
je continuerai volontiers à le faire pour mes chats, plus pour mes pc

je suis actuellement protégé par une.. protection ? ? qui n'est même pas mis à jour
(tu peux vérifier que tout antivirus arrive TOUJOURS après le virus)

pratiquement :

toutes mes données essentielles sont périodiquement sauvegardées de manière incrémentielle
période et qualité du support en rapport avec la qualité des fichiers à préserver
(2ème dd, cd...)

le disque dur physique principal est partitionné et les données quotidiennes sont traitées sur les lecteurs e f g ...

si cet après midi, un problème comme le tien se pose :

1 'sauve qui peut' du lecteur c en évitant les migrations vers d'autres lecteurs.

2 on formate c

3 on réinstalle l’os et l'ensemble des logiciels
avec un peu de pratique et d'organisation, cela sdevient très rapide, moins de 2 heures dans mon cas.

j'espère ne psa t'avoir fait perdre de temps

bon courage
pierre

Salut

C'est ça, Windows les a récupéré dans le cache Dll
Mais il n'est pas recommandé d'effacer des DLL de Windows "à la volée"

@+

Merci pour ta proposition de m'envoyer "ton joli kdo", je la décline m'en veux pas lol, je pense avoir assez de choses non controlables sur mon PC comme ca.

En fait Pierre, avt la "solution finale" je veux encore me battre un peu, bon ok je suis maso.

Je vais ecouter les conseils de marie que tu juges toi meme avisés et pertinents.....

Et puis , je ne peux repondre oui 4 fois, 2/3 fois tout au plus.

Je vais perdre certains fichiers (documents en pdf, txt, doc....extraits d'articles sur des tonnes de sujets et sur des tonnes de forums,images, utilitaires car je ne sais plus d'ou ils viennent......

et puis qui me dit que je ne vais pas transférer ds mes sauvegardes, la BETE !!

Prudence et ténacité.

Bises

Jocelyne

ok Marie
je suis prêt
confrontons les deux stratégies
méthode, efficacité, beauté de l'exploit (hu hu hu)

ciao

pierre

Bonsoir,

alors on commence a s'attaquer a la bebette !!

Comme évoqué plus haut , je prefére me prendre encore un peu la tete que d'entamer "la solution finale".... funeste expression pour ceux qui ont un peu de mémoire.

...et puis comme je le disais ds un autre post à Pierre , je vais perdre des trucs, sans avoir la certitude que je puisse reconstruire un pc CLEAN.... je suppose que ds les stratégies de survie , les concepteurs malfaisants de saloperies de tout genre, ont prevus de sauvegarder eux aussi leurs saletés qd on fait un back up , c'est ce que je ferais donc ils pensés à ca!! snifff!!!

A propos de ton ps , Marie, tu as quoi comme outils de sécurité toi.
J'imagine que ce n'est pas Z.A... ni avast ???
(RQ : impossible de faire un scan online avec Panda ???, lors du téléchargement, avast detecte un troyen, donc je laisse tomber)

Je fais ce que tu décris puis post un nouveau rapport hijackthis.

Merci pour ton aide, Bisous !!

A tout de suite.

JOJO

1)

Petite précision j'ai la version FRancaise de hijackthis est ce que cela a une importance ???

2)

Je n'ai pas trouver la premiere ligne

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

je pense que c'est du au fait que je suis passé par le panneau de configuration et j'ai effacé le scanner en ligne KAV ...j'espère que c'est ca ?


3) L'utilitaire m'a posé la question :

apres le fix des objets cochés si je voulais faire une sauvegarde , j'ai dis OUI ,par prudence. C'est grave docteur???

Bon, je boot et te poste le log

Hoooooooooooooouuuuupsssssss !!!!!!!!!!!!!!!!!!!



Après le reboot j'ai une petite étoile ds la barre de taches qui m'avertit que je suis peut etre victime d'une contre façon!!!!!!

de windows XP !!!!

