demande d'analyse de log, contamination malware probable...

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

demande d'analyse de log, contamination malware probable...

Messagede hello1013 » 24 Mai 2008, 21:56

Bonjour, je viens d'être contaminé!! fenêtres intempestives pour me dire que mon PC est infecté et qu'il faut que je télécharge un logiciel bidon...
J'ai commencé par faire tout ce qu'il est indiqué dans la PAD, mais tout ne fonctionne pas, je n'ai même pas pu installer entièrement AVG jai donc voulu le désinstaller impossible non plus! je suis donc actuellement sans plus aucun antivirus!!
Pour navilog,"l'invite de commande a été désactivée par votre administrateur, appuyer sur une touche pour continuer" rien ne se passe; même chose pour smitfraudfix...
J'ai fait un scan avec ad aware et il a detecté un malware, j'ai donc cliqué sur supprimé mais rien n'a changer.
Des icones ont disparu dans le menu démarrer.
Voici mon log, j'espère que vous pourrez m'aider, MERCI d'avance!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36: VIRUS ALERT!, on 24/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\cmd.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QXK Olive - {FCE2B5F9-602F-4637-939D-004B97512F9E} - C:\WINDOWS\boqnrwdmtwm.dll
O3 - Toolbar: atfxqogp - {42F72442-2DD5-4B32-8A09-D2276C4EB3B9} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Update Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 7663291828
O20 - AppInit_DLLs: avgrsstx.dll
O21 - SSODL: vregfwlx - {D1054986-0835-485D-A285-8AF54A30F1DF} - C:\WINDOWS\vregfwlx.dll
O21 - SSODL: vltdfabw - {1D6D267B-5D4E-4553-88CC-92C00B32BAD2} - C:\WINDOWS\vltdfabw.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

--
End of file - 5470 bytes
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede hello1013 » 25 Mai 2008, 18:31

Je ne peux toujours pas désinstaller ou installer AVG, j'ai donc installé avast et fais un scan, il a trouvé 5 virus : Win 32.... , je les ai mis en quarantaine. Les icones sur le bureau des pseudo antispyware ne s'affichent plus, jusqu'à présent pas de fenêtres intempestives. Mais le message dans la barre des tâches à droite "VIRUS ALERT" y est toujours.
Je n'ai toujours pas accès à mes programmes et documents car les intitulés sont toujours absents du menu "démarrer".
Dans l'attente de votre aide, merci.
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede hello1013 » 25 Mai 2008, 19:09

hello1013 a écrit:Je ne peux toujours pas désinstaller ou installer AVG, j'ai donc installé avast et fais un scan, il a trouvé 5 virus : Win 32.... , je les ai mis en quarantaine. Les icones sur le bureau des pseudo antispyware ne s'affichent plus, jusqu'à présent pas de fenêtres intempestives. Mais le message dans la barre des tâches à droite "VIRUS ALERT" y est toujours.
Je n'ai toujours pas accès à mes programmes et documents car les intitulés sont toujours absents du menu "démarrer".
Dans l'attente de votre aide, merci.


Ah, nouveauté, je ne peux plus me connecter à msn... cela dit qu'internet explorer est configuré pour travailler hors connection... quelle pouasse!
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede nickW » 25 Mai 2008, 22:55

Bonsoir,

Création de trois autres logs:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.
Ne pas le lancer maintenant!


Étape 3: Ccleaner
Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux décrits ci-dessous:
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si cela est possible, dans le menu Nettoyeur - onglet Applications, cocher:
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 4: SmitFraudFix (de S!ri), option 1: Recherche
Télécharger SmitFraudFix depuis http://siri.urz.free.fr/Fix/SmitfraudFix.exe
ou http://siri.geekstogo.com/SmitfraudFix.exe
Enregistrer ce fichier sur le Bureau.

Faire un double clic sur SmitfraudFix.exe pour lancer l'outil.
Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.
Notes:
1/ Il faut autoriser l'exécution de l'intégralité du scipt Visual Basic (fichier de type vbs) une seule fois en cas d'alerte par ton antivirus.
2/ process.exe, Reboot.exe, restart.exe sont détectés par certains antivirus/antispyware comme étant des RiskTools (outils dangereux).
Il s'agit d'utilitaires destinés à mettre fin à des processus, redémarrer le système, ou relancer un processus. Mis entre de mauvaises mains, ces utilitaires pourraient avoir des actions néfastes.
Dans le cas de SmitFraudFix, il faut les laisser s'exécuter (si nécessaire, arrêter momentanément la protection en temps réel de l'antivirus/antispyware).



