Demande d'analyse de log, contamination win32 worm socks AT

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 04 Juil 2008, 00:36

Bonsoir,

Quel est le message d'erreur exact reçu lorsque tu demandes le démarrage du service BitDefender Virus Shield?


Ouvrir la console de gestion des services:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK

Descendre jusqu'à BitDefender Virus Shield
Faire un clic droit dessus et choisir Propriétés
Dans Statut du service, cliquer sur Démarrer (s'il n'est pas déjà démarré)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 04 Juil 2008, 10:35

La suite,

Bonsoir,

J’ai ouvert la console de gestion de services et j’ai cliqué sur démarrer du statut de service de BitDefender Virus Shield (le statut du service était arrêté)

Nouvelles perturbations après cette action :

1/Ouverture d’une fenêtre avec le message suivant :
Generic Host Process for Win32 Services a rencontré un problème et doit fermer……

2/Ouverture d’une seconde fenêtre (toutes les minutes) avec le message suivant :
Erreur du programme
Unknown a généré des erreurs et sera fermé par Windows.
Vous devez redémarrer le programme.

3/L’icône de BitDefender Virus Scan n’apparaît pas dans la barre des tâches au démarrage.

4/La barre des tâches apparaît dans une autre couleur (grise)

5/ Revérification du statut de service de BitDefender Virus Shield :
Le service est à nouveau arrêté.
(Le bouton Démarrer est à nouveau grisé)

6/Possibilité de mettre l’icône BitDefender dans la barre des tâches en clicquant sur l'icône de bureau, mais inactive.
Si on pointe le curseur sur celle-ci, le message est le suivant :
Les services de BitFender ne répondent pas. Merci de redémarrer votre ordinateur.

A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede JeanJean » 07 Juil 2008, 17:24

Bonsoir,

La situation est toujours inchangée.
Les services de l’antivirus ne répondent toujours pas.
La protection en temps réel n’est pas disponible.
Le module anti spam est indisponible.
Le pare-feu est désactivé : échec de l’initialisation des pilotes.
Les fonctions analyse et mise à jour répondent.

Le PC est toujours contaminé.
J’ai effectué un scan avec BitDefender ; il a trouvé 67 éléments infectés.
(le fichier journal de BitDefender rapport est envoyé sur le serveur) voir le lien ci-dessous

http://www.yousendit.com/download/TTdHcmxjNDJoMlhIRGc9PQ

A propos as-tu pu récupérer les autres fichiers envoyés précédemment ?

La menace est toujours bien « Win32 Worm Socks AT (alias P2P-Worm.Win32.Socks.s )»
L’intrus ftp34 dll est toujours bien présent dans les dossiers « Documents and Settings » « Propriétaire » et « Administrateur »

J’ai également fait un nouveau log hjt.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:19:37, on 07/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: userinit.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: userinit.exe.non.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: userinit.exe (User 'Default user')
O4 - .DEFAULT Startup: userinit.exe.non.exe (User 'Default user')
O4 - Startup: userinit.exe
O4 - Startup: userinit.exe.non.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/ins ... csxp2k.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/s ... DEXAXO.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - Winlogon Notify: lstream - C:\WINDOWS\SYSTEM32\lstream.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 6094 bytes

Merci pour ton temps,
A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 08 Juil 2008, 00:35

Bonsoir,


1/ Le log de BitDefender ne monte plus rien!
Les fichiers détectés comme infectés sont
*- dans le dossier de The Avenger (sauvegarde effectuée par l'outil)
*- dans le dossier de la Restauration système (inoffensifs tant que tu n'utilises pas cette Restauration - nous les purgerons ultérieurement)
D'autres fichiers ne peuvent être analysés: ce sont les sauvegardes de Spybot-S&D

2/ Les fichiers ftp34.dll dont tu signales la présence ne sont que des leurres vides.
Remarque: ils ne sont pas détectés par BitDefender!


Je ne connais pas BitDefender, et ne sais donc pas s'il est possible de le réinstaller sur lui-même, ou de le désinstaller puis réinstaller, (tout ceci hors connexion).



Peux-tu envoyer un nouveau log DSS:

Étape 1: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre nommée DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
File Associations
Drivers
Services
Process modules
Scheduled Tasks
Files Created/Modified
Registry Dump
Hosts File

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 2: Résultats
Envoyer en réponse:
*- le rapport principal de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 08 Juil 2008, 21:58

Bonsoir,

Voilà la suite,

Je t'envoie le nouveau log DSS.
Je vais également prendre contact avec BitDefender pour voir s'ils n'ont pas une idée sur ce bloquage ou un outil pour ce virus.

