Generic.Sdbot.9538C0F6 et Trojan.Proxy.Slaper.N et ???

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Generic.Sdbot.9538C0F6 et Trojan.Proxy.Slaper.N et ???

Messagede Kwadonc » 08 Jan 2007, 23:54

Bonjour et bonne année !

Pour la Saint-Sylvestre, mon PC a un peu bringué en mode administrateur, et sûrement pas assez protégé. Résultat : au moins deux chtouilles, apparemment mises en quarantaine :
- icrss.exe reconnu comme (comportant ?) Generic.Sdbot.9538C0F6
- rpmpdlsv.exe qui est (ou recèle) Trojan.Proxy.Slaper.N ...

Le résultat : lorsque je suis physiquement déconnecté d'Internet, il arrive que la machine gèle complètement, mais après un bon bout de temps - à moins que ce ne soit lorsque je lance une appli spécifique ?
Une fois le câble branché à froid, je lance la machine en mode utilisateur, et lorsque toutes les applications chargées au démarrages semblent ok, l'ordinateur redémarre de lui-même.

Que faire ? J'aimerais avoir votre aide. Voici donc le dernier log HijachThis effectué après La Manip.

D'avance merci

Kwadonc


Logfile of HijackThis v1.99.1
Scan saved at 20:27:18, on 08/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\SpywareGuard\sgbhp.exe
E:\BAC_SECURITE\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [mlibsysmc] dmcsk09O.exe
O4 - HKLM\..\RunServices: [mlibsysmc] dmcsk09O.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINNT\system\icrss.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Avatar de l’utilisateur
Kwadonc
 
Messages: 23
Inscription: 28 Aoû 2006, 14:01
Localisation: IDF / Seine

Messagede nickW » 09 Jan 2007, 11:29

Bonjour,

Infection par un ver de la (grande :wink:) famille Sdbot


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 6).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/co ... ximum.html


Étape 3: Pas de processus de contrôle d'intégrité
Désactiver TeaTimer de Spybot-S&D.
Lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer. Fermer Spybot-S&D.


Étape 4: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 5: AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/
L'installer.
Lancer AVG Anti-Spyware.
Cliquer sur le menu Mise à jour/Update.
Si nécessaire, dans la colonne Paramètres/Settings (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle/Manual Update, cliquer sur le bouton Commencer la mise à jour/Start update.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 6: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O4 - HKLM\..\Run: [mlibsysmc] dmcsk09O.exe
O4 - HKLM\..\RunServices: [mlibsysmc] dmcsk09O.exe


Étape 8: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse/Scanner.
Cliquer sur l'onglet Paramètres/Settings.
Dans Comment réagir/How to act?, cliquer sur Actions recommandées/Recommended actions et choisir Quarantaine/Quarantine.
Dans Comment faire l'analyse/How to scan?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux/Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse/Automatically generate report after scan est coché.
Dans l'onglet Analyse/Scan, cliquer sur Analyse complète du système/Complete System Scan.
A la fin de l'analyse, cliquer sur Appliquer toutes les actions/Apply all actions
Ensuite Sauver le rapport: Enregistrer le rapport d'analyse/Save Scan Report puis Enregistrer le rapport sous/Save Scan Report As.
Fermer AVG Anti-Spyware.


Étape 9: Renommage
Note 1: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Note 2: une dizaine de jours après la désinfection, après avoir vérifié que tous tes programmes fonctionnent correctement, ces dossiers/fichiers ainsi renommés pourront être définitivement supprimés.
Renommer (clic droit sur le nom du fichier) le fichier ci-dessous en ajoutant .non derrière son extension:

C:\WINNT\system32\dmcsk09O.exe (à renommer en dmcsk09O.exe.non)


Étape 10: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.
Exécuter l'antivirus, réglé au maximum (si l'antivirus ne démarre pas en mode sans échec, le signaler en réponse, après la fin de l'ensemble des étapes).
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.


Étape 11: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware (dans le dossier Reports, lui-même sous-dossier du dossier d'installation de AVG Anti-Spyware)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kwadonc » 13 Jan 2007, 19:46

Bonjour,

Voici les résultats de la procédure de désinfection :)

Etape 5 : Diffultés pour la mise à jour d'AVGAS, j'ai du relancer la machine pour qu'elle puisse être faite.

Etape 9 : la ligne indiqué dans la procédure est absente

Etape 10 : L'antivirus refuse de démarer en mode sans échec.

Etape 11 : l'antivirus accepte de démarrer et ne détecte rien.