Étape 5: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 6: Résultat
Envoyer en réponse:
*- le rapport de SmitFraudFix (contenu du fichier SystemDrive\rapport.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
Note importante:
Si ce rapport de SmitFraudFix contient des dizaines de lignes commençant par "127.0.0.1", il ne faut pas toutes les envoyer sur le forum.
Il ne faut envoyer que les 15 premières lignes commençant par "127.0.0.1" avec le reste du log.


Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hello1013 » 26 Mai 2008, 15:26

Bonjour, merci pour votre réponse.
J'ai effectué correctement les premières manip recommandées y compris vérifier mon compte utilisateur.
Mais comme hier impossible de lancer SmitFraudFix : quand je double clique une fenêtre s'ouvre (style windows 95 alors que j'ai XP), le titre dans la barre du haut est : C:\WINDOWS\system32\cmd.exe et dans l'encadré noir dessous il est écrit : l'invite de commandes a été desactivée par votre administrateur. Appuyer sur une touche pour continuer...

Et voici les rapports de dss.exe :
Deckard's System Scanner v20071014.68
Run by utilisateur on 2008-05-26 16:35:13
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
91: 2008-05-26 14:35:18 UTC - RP155 - Deckard's System Scanner Restore Point
90: 2008-05-25 17:22:09 UTC - RP154 - Removed AVG 8.0
89: 2008-05-25 17:17:50 UTC - RP153 - Removed AVG 8.0
88: 2008-05-25 17:11:40 UTC - RP152 - Removed AVG 8.0
87: 2008-05-25 14:22:08 UTC - RP151 - Removed WinZip 11.1


-- First Restore Point --
1: 2008-02-26 17:23:33 UTC - RP65 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 448 MiB (512 MiB recommended).


-- HijackThis (run as utilisateur.exe) -----------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35: VIRUS ALERT!, on 26/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\utilisateur\Bureau\dss.exe
C:\DOCUME~1\UTILIS~1\Bureau\utilisateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QXK Olive - {FCE2B5F9-602F-4637-939D-004B97512F9E} - C:\WINDOWS\boqnrwdmtwm.dll (file missing)
O3 - Toolbar: atfxqogp - {42F72442-2DD5-4B32-8A09-D2276C4EB3B9} - C:\WINDOWS\atfxqogp.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Update Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 7663291828
O21 - SSODL: vregfwlx - {36E838C8-1130-49A3-A2F5-BEC011C247CA} - C:\WINDOWS\vregfwlx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG8 WatchDog (avg8wd) - Unknown owner - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6077 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 meiudf - c:\windows\system32\drivers\meiudf.sys <Not>
R3 Pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 DVD-RAM_Service - c:\windows\system32\dvdramsv.exe <Not>

S2 avg8wd (AVG8 WatchDog) - c:\progra~1\avg\avg8\avgwdsvc.exe (file missing)


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-05-05 09:48:03 284 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-04-26 and 2008-05-26 -----------------------------

2008-05-25 16:35:57 0 d-------- C:\Program Files\Alwil Software
2008-05-25 16:23:33 0 dr-h----- C:\Documents and Settings\utilisateur\Recent
2008-05-24 22:38:23 0 d-------- C:\Program Files\Navilog1
2008-05-24 18:50:25 0 d-------- C:\VundoFix Backups
2008-05-24 17:45:02 0 d-------- C:\Program Files\AVG
2008-05-24 17:45:02 0 d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-05-24 16:00:41 0 d-------- C:\Program Files\Lavasoft
2008-05-24 16:00:31 0 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-24 15:59:28 0 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-24 15:36:00 0 d-------- C:\Documents and Settings\utilisateur\Application Data\TmpRecentIcons
2008-05-24 15:08:59 0 d-------- C:\WINDOWS\system32\appmgmt
2008-05-24 13:39:16 81920 --a------ C:\WINDOWS\xmpstean.exe
2008-05-24 13:39:16 176128 --a------ C:\WINDOWS\vregfwlx.dll
2008-05-24 13:38:51 107630 -rahs---- C:\WINDOWS\svchost.exe <Not>
2008-05-24 13:38:28 121360 --a------ C:\1.exe
2008-05-19 14:52:12 0 d-------- C:\Program Files\OpenOffice.org 2.4


-- Find3M Report ---------------------------------------------------------------

2008-05-26 15:48:50 0 d-------- C:\Documents and Settings\utilisateur\Application Data\OpenOffice.org2
2008-05-24 15:59:28 0 d-------- C:\Program Files\Fichiers communs
2008-05-24 15:42:51 0 d-------- C:\Documents and Settings\utilisateur\Application Data\uTorrent
2008-05-19 14:51:11 0 d-------- C:\Program Files\OpenOffice.org 2.3
2008-05-19 14:47:20 0 d-------- C:\Program Files\Java
2008-04-20 12:04:19 0 d-------- C:\Program Files\uTorrent
2008-03-30 11:58:06 368314 --a------ C:\WINDOWS\system32\perfh00C.dat
2008-03-30 11:58:06 49054 --a------ C:\WINDOWS\system32\perfc00C.dat
2008-03-27 21:00:50 0 d-------- C:\Program Files\Fichiers communs\Adobe


-- Registry Dump ---------------------------------------------------------------


L'invite de commandes a ‚t‚ d‚sactiv‚e par votre administrateur.

Appuyez sur une touche pour continuer...


-- Hosts -----------------------------------------------------------------------

66.98.148.65 auto.search.msn.com
66.98.148.65 auto.search.msn.es
127.0.0.1 mpa.one.microsoft.com


-- End of Deckard's System Scanner: finished at 2008-05-26 16:36:16 ------------
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede hello1013 » 26 Mai 2008, 15:47

Et voici le second rapport , extra.txt :

( la photo perso en papier peint a disparu, ecran banc. Je désespère, je passe un oral dans 15jours et j'ai de nombreux documents dans l'ordinateur, j'espère que ces virus ne vont pas les effacer...)



Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professionnel (build 2600) SP 2.0
Architecture: X86; Language: French

CPU 0: Mobile Intel(R) Pentium(R) 4 CPU 3.06GHz
CPU 1: Mobile Intel(R) Pentium(R) 4 CPU 3.06GHz
Percentage of Memory in Use: 62%
Physical Memory (total/avail): 447.48 MiB / 167.94 MiB
Pagefile Memory (total/avail): 1057.87 MiB / 787.86 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1937.32 MiB

C: is Fixed (NTFS) - 55.88 GiB total, 20.27 GiB free.
D: is CDROM (Unformatted)

\\.\PHYSICALDRIVE0 - FUJITSU MHT2060AT - 55.89 GiB - 1 partition
\PARTITION0 (bootable) - Système de fichiers installable - 55.88 GiB - C:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.

AV: AVG v8.0 (AVG Technologies) Disabled Outdated
AV: avast! antivirus 4.8.1201 [VPS 080526-0] v4.8.1201 (ALWIL Software)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"


-- Environment Variables -------------------------------------------------------


L'invite de commandes a ‚t‚ d‚sactiv‚e par votre administrateur.

Appuyez sur une touche pour continuer...


-- User Profiles ---------------------------------------------------------------

utilisateur (admin)


-- Add/Remove Programs ---------------------------------------------------------


L'invite de commandes a ‚t‚ d‚sactiv‚e par votre administrateur.

Appuyez sur une touche pour continuer...


-- Application Event Log -------------------------------------------------------

Event Record #/Type3138 / Success
Event Submitted/Written: 05/25/2008 10:22:19 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type3137 / Error
Event Submitted/Written: 05/25/2008 07:22:31 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Application bloquée setup.exe, version 8.0.0.94, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Event Record #/Type3136 / Error
Event Submitted/Written: 05/25/2008 07:19:30 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Application bloquée setup.exe, version 8.0.0.94, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Event Record #/Type3135 / Error
Event Submitted/Written: 05/25/2008 07:13:22 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Application bloquée setup.exe, version 8.0.0.94, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Event Record #/Type3132 / Error
Event Submitted/Written: 05/25/2008 04:21:28 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Application bloquée setup.exe, version 8.0.0.94, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type7527 / Error
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede nickW » 26 Mai 2008, 17:57

Bonjour,

Nouvelles manips:

Étape 1: Création du fichier repar.reg
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans cette fenêtre du Bloc-notes.
Code: Tout sélectionner
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableTaskMgr"=dword:00000000
"DisableCMD"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableTaskMgr"=dword:00000000
"DisableCMD"=-



Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché), comme ceci:
Image

Enregistrer le fichier sous le nom de repar.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." comme ceci:
Image

Si l'extension est .reg.txt, renommer le fichier en .reg
Fermer le Bloc-notes.