Deckard's System Scanner v20071014.68
Run by Propriétaire on 2008-07-08 09:26:58
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Performed disk cleanup.



-- HijackThis (run as Propriétaire.exe) ----------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:27:05, on 08/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Documents and Settings\Propriétaire\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\PROPRI~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: userinit.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: userinit.exe.non.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: userinit.exe (User 'Default user')
O4 - .DEFAULT Startup: userinit.exe.non.exe (User 'Default user')
O4 - Startup: userinit.exe
O4 - Startup: userinit.exe.non.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/ins ... csxp2k.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/s ... DEXAXO.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - Winlogon Notify: lstream - C:\WINDOWS\SYSTEM32\lstream.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 5962 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20080627-104536-220 O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
backup-20080627-104536-543 O4 - Startup: userinit.exe
backup-20080627-104536-763 O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Administrateur\svchost.exe
backup-20080628-105426-480 O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Administrateur\svchost.exe
backup-20080628-105426-688 O4 - Startup: userinit.exe
backup-20080628-105426-700 O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
backup-20080628-105426-783 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 catchme - c:\docume~1\propri~1\locals~1\temp\catchme.sys (file missing)
R3 BDSelfPr - c:\program files\bitdefender\bitdefender 2008\bdselfpr.sys <Not>

S3 Ad-Watch Connect Filter (Ad-Watch Connect Kernel Filter) - c:\windows\system32\drivers\nsdriver.sys <Not>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 RichVideo (Cyberlink RichVideo Service(CRVS)) - "c:\program files\cyberlink\shared files\richvideo.exe" <Not>


-- Process Modules -------------------------------------------------------------

C:\WINDOWS\system32\winlogon.exe (pid 960)
2008-06-28 14:31:38 22381 --a------ C:\WINDOWS\system32\lstream.dll

C:\WINDOWS\explorer.exe (pid 2020)
2002-04-11 10:47:52 69632 --a------ C:\Program Files\Microsoft Hardware\Mouse\Msh_zwf.dll <Not>
2002-04-11 10:47:52 57344 --a------ C:\Program Files\Microsoft Hardware\Mouse\point32.dll <Not>

C:\WINDOWS\system32\svchost.exe (pid 1212)
2008-06-06 11:17:03 139264 --a------ C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\scan.dll <Not>


-- Scheduled Tasks -------------------------------------------------------------

2008-06-24 20:55:55 436 --ah---c- C:\WINDOWS\Tasks\User_Feed_Synchronization-{69BE7DBD-7E7D-4819-A644-E0FFAC378523}.job


-- Files created between 2008-06-08 and 2008-07-08 -----------------------------

2008-07-03 00:51:01 0 dr-h----- C:\Documents and Settings\Propriétaire\Recent
2008-06-28 22:02:41 33920 --a------ C:\WINDOWS\system32\adrn.bin
2008-06-28 14:32:45 0 --a----c- C:\WINDOWS\system32\k86.bin
2008-06-28 14:31:39 8832 --a------ C:\WINDOWS\system32\fsxxd.sys
2008-06-28 14:31:38 22381 --a------ C:\WINDOWS\system32\lstream.dll
2008-06-28 10:57:22 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-06-28 09:22:10 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Adobe
2008-06-25 21:00:54 6569 --a------ C:\backup.reg
2008-06-25 21:00:51 135168 --a------ C:\zip.exe
2008-06-25 21:00:51 19286 --a------ C:\cleanup.exe
2008-06-25 21:00:51 574 --a------ C:\cleanup.bat
2008-06-25 20:25:16 0 d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-06-25 20:25:06 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-25 20:25:06 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-24 20:18:34 0 d-------- C:\WINDOWS\ERUNT
2008-06-24 20:16:13 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2008-06-24 20:16:13 0 d--hs---- C:\Documents and Settings\Administrateur\Cookies
2008-06-24 20:16:13 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-06-24 20:16:13 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-06-24 20:16:13 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-06-24 20:16:12 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-06-24 20:16:12 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-06-24 20:16:12 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-06-24 20:16:12 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2008-06-24 20:16:12 786432 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-06-24 20:16:12 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-06-24 20:16:12 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-06-24 20:16:12 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-06-24 20:16:12 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-06-24 19:53:20 81984 --a------ C:\WINDOWS\system32\bdod.bin
2008-06-24 15:34:09 0 d-------- C:\Program Files\Trend Micro