En cliquant dessus , je fais apparaitre un menu :
================================
Détails de l'echec de validation ===> si je clique dessus ce m'envoie vers un site de microsoft... j'ai abandonné)

Acheter une version originale de Windows

Avantages liés à l'utilisation d'une version originale

Modifier les paramètres de notification
===============================

L'effacement d'une des ligne a pas du lui plaire a XP ....m'etonnerait pas que ce soit "Genuine machin truc" c'est du Microsoft ca. J'espere qu'XP va pas bloquer le Pc, MARIE qu'est ce que tu fais ??? tu veux que j'ai une crise cardiaque ?? lol

(j'ai peut etre bien fait de faire une sauvegarde meme si je sais pas comment remettre la ligne effacée)

Bon je colle le log :

Logfile of HijackThis v1.99.1
Scan saved at 22:48:34, on 30/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Prevx1\PXAgent.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Prevx1\PXConsole.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [PrevxOne] "C:\Program Files\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{89BAD54B-414A-42F2-BBCA-8832FA21BA67}: NameServer = 213.36.80.1 213.36.80.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

m'en fout des fôôtes...



(moi zossi......... lol)



Bises



JOJO

A demain

(si mon micro veut bien se lancer, vu que maintenant je suis une pirate, vl'à aut'e chose, non mais, ils sont fous !!! =

salut,

en forme ???

"rien à voir, hum ........... tu rigoles "!!!!!

Je viens de mettre en marche mon pc maintenant au démarrage j'ai un panneau sous le logo de xp comme quoi je travaille avec une copie et une fenetre me demandant d'acheter/regulariser le produit (ou de le faire utlterieurement) oufff !! il bloque pas mais c'est peut etre limité en nb de fois ......

Apres avoit regardé sur google genuine, c'est un truc microssoft pour verifier les licences (et surement leur envoyer des infos) bref c'est un spyware.

ET XP est vraiment pas content quand tu enleves.... la preuve.
J'ai utilisé la sauvegarde d'hijackthis pour remmetre ce que tu m'avais fais supprimé mais rien n'a changé je suppose qu'il ya eu création d'un fichier qq part ou d'une indication dans la base de registre comme quoi il faut verifier que je ne suis pas victime d'une contre facon , bref regulariser (un produit deja regularisé et acheté (livré avec le pc)!!! ..... galere !!!

bon je sais pas quoi faire là !! j'ai une SUR probleme maintenant!!


Le coté positif c'est que je sais maintenant que j'etais espionnée par microsoft, via genuine.

D'apres ce que j'ai lu ca vient des mises a jours, comme j'ai validé le paquet de correctifs sur leur site , il a tt installé (et cette saloperie avec ).


HELP, ca m'etonnerait que tu l'aies pas sur ton poste .

A+

Jocelyne

Ps: Je colle un log

Logfile of HijackThis v1.99.1
Scan saved at 08:37:09, on 31/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Prevx1\PXAgent.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Prevx1\PXConsole.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [PrevxOne] "C:\Program Files\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{89BAD54B-414A-42F2-BBCA-8832FA21BA67}: NameServer = 213.36.80.1 213.36.80.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

re,


non, pourquoi toi oui ?

fais trop chaud ds le sud, je prefere ma normandie, jocelyne27 27==>Eure , ds un trou paumé tu peux pas savoir lol.....

Bon, j'ai un beau logo a l'allumage du pc (la honte...j'suis une pirate pour un truc licite).

Je fais quoi???

t'as verifié ds ton pc , s'il ya genuine?

JOJO

SLT,

Bon alors ds le panneau de config:

Je trouve 2 trucs:

KB 892130 Windows Genuine Advantage Validation Tools

et


KB 905474 W... G..... A.... Notifications


IL n'est pas possible de les desinstaller par ce moyen.
C'est mentionné noir sur blanc !!

Donc c'est pas la bonne solution et si j'allais voir ds windows update, pour reinstaller Genuine.... NON/OUI???

Merci pour tes propositions

moi je veux bien mais comment Marie ???

je sais je suis une ignare