Victime (aussi) d'AntivirusGoldFermé

Question

Bonjour à tousJ’ai été, comme beaucoup apparemment, infecté par antivirusGold.Assez curieusement aujourd’hui l’écran d’alerte que j’avais sur mon bureau s’est décalé et j’ai pu le supprimer en cliquant sur la croix « x » en haut à droite. J’avais installé il y a quelques jours un anti-spyware (la version shareware de Webroot Spy Sweeper). Il m’a permis de supprimer quelques spywares mais désormais, à chaque lancement, il détecte des éléments indésirables qu’il ne parvient pas à supprimer (notamment CWS_NS3 et CWS_TINYO).Depuis j’ai beaucoup de problème à ouvrir certains programmes.Je vous colle le fichier log de HijackThis.Merci de votre disponibilité et de votre patience !(mon système d’exploitation est windows xp)Logfile of HijackThis v1.99.1Scan saved at 16:50:26, on 30/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32
etkt.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\Program Files\HP\hpcoretech\hpcmpmgr.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeC:\WINDOWS
etyi.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXEC:\Documents and Settings\Administrateur\Mes documents\Internet\Utilitaires(antivirus...)\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.equipe.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: Class - {04D6A205-BCF1-A72C-2E8D-6CC68DA15F18} - C:\WINDOWS\atlha32.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: Class - {C0B62884-9D9D-A9E4-7E45-B29002B6258A} - C:\WINDOWS\winxx32.dllO2 - BHO: Class - {E1DCA212-58A7-5661-930A-F7C50CF2FA3A} - C:\WINDOWS\appxo32.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeO4 - HKLM\..\Run: [netyi.exe] C:\WINDOWS
etyi.exeO4 - HKLM\..\RunOnce: [netkt.exe] C:\WINDOWS\system32
etkt.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dllO14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocxO17 - HKLM\System\CCS\Services\Tcpip\..\{73114945-A29C-47A0-8447-D0623A54749D}: NameServer = 212.27.32.5 213.228.0.168O17 - HKLM\System\CCS\Services\Tcpip\..\{BE19F20F-EF61-4DBF-9F53-8D2AC198B28F}: NameServer = 192.168.0.5,192.168.0.7O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcxe.exe (file missing)O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

jean38 · Answer

salut,avant de passer à la phase active de nettoyage, pourrais tu scaner 2 fichiers suspects:pour celà, va sur le sitehttp://viruscan.jotti.orget teste les fichiers suivants (tu utiulises parcourir pour acceder aux fichiers (1 à 1) puis submit pour voir). Note bien les résultats et transmets.voici les fichiers:C:\WINDOWS
etyi.exeC:\WINDOWS\system32
etkt.exe C:\WINDOWS\winxx32.dllC:\WINDOWS\appxo32.dll a toutejean

jean38 · Answer

excuse moi pour le retard mais beaucoup boulot,pour les tester, refais la même chose mais avant de faire la manip,va dans le menudemarrer panneau de configuration outil option des dossiers affichage, coche afficher dossier cachés decoche : masquer extension des fichiers dont le type est connu masquer les fichiers protégés du systeme d'exploitation. ensuite retourne sur http://viruscan.jotti.org

jean38 · Answer

devant m'absenter,si les fichiers (comme je le pense sont malware)alors voici la manip a suivre, s'il ne l'eatient pas tu oublies les operations mentionnant nos 2 suspects.A/ si tu ne les as pas, telecharge: Spybot S&D 1.4 et Ad-Aware SE 1.06 http://www.lavasoftusa.com/software/adaware/ http://www.safer-networking.org/fr/index.htmlpuis Clean Up 40 : http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm ne les utilise pas tout de suite idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 2) demarrer panneau de configuration outil option des dossiers affichage, coche afficher dossier cachés decoche : masquer extension des fichiers dont le type est connu masquer les fichiers protégés du systeme d'exploitation. 3) demarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)4) lance hijack, ferme le bloc note et coche les cases devant les lignes:R3 - Default URLSearchHook is missing O2 - BHO: Class - {C0B62884-9D9D-A9E4-7E45-B29002B6258A} - C:\WINDOWS\winxx32.dllO2 - BHO: Class - {E1DCA212-58A7-5661-930A-F7C50CF2FA3A} - C:\WINDOWS\appxo32.dll O4 - HKLM\..\Run: [netyi.exe] C:\WINDOWS
etyi.exeO4 - HKLM\..\RunOnce: [netkt.exe] C:\WINDOWS\system32
etkt.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcxe.exe (file missing) 5) Dans le menu Demarrer>Executer >tape: Services.msc recherche le service avec cette orthographe exacte: Network Security ServiceDouble clic dessus (NSS) ( 11Fßä#·ºÄÖ`I)  et clic sur arreter puis dans type de demarrage selectionne désactivé6) supprime les fichiers  C:\WINDOWS\system32
etkt.exeC:\WINDOWS
etyi.exe C:\WINDOWS\winxx32.dllC:\WINDOWS\appxo32.dll execute cleanup40.exe tu relances tes scan ad aware puis spy boot puis a2 freeet vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir). vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.  redemarre refait un log