-- Find3M Report ---------------------------------------------------------------

2008-06-30 15:51:00 0 --a----c- C:\WINDOWS\system32\ftp34.dll
2008-06-24 14:11:43 0 d-------- C:\Program Files\Fichiers communs
2008-05-27 21:58:16 0 d-------- C:\Program Files\Smallvideosoft
2008-05-27 17:27:56 0 d-------- C:\Documents and Settings\Propriétaire\Application Data\Adobe
2008-05-27 17:03:26 0 d-------- C:\Program Files\Replay Media Catcher
2008-05-27 17:02:18 0 d-------- C:\Documents and Settings\Propriétaire\Application Data\GetRightToGo
2008-05-27 16:59:59 0 d-------- C:\Program Files\FLV Player
2008-05-23 10:21:03 284 --a----c- C:\WINDOWS\system32co0100.dat
2008-05-18 16:09:29 28672 --a----c- C:\WINDOWS\system32\coclean.exe <Not>
2008-05-15 17:32:41 0 d-------- C:\Program Files\Fichiers communs\FotoWire
2008-05-15 17:32:40 0 d-------- C:\Program Files\AGFAnet


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"POINTER"="point32.exe" []
"SoundMan"="SOUNDMAN.EXE" [23/09/2004 21:27 C:\WINDOWS\SOUNDMAN.EXE]
"Alcmtr"="ALCMTR.EXE" [23/09/2004 23:44 C:\WINDOWS\ALCMTR.EXE]
"AlcWzrd"="ALCWZRD.EXE" [24/09/2004 20:06 C:\WINDOWS\ALCWZRD.EXE]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [17/03/2004 15:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [05/08/2004 14:00]

C:\Documents and Settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
userinit.exe [30/06/2008 15:51:01]
userinit.exe.non.exe [30/06/2008 15:51:01]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [11/05/2005 23:23:26]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=0 (0x0)
"DisableTaskMgr"=0 (0x0)
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lstream]
lstream.dll 28/06/2008 14:31 22381 C:\WINDOWS\system32\lstream.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx scan




-- End of Deckard's System Scanner: finished at 2008-07-08 09:27:47 ------------



A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede JeanJean » 09 Juil 2008, 20:39

Bonsoir,

L'antivurus est toujours bloqué, mais amélioration vitesse du PC.

J'ai pris contact avec BitDefender.
Ils m'ont conseillé dans un premier temps de faire quelques manips complémentaires.
Pour info, tu trouveras ci-dessous les différentes étapes. (un résumé).
Hélas !.. Ces nouvelles manips n'ont malheureusement pas encore débloqués mon antivirus, mais par contre le PC est devenu encore plus nerveux.. (Certainement encore quelques nettoyages: Smit ? ScanBit ? Autres ?)
Bref apart le bloquage des services de l'antivirus. (Le virus est toujours bloqué dans la zone quarantaine de BitDefender,
chose quand même curieuse :?: ), la situation est redevenue normale.
Le reste de l'analyse de BitDefender suivra dans les prochains jours.

Est ce que tout semble normale pour toi dans le registre au niveau des services ?


Les manipulations conseillées par BitDefender contre les spywares complexes :

1ère Etape

Tout d'abord, si vous utilisez Internet Explorer 7, ouvrez-le puis allez dans le menu Outils/Options internet.
Cliquez sur l'onglet Avancés et cliquez sur 'Réinitialiser'.

2ème Etape

Téléchargez le programme shootthemessenger :
http://www.grc.com/files/ShootTheMessenger.exe

Dans la fenêtre qui s'ouvre, cliquez sur le bouton 'disable messenger' puis cliquez sur Exit

3ème Etape

Désactivez la restauration système en cliquant avec le bouton droit sur le Poste de travail et en choisissant Propriétés.
Dans l'onglet Restauration du système cochez l'option "Désactiver la restauration du système sur tous les lecteurs".
Cliquez sur OK.

4ème Etape

Téléchargez l'utilitaire SmitfraudFix sur le site suivant :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

5ème Etape

Téléchargez l'utilitaire vundofix sur le site suivant :
http://www.clubic.com/telecharger-fiche ... dofix.html


6ème Etape

1. Analyse anti-rootkits :

- Téléchargez et enregistrez sur le bureau le programme depuis l'adresse suivante :
ftp://ftp.editions-profil.fr/support/Bi ... kit-B2.exe

2. Analyse avec la sentinelle Scanbit :

-Téléchargez le programme scanbit.exe depuis le lien suivant :
ftp://ftp.editions-profil.fr/support/Bi ... canbit.exe


3. Rapports Runscanner :

Veuillez exécuter le logiciel disponible au lien ci-dessous :
ftp://ftp.editions-profil.fr/support/runscanner1-6.exe


A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 10 Juil 2008, 00:25

Bonsoir,

Ce que je pense de cette procédure selon BitDefender:

1ère étape
Tant pis pour ceux qui avaient durci leur configuration!