Étape 2: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.


Étape 3: Utilisation du fichier repar.reg
Faire un clic droit sur repar.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 4: Redémarrage
Redémarrer en mode normal.


Étape 5: SmitFraudFix (de S!ri), option 1: Recherche
Faire un double clic sur SmitfraudFix.exe pour lancer l'outil.
Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.
Notes:
1/ Il faut autoriser l'exécution de l'intégralité du scipt Visual Basic (fichier de type vbs) une seule fois en cas d'alerte par ton antivirus.
2/ process.exe, Reboot.exe, restart.exe sont détectés par certains antivirus/antispyware comme étant des RiskTools (outils dangereux).
Il s'agit d'utilitaires destinés à mettre fin à des processus, redémarrer le système, ou relancer un processus. Mis entre de mauvaises mains, ces utilitaires pourraient avoir des actions néfastes.
Dans le cas de SmitFraudFix, il faut les laisser s'exécuter (si nécessaire, arrêter momentanément la protection en temps réel de l'antivirus/antispyware).



Étape 6: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre nommée DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
Drivers
Services
Process modules
Scheduled Tasks
Files Created/Modified
Registry Dump
Hosts File

Security Center
DOS Environment
User Profiles
Add/Remove Programs
Event Logs

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 7: Résultats
Envoyer en réponse:
*- le rapport de SmitFraudFix (contenu du fichier SystemDrive\rapport.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
Note importante:
Si ce rapport de SmitFraudFix contient des dizaines de lignes commençant par "127.0.0.1", il ne faut pas toutes les envoyer sur le forum.
Il ne faut envoyer que les 15 premières lignes commençant par "127.0.0.1" avec le reste du log.


Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hello1013 » 26 Mai 2008, 19:05

suite, problème pour faire les manips : certains items ont été effacé dans le menu démarrer dont "executer" il ne reste que mes derniers programmes dans la colonne de gauche et config des programmes + connexions + imprimantes et télécopieurs sur la droite.

Par contre dans mes derniers programmes dans la colonne de gauche j'ai wordpad cela peu peut- être fonctionner...


Alors je viens de copier coller dans wordpad mais les options pour enregistrer sous sont différentes "tous les fichiers "n'apparait pas, il n'a le choix qu'entre : document au format RTF ; doc texte ; doc texte MS-DOS ; doc texte unicode.
Je l'ai enregistré sous format RTF pour voir , et là quand je veux l'ouvrir en cliquant sur l'icone qui est sur le bureau,et là une fenêtre d'avertissement s'ouvre avec une croix sur fond rouge, dans la barre bleu : "éditeur du registre" et le message dans le cadre:"la modification du registre a été désactivée par votre administrateur. OK "

En cliquant droit, l'option fusionner apparaît quand même,
Dois-je continuer le reste des manips préconisées?
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede nickW » 26 Mai 2008, 23:49

Bonsoir,

Pour le Bloc-notes:
Dans l'Explorateur, ouvrir le dossier C:\WINDOWS\system32
Faire un double clic sur notepad.exe

Dans Wordpad, il faudrait enregistrer en texte MS-DOS, mais je doute que cela fonctionne correctement.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hello1013 » 27 Mai 2008, 00:20

rebonsoir,
merci pour l'explicatoin j'ai réussi à trouver notepad et à coller le code, j'ai donc ensuite redémarrer le PC en mode sans échec, clic droit sur repar.reg mais encore le même message en voulant fusionner : "la modification de registre a été désactivée par votre administrateur"
rrrrrhhhhh, mais que faire?!

en attendant j'ai encore reçu un avertissement de avast et mis un virus en quarantaine...

merci de votre aide et de votre patience.
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 48 invités

cron