Gilles14 · Answer

Salut à tous (pb suivi par jean38)J'ai suivi scrupuleusement le protocole d'action mais malheureusement certains spywares continuent à s'incruster.Quand je lance plusieurs anti-spywares,à chaque démarage de mon pc :  A-squared free ne voit rien  Spybot semble également passer à côté    Par contre Ad-Aware er SpySweeper détectent le même problème: CWS ,mais qu'ils ne peuvent corriger que partiellement car tout est à recommencer à chaque démarrage.De plus j'ai perdu ma barre de tâche bleu (j'en ai une grise à la place). J'ai essayé de faire: panneau de configuration-affichage-apparence mais je n'ai pas trouvé...Merci pour votre aideJe colle le dernier log de HijackThisLogfile of HijackThis v1.99.1Scan saved at 17:26:37, on 04/07/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\Program Files\HP\hpcoretech\hpcmpmgr.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeC:\WINDOWS\system32\javayj32.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exeC:\WINDOWS\system32
etpw32.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Administrateur\Mes documents\Internet\Utilitaires(antivirus...)\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: Class - {8ED8EDEF-D9D7-3A6E-D628-74027B7A66ED} - C:\WINDOWS\system32\sdkcv.dll (file missing)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeO4 - HKLM\..\Run: [javayj32.exe] C:\WINDOWS\system32\javayj32.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dllO14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120367349453O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocxO17 - HKLM\System\CCS\Services\Tcpip\..\{73114945-A29C-47A0-8447-D0623A54749D}: NameServer = 212.27.32.5 213.228.0.168O17 - HKLM\System\CCS\Services\Tcpip\..\{BE19F20F-EF61-4DBF-9F53-8D2AC198B28F}: NameServer = 192.168.0.5,192.168.0.7O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32
etpw32.exeO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

jean38 · Answer

Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\Program Files\HP\hpcoretech\hpcmpmgr.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeC:\WINDOWS\system32\javayj32.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exeC:\WINDOWS\system32
etpw32.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Administrateur\Mes documents\Internet\Utilitaires(antivirus...)\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: Class - {8ED8EDEF-D9D7-3A6E-D628-74027B7A66ED} - C:\WINDOWS\system32\sdkcv.dll (file missing)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeO4 - HKLM\..\Run: [javayj32.exe] C:\WINDOWS\system32\javayj32.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dllO14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120367349453O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocxO17 - HKLM\System\CCS\Services\Tcpip\..\{73114945-A29C-47A0-8447-D0623A54749D}: NameServer = 212.27.32.5 213.228.0.168O17 - HKLM\System\CCS\Services\Tcpip\..\{BE19F20F-EF61-4DBF-9F53-8D2AC198B28F}: NameServer = 192.168.0.5,192.168.0.7O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32
etpw32.exeO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

jean38 · Answer

Pardon, fausse manip de touche.avant de travailler je voudrais que tu verifies 2 fichiers que je pense foretment suspect (pour ne pas dire plus)va surhttp://virusscan.jotti.orgclique sur parcourir pour trouver le fichier :    	C:\WINDOWS\system32
etpw32.exeet submit pour le tester (copie le log et colle le sur un post)fait de même avec le fichier:   	C:\WINDOWS\system32\javayj32.exej'attends tes posts Jean

Gilles14 · Answer

Voici les copies des logs que tu m'as demandé.Merci encoreGillesService load:  0%        100%   File:  netpw32.exe  Status:  INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)  MD5  ad276d0c0cf26c3923b900c910344960  Packers detected:  - Scanner results  AntiVir  Found nothing ArcaVir  Found nothing Avast  Found nothing AVG Antivirus  Found nothing BitDefender  Found nothing ClamAV  Found nothing Dr.Web  Found BackDoor.Netag  F-Prot Antivirus  Found nothing Fortinet  Found nothing Kaspersky Anti-Virus  Found nothing NOD32  Found Win32/TrojanDownloader.Agent.BQ  Norman Virus Control  Found nothing UNA  Found nothing VBA32  Found Trojan.Win32.Agent.bi Service load:  0%        100%   File:  javayj32.exe  Status:  INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)  MD5  d69bae39212d63c5be3c6117d288ebe8  Packers detected:  - Scanner results  AntiVir  Found TR/Dldr.Agen.bq.8.C  ArcaVir  Found Trojan.Downloader.Agent.Bq  Avast  Found nothing AVG Antivirus  Found nothing BitDefender  Found nothing ClamAV  Found nothing Dr.Web  Found Trojan.DownLoader.3312  F-Prot Antivirus  Found W32/Agent.QZ  Fortinet  Found nothing Kaspersky Anti-Virus  Found Trojan-Downloader.Win32.Agent.bq  NOD32  Found a variant of Win32/TrojanDownloader.Agent.BQ  Norman Virus Control  Found nothing UNA  Found TrojanDownloader.Win32.Agent  VBA32  Found Trojan.DownLoader.3312