2ème étape
Désactivation du service "Affichage des messages".
Sûrement déjà fait, sinon tu aurais reçu des messages de pub depuis toujours!

3ème étape
Il est aberrant de vider la Restauration système en début de procédure de nettoyage!
Si un outil de nettoyage commet une erreur (faux-positif), il n'y aura plus aucun moyen de faire redémarrer le PC!

4ème étape
Comment font-ils utiliser SmitfraudFix?
Avec un contrôle des résultats de l'option 1 avant de lancer l'option 2?

5ème étape
VundoFix est aujourd'hui totalement inefficace!

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 10 Juil 2008, 22:36

Bonsoir NickW,

Voilà la suite,

Autre contact aujourd’hui, avec BitDefender.
Après plusieurs contrôles du programme, il s’est avéré que l’antivirus était endommagé.
Le programme de réparation de l’antivirus n’a pas donné de résultat.
Par conséquence, j’ai désinstallé et réinstallé complètement l’antivirus BitDefender.
A présent tous les services de BitDefender répondent. C'est une très bonne chose.

Mais voilà que maintenant différentes fenêtres s’ouvrent après l’installation des icônes sur le bureau.

Les différents messages affichés que j’ai pu noter.

1/Generic Host Process for Win32 Services a rencontré un problème et doit fermer.
Nous vous prions de nous excusez pour le désagrément encouru.
Veuillez signaler ce problème à Microsoft.

2/Signature de l’erreur :

Sz AppName : Svchost.exe
Sz AppverVer : 5.1.2600.2180
Sz Modver : qmgr.dll
Sz Modver : 6.6.2600.2180
Offset : 0000f52c

3/Rapports d’erreur :

C:\DOCUME~1\PROPRIO~1\LOCALS~1\Temp\WEROd60.dir00\SVCHOST.exe.mdmp
C:\DOCUME~1\PROPRIO~1\LOCALS~1\Temp\WEROd60.dir00\appcompat.txt

Erreur du programme (toutes les minutes)
Unknown a généré des erreurs et sera fermé par Windows.
Vous devez redémarrer le programme.

As-tu une idée sur ces messages ? Encore des traces de ce virus ?

Merci pour ton temps.

A suivre,
JeanJean.
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 11 Juil 2008, 00:24

Bonsoir,

qmgr.dll est en relation avec le Service de transfert intelligent en arrière-plan.

1/ Mettre ce service en type de démarrage Désactivé
Ouvrir la console de gestion des services:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK

Descendre jusqu'à Service de transfert intelligent en arrière-plan
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\system32\svchost.exe -k netsvcs
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK


2/ Réenregistrer deux DLLs:

Démarrer--->Exécuter--->taper
regsvr32.exe¤/u¤"%windir%\system32\qmgr.dll"
(le caractère ¤ représente un espace)
puis cliquer sur OK (2 fois)

Démarrer--->Exécuter--->taper
regsvr32.exe¤/u¤"%windir%\system32\qmgrproxy.dll"
(le caractère ¤ représente un espace)
puis cliquer sur OK (2 fois)


3/ Essayer de faire démarrer le service
Ouvrir la console de gestion des services:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK

Descendre jusqu'à Service de transfert intelligent en arrière-plan
Faire un clic droit dessus et choisir Démarrer


Encore des messages d'erreur au redémarrage?
Lesquels?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 15 Juil 2008, 15:30

Bonsoir,

Je n’ai plus de message d’erreur au redémarrage, tout semble être rentré dans l’ordre maintenant. :D
Et tout cela grâce à toi. Je te remercie encore de tout cœur pour ton aide à solutionner mon problème.

Encore deux petites choses à te demander :

1/ J’ai vu que tu connaissais bien le programme Spybot.
Je reçois deux ou trois messages d’avertissement de Spybot pendant le scan. Pourquoi ?

« Il y a eu des problèmes à inclure c:\Program Files\Spybot-Search\Includes\Trojans.sbi »

Pourtant « TCP/IP Settings à déjà longtemps été téléchargé et j’ai aussi essayé de (re)décompresser le fichier plugtcp.zip dans le dossier\Plugin du dossier d’installation de Spypot-S&D. Mais rien ne change.

As-tu déjà rencontré ce genre de message et que faire ?

2/ Quelles sont les dernières manips suivantes de nettoyage ?
Quels sont les programmes téléchargés pour les manips à conserver/éliminer sur mon PC ?

A Suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités