Sujet Précédent Sujet Suivant

Avalanche de virus...help!!!!

Résolu/Fermé
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011 - 19 mai 2008 à 00:02
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 23 mai 2008 à 08:25
Bonjour,

j`ai Antivir et celui ci me demande si je veux supprimer, mettre en quarantaine...les virus suivants
TR.dldr.agent.pcc
Dr.microjoiner.gen
TR/crypt.xpack.gen
BDS/backdoor.gen
....il y en a une dizaine
et ils n`arretent pas de revenir , meme avec l`ordre de suppression ou mise en quarantaine

j`ai fait un log de hijackthis, mais je ne sais pas l`interpreter
quelqu`un peut il m`aider?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:38:12 PM, on 5/18/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\SmartClock\SmartClock.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Documents and Settings\user\ie_updates3r.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\user\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/en-us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://news.google.com/topstories?hl=fr&gl=FR&ceid=FR:fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/en-us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.latam.msn.com/8SEESXL020100/FRWCompleteAddIns
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [SmartClock] C:\Program Files\SmartClock\SmartClock.exe /boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [SetupBoostrapper] C:\SaxoTrader2_WEBDeploy.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB6A1F2B-9C7D-41C7-A1DA-454E86428C5C}: NameServer = 200.88.127.22,196.3.81.132
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Online Services - Unknown owner - C:\Documents and Settings\user\ie_updates3r.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

19 réponses

Réponse 1 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 mai 2008 à 00:37
Bonjour,

supprime ou mets en quarantaine tout ce que antivir te trouve.

Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
0
Réponse 2 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
19 mai 2008 à 09:50
Merci pour tes explications vraiment tres claires.....
( beaucoup mieux que le manuel de ma machine a laver auquel je ne comprends pas un traitre mot..LOL )

j`ai donc suivi a la lettre tes instructions et actuellement, il semble que toutes ces mauvaises betes aient disparu.
j`informerai de la resolution du probleme a la fin de la journee pour etre sur.
Un grand merci pour ton aide , en tous cas

Une question au sujet de Hijackthis:
lors de mon log, il me propose une liste de files notes de 02 a 023 qui lui paraissent douteux ?
Est ce que je devrais les cocher et utiliser la fonction proposee " Fix checked" ?

je poste le txt de SDfix ainsi que mon nouveau log Hijackthis:

[b]SDFix: Version 1.183 [/b]
Run by user on Mon 05/19/2008 at 03:07 AM

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]:
Google Online Services
{DEF85C80-216A-43ab-AF70-1665EDBE2780}

[b]Path [/b]:
C:\Documents and Settings\user\ie_updates3r.exe -A
\??\C:\WINDOWS\TEMP\70.tmp

Google Online Services - Deleted
{DEF85C80-216A-43ab-AF70-1665EDBE2780} - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\70.TMP - Deleted
C:\72.TMP - Deleted
C:\Documents and Settings\LocalService\cftmon.exe - Deleted
C:\Documents and Settings\user\ie_updates3r.exe - Deleted
C:\WINDOWS\system32\~.exe - Deleted
C:\autoex.dll - Deleted
C:\WINDOWS\system32\svchost.t__ - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\system32\drivers\spools.exe - Deleted

[color=red]Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use [url=http://www2.gmer.net/gmer.zip]Gmer[/url] or [url=https://free.drweb.com/cureit]Dr.Web CureIt[/url][/color]

Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$
Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$



Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 03:15:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Shareaza Applications\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza Applications\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\IQwhs\\iquote32.exe"="C:\\Program Files\\IQwhs\\iquote32.exe:*:Enabled:InstaQuote"
"C:\\Program Files\\WHS ProStation\\WHS ProStation.exe"="C:\\Program Files\\WHS ProStation\\WHS ProStation.exe:*:Enabled:WHS ProStation"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Common Files\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Common Files\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Program Files\\Common Files\\AOL\\ACS\\AOLacsd.exe"="C:\\Program Files\\Common Files\\AOL\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Program Files\\America Online 9.0\\waol.exe"="C:\\Program Files\\America Online 9.0\\waol.exe:*:Enabled:AOL"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:

C:\WINDOWS\Temp\bca4e2da.$$$ Found
C:\WINDOWS\Temp\fa56d7ec.$$$ Found

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 13 Sep 2006 69,120 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL0078.tmp"
Sat 28 Jul 2007 23,040 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL0418.tmp"
Wed 13 Sep 2006 66,048 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1280.tmp"
Tue 12 Sep 2006 56,832 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1393.tmp"
Wed 13 Sep 2006 76,800 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1727.tmp"
Wed 13 Sep 2006 70,144 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1888.tmp"
Wed 13 Sep 2006 68,096 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1927.tmp"
Wed 13 Sep 2006 61,440 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL2559.tmp"
Wed 13 Sep 2006 72,704 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL2962.tmp"
Wed 13 Sep 2006 65,024 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL2964.tmp"
Wed 13 Sep 2006 72,192 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL3082.tmp"
Wed 13 Sep 2006 76,800 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL3163.tmp"
Wed 13 Sep 2006 77,824 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL3173.tmp"
Mon 15 Mar 2004 77,824 A..H. --- "C:\gs 2008\gs shared folder\~WRL0003.tmp"
Tue 29 Apr 2008 6,104,632 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 17 Jan 2008 56 ..SHR --- "C:\WINDOWS\system32\E02B311214.sys"
Thu 17 Jan 2008 3,350 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sat 27 Aug 2005 32,256 A..H. --- "C:\gs 2008\90-to do\to do\~WRL0070.tmp"
Sat 27 Aug 2005 32,768 A..H. --- "C:\gs 2008\90-to do\to do\~WRL2481.tmp"
Wed 13 Sep 2006 69,120 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL0078.tmp"
Wed 13 Sep 2006 66,048 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1280.tmp"
Tue 12 Sep 2006 56,832 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1393.tmp"
Wed 13 Sep 2006 76,800 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1727.tmp"
Wed 13 Sep 2006 70,144 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1888.tmp"
Wed 13 Sep 2006 68,096 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1927.tmp"
Wed 13 Sep 2006 61,440 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL2559.tmp"
Wed 13 Sep 2006 72,704 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL2962.tmp"
Wed 13 Sep 2006 65,024 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL2964.tmp"
Wed 13 Sep 2006 72,192 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL3082.tmp"
Wed 13 Sep 2006 76,800 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL3163.tmp"
Wed 13 Sep 2006 77,824 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL3173.tmp"
Mon 20 Oct 2003 73,688 ..SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe"
Sat 24 Jan 2004 5,120 A.SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Thu 27 Oct 2005 39,424 A..H. --- "C:\gs 2008\10-commercial\1-Clients\Dagher\~WRL0001.tmp"
Sat 27 Aug 2005 32,256 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\70-to do\to do\~WRL0070.tmp"
Sat 27 Aug 2005 32,768 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\70-to do\to do\~WRL2481.tmp"
Thu 16 Aug 2007 45,568 A..H. --- "C:\gs 2008\gs shared folder\gs2007\lemondrop\~WRL3667.tmp"
Tue 24 Jul 2007 37,376 A..H. --- "C:\gs 2008\gs shared folder\gs2007\to input\~WRL1926.tmp"
Tue 24 Jul 2007 19,968 A..H. --- "C:\gs 2008\gs shared folder\gs2007\to input\~WRL3103.tmp"
Sat 3 Jan 2004 24,576 A..H. --- "C:\gs 2008\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0001.tmp"
Sun 9 May 2004 26,624 A..H. --- "C:\gs 2008\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0003.tmp"
Sun 9 May 2004 25,600 A..H. --- "C:\gs 2008\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0005.tmp"
Thu 27 Oct 2005 39,424 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\10-commercial\1-Clients\Dagher\~WRL0001.tmp"
Sat 3 Jan 2004 24,576 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0001.tmp"
Sun 9 May 2004 26,624 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0003.tmp"
Sun 9 May 2004 25,600 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0005.tmp"
Mon 28 Nov 2005 8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch1\lock.tmp"
Mon 28 Nov 2005 8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch2\lock.tmp"
Mon 28 Nov 2005 8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch3\lock.tmp"
Sat 10 Jan 2004 19,456 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\~WRL0499.tmp"
Sat 10 Jan 2004 19,456 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\~WRL0499.tmp"
Sat 14 Feb 2004 118,272 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL0282.tmp"
Sat 14 Feb 2004 119,808 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL0995.tmp"
Sat 14 Feb 2004 118,784 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL1259.tmp"
Fri 13 Feb 2004 114,176 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL3788.tmp"
Sat 14 Feb 2004 118,272 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL0282.tmp"
Sat 14 Feb 2004 119,808 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL0995.tmp"
Sat 14 Feb 2004 118,784 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL1259.tmp"
Fri 13 Feb 2004 114,176 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL3788.tmp"