A la fin de la dernière étape, pas de problème (tjrs en mode administrateur). Puis au premier redémarrage (en mode utilisateur sans droits), l'histoire se répète : la machine se lance entièrement puis se redémarre spontanément, alors que je suis en train de chercher un fichier sur le disque et que le lancement est à peine fini. Y'a quelque chose qui cloche en core là-dedans ...

Et voici les logs correspondants :


Logfile of HijackThis v1.99.1
Scan saved at 19:12:07, on 13/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\WINNT\system32\internat.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
E:\BAC_SECURITE\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINNT\system\icrss.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:04:36 13/01/2007
+ Résultat de l'analyse:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\8RATUVEX\octoberfest[1].jpg -> Backdoor.Sdbot : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\dllqfqwy.exe -> Backdoor.Sdbot : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINNT\system32\drvmxguc.exe -> Backdoor.Sdbot : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Softwin\BitDefender9\Quarantine\icrss.exe -> Backdoor.SdBot.xd : Nettoyé et sauvegardé (mise en quarantaine).
C:\Programmes_reserve\Utilitaires\Norton Ghost 2003\2003_appz_ghost_.exe -> Dialer.Generic : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.269:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.270:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.271:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.320:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.259:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.260:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.303:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.304:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.305:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.258:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.255:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.211:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyé.
:mozilla.179:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Com : Nettoyé.
:mozilla.298:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.299:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.300:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.253:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.59:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.100:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.
:mozilla.101:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.
:mozilla.98:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.
:mozilla.99:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.
:mozilla.302:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.212:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Information : Nettoyé.
:mozilla.117:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Ivwbox : Nettoyé.
:mozilla.213:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Liveperson : Nettoyé.
:mozilla.214:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Liveperson : Nettoyé.
:mozilla.215:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Liveperson : Nettoyé.
:mozilla.240:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Liveperson : Nettoyé.
:mozilla.241:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Liveperson : Nettoyé.
:mozilla.261:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.210:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Revenue : Nettoyé.
:mozilla.106:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.107:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.108:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.109:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.110:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.111:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.254:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.256:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.257:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.188:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.262:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.83:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.84:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.85:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.127:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.128:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.90:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Zedo : Nettoyé.
:mozilla.91:C:\Documents and Settings\Ben7\Application Data\Mozilla\Firefox\Profiles\1p70l7ck.default\cookies.txt -> TrackingCookie.Zedo : Nettoyé.


D'avance merci pour la suite !

Kwadonc
Avatar de l’utilisateur
Kwadonc
 
Messages: 23
Inscription: 28 Aoû 2006, 14:01
Localisation: IDF / Seine

Messagede nickW » 14 Jan 2007, 01:31

Bonsoir,

Recherche dans le Registre:

RegSearch (de Bobbi Flekman)
Télécharger RegSearch (clic droit sur le lien ci-dessous, enregistrer le fichier sur le Bureau):
http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\RegSearch).

Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir icrss sur la 1ère ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 5 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes.
Vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom search070113.txt).
Copier le contenu en réponse.

Fermer RegSearch en cliquant sur le bouton "Cancel"

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kwadonc » 16 Jan 2007, 23:19

Bonsoir nickW,

voici le log correspondant :

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 16/01/2007 22:06:31 for strings:
; 'icrss'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ICRSS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ICRSS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ICRSS\0000]
"Service"="icrss"
"DeviceDesc"="icrss manager 32bit"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\icrss]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\icrss]
"DisplayName"="icrss manager 32bit"
"Description"="icrss manager 32bit"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\icrss\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\icrss\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\icrss\Enum]
"0"="Root\\LEGACY_ICRSS\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ICRSS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ICRSS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ICRSS\0000]
"Service"="icrss"
"DeviceDesc"="icrss manager 32bit"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\icrss]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\icrss]
"DisplayName"="icrss manager 32bit"
"Description"="icrss manager 32bit"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\icrss\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ICRSS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ICRSS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ICRSS\0000]
"Service"="icrss"
"DeviceDesc"="icrss manager 32bit"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icrss]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icrss]
"DisplayName"="icrss manager 32bit"
"Description"="icrss manager 32bit"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icrss\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icrss\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icrss\Enum]
"0"="Root\\LEGACY_ICRSS\\0000"

; End Of The Log...

Heuuu ??? ....

Merci de tes lumières et remèdes ; à bientôt !

Kwadonk
Avatar de l’utilisateur
Kwadonc
 
Messages: 23
Inscription: 28 Aoû 2006, 14:01
Localisation: IDF / Seine

Messagede nickW » 17 Jan 2007, 19:14

Bonsoir,

On continue ....

On continue ....