jean38 · Answer

alors donc voilà ce que tu vas faire, imprime ceci pour ne rien oublier:A/ si tu ne les as pas, telecharge: Spybot S&D 1.4 et Ad-Aware SE 1.06 http://www.lavasoftusa.com/software/adaware/ http://www.safer-networking.org/fr/index.htmlpuis Clean Up 40 : http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm ne les utilise pas tout de suite idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 2) demarrer panneau de configuration outil option des dossiers affichage, coche afficher dossier cachés decoche : masquer extension des fichiers dont le type est connu masquer les fichiers protégés du systeme d'exploitation. 3) demarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)4) lance hijack, ferme le bloc note et coche les cases devant les lignes:R3 - Default URLSearchHook is missingO2 - BHO: Class - {8ED8EDEF-D9D7-3A6E-D628-74027B7A66ED} - C:\WINDOWS\system32\sdkcv.dll (file missing)O4 - HKLM\..\Run: [javayj32.exe] C:\WINDOWS\system32\javayj32.exe  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1120367349453 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall /xscan53. O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx  O23 - Service: Workstation NetLogon Service ( 11Fßä #•ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32
etpw32.exe5) Dans le menu Demarrer>Executer >tape: Services.msc recherche le service avec cette orthographe exacte: Workstation NetLogon Service Double clic dessus (11Fßä #•ºÄÖ`I) et clic sur arreter puis dans type de demarrage selectionne désactivé6) supprime les fichiers  C:\WINDOWS\system32\javayj32.exeC:\WINDOWS\system32
etpw32.exeexecute cleanup40.exe tu relances tes scan ad aware puis spy boot puis a2 freeet vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir). vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.  Redemarre refait un logA+Jean

Gilles14 · Answer

Après avoir coché les cases des lignes que tu me signales dans HijackThis, faut-il cliquer sur "Fix checked" ou pas ? (A mon 1er HijackThis je ne l'avais pas fait vu que tu ne l'avais pas mentionné).Je voulais aussi te préciser que pendant que j'étais sur http://virusscan.jotti.org/, j'en ai profité pour controler d'autres fichiers "dll" et "exe" placés dans c:/windows et c:/windows/system32.J'en ai trouvé 22 infectés (11 dans chaque dossier( 8 dll et 3 exe)).De plus le spyware créé des fichiers ".dll" en permanence.J'ai environ 600 fichiers de 0 octets dans chacun de ces 2 dossiers.

jean38 · Answer

salut,oui en effet, le fait de cocher les case dans hijack ne valide en rien la supprssion, seule la validation par fix checked a un effet, d'ou la non resolution de tes pb anterieurs.donc refait bien cette manip.Attention pour les scan, A2 est un anti trojan donc ras sur spy par contre les 2 autres sont des anti spy. Lancent les bien en mode sans echec pour qu'ils puissent supprimer tes pb.absent ce matin mais de retour cet PM.A toute jeanPS on verra après avoir tué la bete pour les dll.

Gilles14 · Answer

Bravo Jean, je crois que tu as réglé le problème! Après avoir fait "fix checked" sur les lignes indésirables dans HijakThis, mes anti-spywares n'ont plus rien détecté d'anormal.Si tu as encore un peu de temps, peux tu me dire s'il faut que je supprime les fichiers "dll" et "exe" contenu dans C:/windows et C:/windows/system32 et comment récupérer ma barre de tâche bleu.Si tu n'as pas le temps, laisses tomber! En tout cas merci beaucoup pour ton aide. Je t'envois quand même mon dernier log pour contrôle...Logfile of HijackThis v1.99.1Scan saved at 14:18:18, on 06/07/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\Program Files\HP\hpcoretech\hpcmpmgr.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exeC:\WINDOWS\explorer.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Administrateur\Mes documents\Internet\Utilitaires(antivirus...)\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dllO14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{73114945-A29C-47A0-8447-D0623A54749D}: NameServer = 212.27.32.5 213.228.0.168O17 - HKLM\System\CCS\Services\Tcpip\..\{BE19F20F-EF61-4DBF-9F53-8D2AC198B28F}: NameServer = 192.168.0.5,192.168.0.7O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

Utilisateur anonyme · Answer

gilles tu as le cd de xp?

Gilles14 · Answer

Oui, pourquoi ?

Utilisateur anonyme · Answer

re,ta barre de tache est idem?si oui une petite manip pour la retrouver que je te donneraisa+

Victime (aussi) d'AntivirusGold

14 réponses

Discussions similaires

Newsletters