[b]Finished![/b]









Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:33:41 AM, on 5/19/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\SmartClock\SmartClock.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\user\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/en-us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://news.google.com/topstories?hl=fr&gl=FR&ceid=FR:fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/en-us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.latam.msn.com/8SEESXL020100/FRWCompleteAddIns
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SmartClock] C:\Program Files\SmartClock\SmartClock.exe /boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [SetupBoostrapper] C:\SaxoTrader2_WEBDeploy.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB6A1F2B-9C7D-41C7-A1DA-454E86428C5C}: NameServer = 200.88.127.22,196.3.81.132
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 3 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 mai 2008 à 10:14
Bonjour,

SDFix (merci Andy MAnchesta) a décelé la nouvelle infection Mebroot (au passage, détectée par Avast et pas par Antivir).

Pour éradiquer :

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.

Merci à Malekal pour le tutoriel

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

Réactive tes protections.


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/


Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Vérifie sur le tuto les quelques programmes qui peuvent légitimement agir en tant que serveur. Bloque les autres. C'est le mécanisme de progression de l'infection.

Fais ça. Mais je vais probablement ajouter d'autres consignes très vite.

Si tu es là, reste attentive.

Visiblement, le rootkit a affaibli tes protections. Zone alarm peut ralentir la progression.
0
Réponse 4 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 mai 2008 à 10:27
Re,

ton fournisseur Internet est "Compañía Dominicana de Teléfonos" CODETEL ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 mai 2008 à 10:39
Re,

après le passage de mbr.exe, tu feras ça :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

Ensuite, tu redémarres en mode sans échec comme indiqué dans le post de SDFix (post 1)

¤ Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Décoche Avancé. Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

Toujours en mode sans échec :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

Je te fais recommencer parce que :

- l'infection a pu repartir à cause du rootkit

- il restait des fichiers temporaires non supprimés par SDFix. CCleaner devrait les supprimer.
0
Réponse 6 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
20 mai 2008 à 11:32
mon fournisseur d acces est bien compania de telefono Codetel
( j habite en republique dominicaine)

j ai suivi tes instructions en ce qui concerne mbr, mais je bloque sur la commande "%userprofile%\Bureau\mbr" -f
windows ne l accepte pas.
( en plus, j ai eu beaucoup de mal avec le backslash, qui ne veut pas s ecrire avec les commandes alt8 ou alt4 ou meme alt092
alors j ai fait un copier coller de la commande a partir de ton message)

( j ai bien eu l affichage de rootkit codde detected par mbr )


il semble que l infection est en train de se propager
ainsi, je n ai pas pu m identifier sur le forum, car a chaque fois que je voulais ecrire mon pseudo, il s affichait d0d0d0d0d0
actuellement, je tape mon message sur mon deuxeme PC

en ce qui concerne mes protections , j ai windows en parefeu et Antivir ( ce sont ceux que j ai desactives pour tenter la manoeuvre ¨* run*
les autres programmes que j ai sont Spybot, cccleaner, avec a present hijackthis et sdfix. Dois je egalement les desactiver?

je n ai pas bien compris l instruction * Vérifie sur le tuto les quelques programmes qui peuvent légitimement agir en tant que serveur. Bloque les autres. C'est le mécanisme de progression de l'infection. * qu est ce que tu appelles le tuto ?