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 2).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: SDFix (de Andy Manchesta)
Télécharger SDFix.exe depuis http://downloads.andymanchesta.com/Remo ... /SDFix.exe
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur SDFix.exe pour lancer l'extraction de l'outil dans un dossier SDFix placé à la racine de la partition système (en général "C:\SDFix").
Fermer la fenêtre du Bloc-notes qui s'est ouverte.


Étape 2: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.


Étape 3: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système (en général C:\ ), et faire un double clic sur RunThis.bat pour lancer l'outil.
Appuyer sur la touche Y pour lancer l'exécution.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour redémarrer.
Appuyer sur n'importe quelle touche pour redémarrer le PC.
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.
Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.


Étape 4: RegSearch (de Bobbi Flekman)
Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir icrss sur la 1ère ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 5 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes.
Vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom search070117.txt).
Copier le contenu en réponse.

Fermer RegSearch en cliquant sur le bouton "Cancel"


Étape 5: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de RegSearch (contenu du fichier search070117.txt)
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kwadonc » 18 Jan 2007, 22:20

Bonsoir nickW,

voilà le log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 21:34:12, on 18/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\WINNT\system32\internat.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\SpywareGuard\sgbhp.exe
E:\BAC_SECURITE\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

---------------

Puis le rapport de RegSearch :


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 18/01/2007 21:30:35 for strings:
; 'icrss'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ICRSS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ICRSS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ICRSS\0000]
"Service"="icrss"
"DeviceDesc"="icrss manager 32bit"

; End Of The Log...


---------------------------

Et enfin le rapport de SDFix :


SDFix: Version 1.59
jeu. 18/01/2007 - 21:14:30,96
Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\SDFix

Safe Mode:
Checking Services:
Name:
icrss

Path:
"C:\WINNT\system\icrss.exe"

icrss Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File

Rebooting

Normal Mode:
Checking Files:

No Files Found..

Alternate Stream Check:

C:\WINNT\system32
No streams found.
Final Check:

Remaining Services:
------------------

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\arcldr.exe
C:\arcsetup.exe
C:\Program Files\Fichiers communs\Adobe\ESD\AdobeDownloadManager.exe
C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe
C:\WINNT\system32\mmopcvm.exe
C:\CONFIG.SYS
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
Finished


"Bon, ben kess'ça veut dire ? Elle tousse encore la machine ?"
Au premier redémarrage en mode utilisateur sans droits, le problème ne se manifeste pas ... Wait & see !

Car tout n'est pas rose : alors que le lancement n'était pas terminé, BitDefender (9 Professional plus) m'annonçait déjà : c:\winnt\system32\o est infecté par Generic.Botget.07012C91 et BitDef a bloqué ce virus. Je ne sais qu'en penser ...

Mais je suis paré pour la suite des actions, à l'écoute des bons conseils de sécurité et même disposé à faire du ménage, tiens !

A bientôt, et encore merci de ton engagement !

Kwadonc
Avatar de l’utilisateur
Kwadonc
 
Messages: 23
Inscription: 28 Aoû 2006, 14:01
Localisation: IDF / Seine

Messagede nickW » 19 Jan 2007, 17:36

Bonjour,

Quel est le message exact de BitDefender?
(La référence "Generic.Botget.07012C91" est introuvable).


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 3).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: DiagHelp (de malekal)
Télécharger DiagHelp.zip depuis http://www.malekal.com/download/DiagHelp.zip
Enregistrer le fichier sur le Bureau.
Décompresser la totalité de l'archive (clic droit sur le fichier DiagHelp.zip, puis choisir Extraire tout/ici).


Étape 2: Création du fichier tuer-icrss.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de tuer-icrss.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ICRSS]





Étape 3: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 4: Utilisation du fichier tuer-icrss.reg
Faire un clic droit sur tuer-icrss.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 5: Redémarrage
Redémarrer en mode normal.
Ne pas lancer d'applications avant d'avoir terminé l'étape 8.


Étape 6: RegSearch (de Bobbi Flekman)
Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir icrss sur la 1ère ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 5 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes.
Vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom search070119.txt).

Fermer RegSearch en cliquant sur le bouton "Cancel"


Étape 7: DiagHelp (de malekal)
Ouvrir le nouveau dossier DiagHelp créé sur le Bureau.
Faire un double clic sur go.cmd
Dans la fenêtre qui s'est ouverte, taper 1 et faire Entrée.
Attendre patiemment la fin de l'analyse (jusqu'à 5 minutes), sans rien faire d'autre.
En fin d'exécution (message Opération terminée), sur l'affichage du message "Appuyer sur une touche pour continuer...", faire Entrée.
L'ordinateur va redémarrer.
Une fenêtre du Bloc-notes s'ouvre, contenant le rapport.
Enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom diag070119.txt).



Étape 8: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de RegSearch (contenu du fichier search070119.txt)
*- le rapport de DiagHelp (contenu du fichier diag070119.txt)
Note importante: le rapport de DiagHelp est en général très long. Il faudra peut-être l'envoyer en deux messages.


en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kwadonc » 21 Jan 2007, 12:07

Bonjour,

Voici d'abord le message exact donné par BitDefender le 18/01 :

Fichier: c:\winnt\system32\o
Infecté par: Generic.Botget.07012C91
Action BitDefender : BitDefender a bloqué ce virus - votre ordinateur n'a pas été infecté.


Et maintenant les logs, on commence par HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 22:22:49, on 20/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\WINNT\system32\internat.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\SpywareGuard\sgbhp.exe
E:\BAC_SECURITE\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

---------------------------


Maintenant RegSearch :


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 20/01/2007 20:53:35 for strings:
; 'icrss'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS



; End Of The Log...

----------------------


Et enfin DiagHelp :


C:\WINNT\System32\bdod.bin -->20/01/2007 21:22:24
C:\WINNT\System32\getfile.dat -->20/01/2007 19:57:23
C:\WINNT\System32\i -->20/01/2007 19:56:33
C:\WINNT\System32\mmopcvm.exe -->14/12/2006 11:31:34
C:\WINNT\System32\sockspy.dll -->20/11/2006 09:55:51
C:\WINNT\System32\xcomm.dll -->20/11/2006 09:55:12
C:\WINNT\System32\bitcomet.exe -->13/11/2006 21:54:41
C:\WINNT\System32\FNTCACHE.DAT -->18/10/2006 23:51:53
C:\WINNT\System32\jupdate-1.5.0_06-b05.log -->16/10/2006 17:34:00
C:\WINNT\System32\spupdw2k.log -->09/10/2006 00:54:30
C:\WINNT\System32\spupdsvc.log -->09/10/2006 00:54:30
C:\WINNT\System32\PerfStringBackup_001.INI -->08/10/2006 14:30:24
C:\WINNT\System32\PerfStringBackup.INI -->08/10/2006 14:30:23
C:\WINNT\System32\$winnt$.inf -->08/10/2006 14:29:36
C:\WINNT\System32\CONFIG.NT -->08/10/2006 13:43:01
C:\WINNT\System32\nscompat.tlb -->08/10/2006 13:42:56
C:\WINNT\System32\amcompat.tlb -->08/10/2006 13:42:56
C:\WINNT\System32\perfh00C.dat -->08/10/2006 13:41:59
C:\WINNT\System32\perfh009.dat -->08/10/2006 13:41:59
C:\WINNT\System32\perfc00C.dat -->08/10/2006 13:41:59
C:\WINNT\System32\perfc009.dat -->08/10/2006 13:41:59
C:\WINNT\System32\folder.htt -->08/10/2006 13:41:34
C:\WINNT\System32\desktop.ini -->08/10/2006 13:41:34
C:\WINNT\System32\mapisvc.inf -->08/10/2006 13:40:31
C:\WINNT\System32\emptyregdb.dat -->08/10/2006 13:40:24

C:\WINNT\ntbtlog.txt -->20/01/2007 20:40:26
C:\WINNT\Sti_Trace.log -->13/01/2007 17:41:40
C:\WINNT\ODBC.INI -->04/12/2006 20:44:10
C:\WINNT\REGLOCS.OLD -->30/11/2006 00:09:48
C:\WINNT\win.ini -->20/11/2006 09:51:48
C:\WINNT\mozver.dat -->04/11/2006 19:58:38
C:\WINNT\pestpatrol5.INI -->22/10/2006 22:36:55
C:\WINNT\WMSysPrx.prx -->21/10/2006 19:44:50
C:\WINNT\setup.rpt -->09/10/2006 08:40:40
C:\WINNT\setup.inf -->09/10/2006 08:40:40
C:\WINNT\nsreg.dat -->08/10/2006 17:05:30
C:\WINNT\UninstallFirefox.exe -->08/10/2006 17:01:22
C:\WINNT\ModemDet.txt -->08/10/2006 14:33:52
C:\WINNT\system.ini -->08/10/2006 14:30:11
C:\WINNT\control.ini -->08/10/2006 13:43:01

C:\WINNT\IsUn040c.exe |08/10/2006 13:54:40
C:\WINNT\twunk_16.exe |16/12/1999 01:00:00
C:\WINNT\twunk_32.exe |16/12/1999 01:00:00
C:\WINNT\UninstallFirefox.exe |08/10/2006 17:01:22
C:\WINNT\twain.dll |16/12/1999 01:00:00
C:\WINNT\twain_32.dll |16/12/1999 01:00:00
C:\WINNT\system32\append.exe |16/12/1999 01:00:00
C:\WINNT\system32\bitcomet.exe |13/11/2006 21:54:41
C:\WINNT\system32\debug.exe |16/12/1999 01:00:00
C:\WINNT\system32\dfrgfat.exe |09/10/2006 00:45:12
C:\WINNT\system32\dfrgntfs.exe |09/10/2006 00:45:12
C:\WINNT\system32\dmadmin.exe |09/10/2006 00:45:14
C:\WINNT\system32\dmremote.exe |09/10/2006 00:45:15
C:\WINNT\system32\dosx.exe |16/12/1999 01:00:00
C:\WINNT\system32\dvdplay.exe |15/12/1999 00:30:38
C:\WINNT\system32\edlin.exe |16/12/1999 01:00:00
C:\WINNT\system32\exe2bin.exe |16/12/1999 01:00:00
C:\WINNT\system32\fastopen.exe |16/12/1999 01:00:00
C:\WINNT\system32\java.exe |16/10/2006 17:34:02
C:\WINNT\system32\javaw.exe |16/10/2006 17:34:02
C:\WINNT\system32\javaws.exe |16/10/2006 17:34:02
C:\WINNT\system32\mem.exe |16/12/1999 01:00:00
C:\WINNT\system32\mmopcvm.exe |14/12/2006 11:31:33
C:\WINNT\system32\mscdexnt.exe |16/12/1999 01:00:00
C:\WINNT\system32\msswchx.exe |09/10/2006 00:46:09
C:\WINNT\system32\NeroCheck.exe |09/07/2001 11:50:42
C:\WINNT\system32\nlsfunc.exe |16/12/1999 01:00:00
C:\WINNT\system32\nw16.exe |16/12/1999 01:00:00
C:\WINNT\system32\redir.exe |16/12/1999 01:00:00
C:\WINNT\system32\setver.exe |16/12/1999 01:00:00
C:\WINNT\system32\share.exe |16/12/1999 01:00:00
C:\WINNT\system32\vwipxspx.exe |16/12/1999 01:00:00
C:\WINNT\system32\adomps.dll |04/12/2006 23:03:10
C:\WINNT\system32\agusbsti.dll |04/12/2006 23:03:36
C:\WINNT\system32\amstream.dll |16/12/1999 01:00:00
C:\WINNT\system32\atmfd.dll |09/10/2006 00:44:53
C:\WINNT\system32\atmlib.dll |09/10/2006 00:44:54
C:\WINNT\system32\CDDBControl.dll |23/05/2006 23:52:24
C:\WINNT\system32\CDDBUI.dll |23/05/2006 23:57:54
C:\WINNT\system32\devenum.dll |16/12/1999 01:00:00
C:\WINNT\system32\dfrgres.dll |16/12/1999 01:00:00
C:\WINNT\system32\dfrgsnap.dll |09/10/2006 00:45:13
C:\WINNT\system32\dfrgui.dll |16/12/1999 01:00:00
C:\WINNT\system32\dgrpsetu.dll |08/10/2006 14:30:07
C:\WINNT\system32\dgsetup.dll |08/10/2006 14:30:07