je vais essayer de telecharger zone alarm sur le premier pc et j attends ta reponse pour savoir comment faire accepter la commande dans *executer*

encore mille fois merci pour ton aide
0
Réponse 7 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
20 mai 2008 à 12:19
ca va de plus en plus mal.....
impossible de charger un programme sur le net a partir du pc infecte
a chaque fois il change le file name pour -------------------------------

en plus, le probleme que j avais pour passer l instruction dans la commande *run * vient de s aggraver. En effet, il n est plus possible de taper quoi que ce soit, car il s affiche automatiquement ------------------------

est ce que c est foutu, docteur?
0
Réponse 8 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
20 mai 2008 à 12:43
ca devient pathetique....
a chaque fois que j ouvre un dossier, word, excel....celui ci commence par apparaitre, puis s efface....
j ai refais un log de hijackthis avec le meme probleme lorsque je veux copier le dossier...


je ne vois pas d autre solution que de reformater mon disque dur
une question : si je transfere mes dossiers sur mon autre pc qui est en reseau avec celui qui est infecte, est qu il y a un risque de propager l infection ?
0
Réponse 9 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
20 mai 2008 à 13:44
une bonne nouvelle....
annulation de mes 2 messages precedents
apres avoir lance Ccleaner, les problemes concernes par mes 2 messages precedents ont ete resolus
jºai meme pu telecharger zone alarm
0
Réponse 10 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
20 mai 2008 à 14:44
Re,

si j'ai bien compris, tu n'as pas pu faire tourner mbr.exe.

fais comme ça :

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Dans le menu Démarrer- Exécuter tape (ou fais un copier-coller) : C:\Documents and Settings\user\Desktop\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

Réactive tes protections.


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


C:\Documents and Settings\user\Desktop\

Poste le nouveau rapport.

Si tru n'as pas pu télécharger mbr.exe, voir le début du post 3.
0
Réponse 11 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
20 mai 2008 à 19:51
j avais pu faire tourner mbr.exe qui m avait envoye le message ´MBR rootkit code detected
le probleme est la commande start/run de windows qui n accepte pas les 2 commandes que tu m as envoyees
j ai fait le copier coller de C:\Documents and Settings\user\Desktop\mbr" -f
et windows me dit : ¨windows cxannot find C:\Documents¨


d un autre cote , j ai essaye de refaire tourner mbr.exe en double cliquant sur l icone du desktop et cela ne declenche plus rien
0
Réponse 12 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
20 mai 2008 à 22:00
Bonsoir,

reéxécute le post 1 ( à partir de . Redémarre ton ordinateur en mode sans échec)

Poste le rapport.
0
Réponse 13 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
20 mai 2008 à 22:37
j`ai refais les operations du post 1


rapport Sdfix:
[b]SDFix: Version 1.183 [/b]
Run by user on Tue 05/20/2008 at 04:06 PM

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\Temp\ed47fa.$ - Deleted

[color=red]Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use [url=http://www2.gmer.net/gmer.zip]Gmer[/url] or [url=https://free.drweb.com/cureit]Dr.Web CureIt[/url][/color]

Could Not Remove C:\WINDOWS\Temp\bca4e2da.$$$
Could Not Remove C:\WINDOWS\Temp\fa56d7ec.$$$



Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 16:16:16
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Shareaza Applications\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza Applications\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\IQwhs\\iquote32.exe"="C:\\Program Files\\IQwhs\\iquote32.exe:*:Enabled:InstaQuote"
"C:\\Program Files\\WHS ProStation\\WHS ProStation.exe"="C:\\Program Files\\WHS ProStation\\WHS ProStation.exe:*:Enabled:WHS ProStation"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Common Files\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Common Files\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Program Files\\Common Files\\AOL\\ACS\\AOLacsd.exe"="C:\\Program Files\\Common Files\\AOL\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Program Files\\America Online 9.0\\waol.exe"="C:\\Program Files\\America Online 9.0\\waol.exe:*:Enabled:AOL"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:

C:\WINDOWS\Temp\bca4e2da.$$$ Found
C:\WINDOWS\Temp\fa56d7ec.$$$ Found

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 13 Sep 2006 69,120 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL0078.tmp"
Sat 28 Jul 2007 23,040 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL0418.tmp"
Wed 13 Sep 2006 66,048 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1280.tmp"
Tue 12 Sep 2006 56,832 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1393.tmp"
Wed 13 Sep 2006 76,800 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1727.tmp"
Wed 13 Sep 2006 70,144 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1888.tmp"
Wed 13 Sep 2006 68,096 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL1927.tmp"
Wed 13 Sep 2006 61,440 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL2559.tmp"
Wed 13 Sep 2006 72,704 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL2962.tmp"
Wed 13 Sep 2006 65,024 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL2964.tmp"
Wed 13 Sep 2006 72,192 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL3082.tmp"
Wed 13 Sep 2006 76,800 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL3163.tmp"
Wed 13 Sep 2006 77,824 A..H. --- "C:\gs 2008\60-administratif-juridique\~WRL3173.tmp"
Mon 15 Mar 2004 77,824 A..H. --- "C:\gs 2008\gs shared folder\~WRL0003.tmp"
Tue 29 Apr 2008 6,104,632 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 17 Jan 2008 56 ..SHR --- "C:\WINDOWS\system32\E02B311214.sys"
Thu 17 Jan 2008 3,350 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sat 27 Aug 2005 32,256 A..H. --- "C:\gs 2008\90-to do\to do\~WRL0070.tmp"
Sat 27 Aug 2005 32,768 A..H. --- "C:\gs 2008\90-to do\to do\~WRL2481.tmp"
Wed 13 Sep 2006 69,120 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL0078.tmp"
Wed 13 Sep 2006 66,048 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1280.tmp"
Tue 12 Sep 2006 56,832 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1393.tmp"
Wed 13 Sep 2006 76,800 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1727.tmp"
Wed 13 Sep 2006 70,144 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1888.tmp"
Wed 13 Sep 2006 68,096 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL1927.tmp"
Wed 13 Sep 2006 61,440 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL2559.tmp"
Wed 13 Sep 2006 72,704 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL2962.tmp"
Wed 13 Sep 2006 65,024 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL2964.tmp"
Wed 13 Sep 2006 72,192 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL3082.tmp"
Wed 13 Sep 2006 76,800 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL3163.tmp"
Wed 13 Sep 2006 77,824 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\60-administratif-juridique\~WRL3173.tmp"
Mon 20 Oct 2003 73,688 ..SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe"
Sat 24 Jan 2004 5,120 A.SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Thu 27 Oct 2005 39,424 A..H. --- "C:\gs 2008\10-commercial\1-Clients\Dagher\~WRL0001.tmp"
Sat 27 Aug 2005 32,256 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\70-to do\to do\~WRL0070.tmp"
Sat 27 Aug 2005 32,768 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\70-to do\to do\~WRL2481.tmp"
Thu 16 Aug 2007 45,568 A..H. --- "C:\gs 2008\gs shared folder\gs2007\lemondrop\~WRL3667.tmp"
Tue 24 Jul 2007 37,376 A..H. --- "C:\gs 2008\gs shared folder\gs2007\to input\~WRL1926.tmp"
Tue 24 Jul 2007 19,968 A..H. --- "C:\gs 2008\gs shared folder\gs2007\to input\~WRL3103.tmp"
Sat 3 Jan 2004 24,576 A..H. --- "C:\gs 2008\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0001.tmp"
Sun 9 May 2004 26,624 A..H. --- "C:\gs 2008\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0003.tmp"
Sun 9 May 2004 25,600 A..H. --- "C:\gs 2008\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0005.tmp"
Thu 27 Oct 2005 39,424 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\10-commercial\1-Clients\Dagher\~WRL0001.tmp"
Sat 3 Jan 2004 24,576 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0001.tmp"
Sun 9 May 2004 26,624 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0003.tmp"
Sun 9 May 2004 25,600 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\2-Marketing\8-business plan\~WRL0005.tmp"
Mon 28 Nov 2005 8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch1\lock.tmp"
Mon 28 Nov 2005 8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch2\lock.tmp"
Mon 28 Nov 2005 8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch3\lock.tmp"
Sat 10 Jan 2004 19,456 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\~WRL0499.tmp"
Sat 10 Jan 2004 19,456 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\~WRL0499.tmp"
Sat 14 Feb 2004 118,272 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL0282.tmp"
Sat 14 Feb 2004 119,808 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL0995.tmp"
Sat 14 Feb 2004 118,784 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL1259.tmp"
Fri 13 Feb 2004 114,176 A..H. --- "C:\gs 2008\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL3788.tmp"
Sat 14 Feb 2004 118,272 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL0282.tmp"
Sat 14 Feb 2004 119,808 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL0995.tmp"
Sat 14 Feb 2004 118,784 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL1259.tmp"
Fri 13 Feb 2004 114,176 A..H. --- "C:\gs 2008\GOLDEN SUNSET 2007\80-records\Golden Sunset\1-action commerciale\2-Agents\2-Eci\ECI-monaco\8A-ACTION COMMERCIALE\agents\felipe\marjan\dolce vita\~WRL3788.tmp"