C:\WINNT\system32\dmconfig.dll |09/10/2006 00:45:14
C:\WINNT\system32\dmintf.dll |09/10/2006 00:45:15
C:\WINNT\system32\dmserver.dll |09/10/2006 00:45:15
C:\WINNT\system32\dmutil.dll |09/10/2006 00:45:15
C:\WINNT\system32\efsadu.dll |16/12/1999 01:00:00
C:\WINNT\system32\EqnClass.Dll |08/10/2006 14:30:07
C:\WINNT\system32\HTICONS.DLL |09/10/2006 00:45:31
C:\WINNT\system32\hypertrm.dll |08/10/2006 14:39:10
C:\WINNT\system32\iccvid.dll |16/12/1999 01:00:00
C:\WINNT\system32\imagr5.dll |21/09/2000 17:02:28
C:\WINNT\system32\imagx5.dll |27/09/2000 16:15:06
C:\WINNT\system32\ImagXpr5.dll |21/09/2000 12:53:00
C:\WINNT\system32\imgcmn.dll |08/10/2006 14:38:58
C:\WINNT\system32\imgshl.dll |08/10/2006 14:38:58
C:\WINNT\system32\ir32_32.dll |16/12/1999 01:00:00
C:\WINNT\system32\ir41_qc.dll |16/12/1999 01:00:00
C:\WINNT\system32\ir41_qcx.dll |16/12/1999 01:00:00
C:\WINNT\system32\ir50_32.dll |16/12/1999 01:00:00
C:\WINNT\system32\ir50_qc.dll |16/12/1999 01:00:00
C:\WINNT\system32\ir50_qcx.dll |16/12/1999 01:00:00
C:\WINNT\system32\jpeg1x32.dll |08/10/2006 14:38:58
C:\WINNT\system32\jpeg2x32.dll |08/10/2006 14:38:58
C:\WINNT\system32\msencode.dll |16/12/1999 01:00:00
C:\WINNT\system32\msswch.dll |09/10/2006 00:46:09
C:\WINNT\system32\oieng400.dll |09/10/2006 00:46:29
C:\WINNT\system32\oiprt400.dll |08/10/2006 14:38:59
C:\WINNT\system32\oislb400.dll |08/10/2006 14:38:59
C:\WINNT\system32\oissq400.dll |08/10/2006 14:38:59
C:\WINNT\system32\oitwa400.dll |08/10/2006 14:38:59
C:\WINNT\system32\oiui400.dll |08/10/2006 14:38:59
C:\WINNT\system32\picn20.dll |21/09/2000 07:47:10
C:\WINNT\system32\qcut.dll |16/12/1999 01:00:00
C:\WINNT\system32\qdvd.dll |16/12/1999 01:00:00
C:\WINNT\system32\sockspy.dll |20/11/2006 09:55:51
C:\WINNT\system32\spxcoins.dll |08/10/2006 14:30:07
C:\WINNT\system32\tifflt.dll |08/10/2006 14:38:59
C:\WINNT\system32\tsbyuv.dll |15/12/1999 00:30:06
C:\WINNT\system32\tsd32.dll |16/12/1999 01:00:00
C:\WINNT\system32\TwnLib20.dll |26/06/2000 10:45:30
C:\WINNT\system32\win87em.dll |16/12/1999 01:00:00
C:\WINNT\system32\xcomm.dll |20/11/2006 09:55:12
C:\WINNT\system32\xiffr3_0.dll |08/10/2006 14:38:59
C:\WINNT\system32\xreglib.dll |06/12/2002 16:37:06

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F443-3DFF

Répertoire de C:\WINNT\system32

19/06/2003 11:05 5 392 CSRSS.EXE
1 fichier(s) 5 392 octets
0 Rép(s) 12 548 431 872 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F443-3DFF

Répertoire de C:\WINNT\Downloaded Program Files

08/10/2006 13:42 <DIR> .
08/10/2006 13:42 <DIR> ..
08/10/2006 13:41 65 desktop.ini
14/10/1997 17:52 697 DirectAnimation Java Classes.osd
05/11/1998 15:11 1 162 Microsoft XML Parser for Java.osd
3 fichier(s) 1 924 octets

Total des fichiers listés :
3 fichier(s) 1 924 octets
2 Rép(s) 12 548 431 872 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues




Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F443-3DFF

Répertoire de C:\Program Files

13/01/2007 15:52 <DIR> .
13/01/2007 15:52 <DIR> ..
08/10/2006 22:32 <DIR> 7-Zip
08/10/2006 14:39 <DIR> Accessoires
07/11/2006 11:59 <DIR> Adobe
04/12/2006 23:03 <DIR> Agfa
09/10/2006 21:29 <DIR> Agnitum
21/10/2006 19:45 <DIR> Ahead
07/12/2006 11:55 <DIR> Audacity
22/10/2006 22:34 <DIR> CA
19/10/2006 00:26 <DIR> CCleaner
04/12/2006 20:54 <DIR> CDex_170b2
08/10/2006 13:40 <DIR> ComPlus Applications
18/10/2006 23:50 <DIR> Executive Software
04/12/2006 23:03 <DIR> Fichiers communs
23/10/2006 02:57 <DIR> Free.fr
13/01/2007 15:52 <DIR> Grisoft
20/11/2006 09:56 455 INSTALL.LOG
08/10/2006 13:41 <DIR> Internet Explorer
16/10/2006 17:34 <DIR> Java
30/10/2006 10:37 38 Lic-en-ce_anti_espions.txt
08/10/2006 13:43 <DIR> microsoft frontpage
20/01/2007 19:50 <DIR> Mozilla Firefox
04/11/2006 19:58 <DIR> Mozilla Thunderbird
15/11/2006 22:28 <DIR> MRU-Blaster
09/10/2006 00:47 <DIR> NetMeeting
21/10/2006 19:26 <DIR> Nouveau dossier
18/10/2006 23:37 <DIR> OOo
21/12/2006 12:06 <DIR> OpenOffice.org 2.0
29/11/2006 11:06 <DIR> Opera
09/10/2006 00:47 <DIR> Outlook Express
05/12/2006 01:13 <DIR> PhotoFiltre
26/10/2006 22:07 <DIR> Pmail
04/12/2006 22:43 <DIR> Quintessential Player
21/10/2006 19:28 <DIR> RegSeeker
22/10/2006 22:46 <DIR> SafeXP
15/11/2006 23:23 <DIR> Softwin
04/01/2007 20:29 <DIR> Spybot - Search & Destroy
05/01/2007 12:12 <DIR> SpywareBlaster
05/01/2007 12:23 <DIR> SpywareGuard
13/01/2007 15:52 <DIR> Total Uninstall
21/10/2006 19:35 <DIR> Vilma
15/11/2006 22:40 <DIR> Windows Installer Clean Up
09/10/2006 00:47 <DIR> Windows Media Player
09/10/2006 00:51 <DIR> Windows NT
06/11/2006 20:54 <DIR> XnView
03/07/2006 09:14 348 160 ZebProtect.exe
3 fichier(s) 348 653 octets
44 Rép(s) 12 548 206 592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F443-3DFF

Répertoire de C:\Program Files\fichiers communs

04/12/2006 23:03 <DIR> .
04/12/2006 23:03 <DIR> ..
07/11/2006 11:59 <DIR> Adobe
04/12/2006 23:03 <DIR> Agfa
09/10/2006 21:29 <DIR> Agnitum Shared
21/10/2006 19:43 <DIR> InstallShield
16/10/2006 17:32 <DIR> Java
08/10/2006 13:51 <DIR> Microsoft Shared
08/10/2006 14:30 <DIR> ODBC
22/10/2006 22:34 <DIR> Scanner
08/10/2006 13:41 <DIR> Services
15/11/2006 23:24 <DIR> Softwin
09/10/2006 00:47 <DIR> System
0 fichier(s) 0 octets
13 Rép(s) 12 548 268 032 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F443-3DFF

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

09/10/2006 00:47 <DIR> .
09/10/2006 00:47 <DIR> ..
03/11/1999 23:38 561 210 MSONSEXT.DLL
03/06/1999 18:09 122 937 MSOWS409.DLL
13/08/1999 09:09 127 032 MSOWS40c.DLL
3 fichier(s) 811 179 octets
2 Rép(s) 12 548 268 032 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F443-3DFF

Répertoire de C:\

11/11/2001 00:00 68 096 diff.exe
27/08/2006 14:10 103 424 grep.exe
2 fichier(s) 171 520 octets
0 Rép(s) 12 548 268 032 octets libres
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{121634B0-2F4A-11D3-ADA3-00C04F52DD53}\Icon386ED4E3.exe
c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{738179D8-3D76-4AFF-A7BE-AEF3B4370CB4}\ARPPRODUCTICON.exe
c:\Documents and Settings\Administrateur\Bureau\SDFix.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\instmsia.exe
c:\Documents and Settings\Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\instmsiw.exe
c:\Documents and Settings\Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\setup.exe
c:\Documents and Settings\Ben7\Local Settings\Temp\62smdkry.exe

----------------------------------


Lors de la phase 7 (DiagHelp), il n'y a pas eu de message de fin d'exécution, pas non plus de message "Appuyer sur une touche pour continuer..." , et donc pas de redémarrage automatique. Mais le bloc-note s'est ouvert avec le rapport, que j'ai donc enregistré. S'agit-il d'une anomalie, ou bien le fonctionnement de l'outil aurait-il changé ?

Là au lieu de faire un HijackThis, j'ai redémarré la machine - comme elle aurait dû faire.

Après redémarrage, log en utilisateur avec droits restreints, un pop-up avec l'icone rouge d'arrêt apparaît avec le message suivant :
'Arrêt du système. Veuillez enregistrer tous les travaux en cours et quitter votre sesion etc. ... Cet arrêt a été initié par AUTORITE NT\SYSTEM. Temps restant (décompte de 1 minute)'.
Voici le message de l'encart qui suit :
'Le processus système 'C:\WINNT\system32\lsass.exe s'est terminé de manière inattendue avec le code d'état 128. Le système va maintenant s'éteindre et redémarrer.'

C'est après ça que j'ai fait le HijackThis, logué en administrateur.

Et voilà, le problème initial est toujours là ! Misère ...


Kwadonc
Avatar de l’utilisateur
Kwadonc
 
Messages: 23
Inscription: 28 Aoû 2006, 14:01
Localisation: IDF / Seine

Messagede nickW » 21 Jan 2007, 18:47

Bonsoir,

Cela ressemble à une infection par le ver Sasser... mais j'en doute car non visible dans les logs.

Télécharger l'outil de nettoyage de F-Secure:
(clic droit sur le lien ci-dessous, enregistrer le fichier sur le Bureau)
http://www.f-secure.com/tools/f-sasser.exe

Fermer toutes les applications ouvertes.
Lancer l'outil par un double clic sur f-sasser.exe
Noter le résultat.
Redémarrer le PC.



Je te conseille d'imprimer la procédure, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

Étape 1: Autoruns (de Sysinternals/Microsoft)
Télécharger Autoruns depuis:
http://www.microsoft.com/technet/sysint ... oruns.mspx (en bas de la page)
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\Autoruns).


Étape 2: Combofix (de sUBs)
Télécharger combofix.exe depuis http://download.bleepingcomputer.com/sUBs/combofix.exe (clic droit sur le lien puis Enregistrer sous...).
Enregistrer ce fichier sur le Bureau (ne pas le placer ailleurs que sur le Bureau!).
Fermer toutes les applications, toutes les fenêtres de navigateur (pas d'Internet Explorer, pas de Firefox, pas d'Opera, etc, actif).
Faire un double clic sur combofix.exe pour lancer le programme.
Cliquer sur Y pour lancer l'exécution de l'outil.
Ne rien faire, ne pas cliquer dans la fenêtre de combofix avant la fin du travail de combofix!


Étape 3: Blacklight (de F-Secure)
Télécharger Blacklight depuis la page:
https://europe.f-secure.com/blacklight/try.shtml
(clic sur le bouton bleu "I accept", puis sur "Download Blacklight Beta graphical user interface version")
Enregistrer le fichier sur le Bureau.

Double-cliquer sur le fichier blbeta.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!


Étape 4: HijackThis: recherche d'ADS
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Open the Misc Tools section" (ou "Ouvrir la section outils" en vf)
Dans le paragraphe System tools (ou "Outils syste" en vf), cliquer sur le bouton "Open ADS Spy..." (ou "Ouvrir ADSpy..." en vf)
Dans le paragraphe ADS Spy, cliquer sur le bouton "Scan" (Note: il s'agit du bouton situé juste en-dessous de Ready).
Lorsque la recherche est terminée (Ready a été remplacé par Scan complete), si des informations se sont affichées dans la fenêtre, cliquer sur le bouton "Save log..." (ou "Sauver" en vf) et enregistrer le fichier sur le Bureau sous le nom addspy1.txt.
Fermer HijackThis.



Note: Cette manip doit être effectuée en ayant ouvert une session utilisateur avec droits restreints.

Redémarrer et ouvrir une session en utilisateur avec droits restreints.

Étape 5: Autoruns (de Sysinternals/Microsoft)
Fermer toutes les fenêtres (pas de navigateur, Internet Explorer, Firefox, ..., ouvert)

Lancer Autoruns par un double clic sur autoruns.exe

Attendre que la mention Scanning... (en bas) soit remplacée par Ready.

Dans le menu Options (en haut), cocher la ligne Hide Signed Microsoft Entries
Dans le Menu File (en haut), cliquer sur Refresh
Attendre que la mention Scanning... (en bas) soit remplacée par Ready.
Dans le Menu File (en haut), cliquer sur Save As...
Enregistrer le fichier sous le nom Autoruns1.txt


Note: Cette manip doit être effectuée en ayant ouvert une session utilisateur administrateur.

Redémarrer et ouvrir une session en utilisateur administrateur.

Étape 6: Résultats
Envoyer en réponse:
*- le résultat de l'exécution de f-sasser
*- le rapport de Blacklight (contenu du fichier fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres) situé sur le Bureau)
*- le rapport de HijackThis, recherche d'ADS (contenu du fichier addspy1.txt)
*- le rapport d'Autoruns (contenu du fichier Autoruns1.txt)
*- le rapport de Combofix (contenu du fichier C:\ComboFix.txt)
(le rapport de combofix étant parfois long, vérifier qu'il est inclus en entier dans le message. Si nécessaire, envoyer deux messages.)


Question subsidiaire:
Fais-tu régulièrement les mises à jour Windows?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 12 invités