[b]Finished![/b]


rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:24:52 PM, on 5/20/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SmartClock\SmartClock.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Documents and Settings\user\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/en-us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://news.google.com/topstories?hl=fr&gl=FR&ceid=FR:fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/en-us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.latam.msn.com/8SEESXL020100/FRWCompleteAddIns
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SmartClock] C:\Program Files\SmartClock\SmartClock.exe /boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB6A1F2B-9C7D-41C7-A1DA-454E86428C5C}: NameServer = 200.88.127.22,196.3.81.132
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 14 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
20 mai 2008 à 23:47
Re,

toujours le rootkit mebroot.

Il faut absolument faire passer le fix.

Supprime tout ce que tu as téléchargé et créé de mbr (mbr.exe, mbr.log, ...)

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe

et enregistre le fichier sur le Bureau. (très important)

Merci à Malekal pour le tutoriel

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

Réactive tes protections.


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

0
Réponse 15 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
21 mai 2008 à 02:01
merci de ta perseverance



le probleme que j avais pour suivre tes instructions est que windows n acceptait pas la commande "%userprofile%\Bureau\mbr" -f

en fait, mon ordi est en anglais....alors j ai change le mot bureau, par desktop
a present windows accepte la commande
mais windows safeguard me demande si je veux accepter de lancer l application. Je reponds oui. mbr se lance une demi seconde et disparait. Sans laisser de log.



je bloque maintenant sur ce probleme pour pour pouvoir continuer
0
Réponse 16 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
21 mai 2008 à 02:31
bonsoir,

peut etre une bonne nouvelle.....

j`ai passe antivir en mode safe, sans echec
il m`a detecte 7 virus qui ont ete detruits ou mis en quarantaine

toujours en mode safe, j`ai lance directement depuis le desktop, l`application mbr. Qui m`a envoye le log suivant:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK



Antivir a egalement trouve 2 fichiers infectes dans Sdfix:
C\Sdfix\backups_old\backupss.zip
et
C\Sdfix\backups_old\catchme.zip

j`ai envoye le fichier backups_old a la poubelle.
0
Réponse 17 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
21 mai 2008 à 07:38
Bonjour,

je crois que ce sont de très bonnes nouvelles.

Bureau-desktop, le pire est que j'avais regardé, mis le bon mot au post 10 et oublié au post 14 ! :(

Pour être sûr de sûr, relance SDFix en mode sans échec. On verra bien si le message existe encore (à mon avis non) et si il signale toujours les 2 fichiers.

Pour les 2 autres fichiers que tu cites, ils étaient inactifs dans la quarantaine de SDFix et seraient partis au nettoyage des outils. En plus, catchme n'est pas infecté. Il contient un "outil à risque".
0
Réponse 18 / 19
hcgaia Messages postés 39 Date d'inscription vendredi 6 mai 2005 Statut Membre Dernière intervention 5 novembre 2011
23 mai 2008 à 04:30
tout semble etre revenu a la normale
Sdfix ne detecte rien, ni mbr
par contre, antivir qui ne detecte rien a repere 13 worms et trojans dans le dossier "system volume information"
11 ont ete mis en quarantaine et 2 n`ont pu etre traites par antivir
un nouveau scan n`a permit de rien detecter
qui plus est, ce dossier qui est dans C/...a les proprietes suivantes
0 kb
0 file
created 2004 , alors que j`ai achete cet ordi en 2007...
et impossible de supprimer ce dossier
bizarre.......

je vais mettre "probleme resolu" pour la mise a jour du topic
et mille fois merci pour ton aide
0
Réponse 19 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 mai 2008 à 08:25
Bonjour,

parfait. un peu de nettoyage :

- la restauration système ("system volume information" )

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.


- les outils de désinfection :

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses