Log HiJack - virus en tous genres

Log HiJack - virus en tous genres - Sécurité - Windows & Software

Marsh Posté le 01-08-2005 à 10:35:57    

Bonjour,
 
L'ordinateur de mon frère était infesté de virus. Je n'y connais pas grand-chose moi-même, mais j'ai parcouru le web à la recherche d'indices, du coup, j'ai :
 
- coupé le modem pour éviter de travailler avec un ordi encore connecté au web
- fait un scan + nettoyage avec AVG
- passé un coup de cc cleaner (analyse + nettoyage)
- fait fonctionner HiJackThis
 
Au démarrage de l'ordi, après ces opérations, on a :
 
- une fenêtre noire qui s'ouvre : C:\WINDOWS\system32\cmd.exe (elle s'ouvrait en 3 exemplaires hier ; après les opérations effectuées, elle ne s'ouvre qu'une fois)
- une fenêtre d'explorateur windows qui s'ouvre sur un fichier ISTscp
 
Par ailleurs, je remarque qu'on ne peut pas cliquer sur "mode veille" qd on veut éteindre l'ordi : on a soit "éteindre", soit "redémarrer".
 
Enfin, l'ordi est très lent, mais c'est peut-être une autre histoire, que je regarderai séparément.
 
Quoi qu'il en soit, voici le log HijackThis obtenu. Si qqun pouvait m'aider, je lui en serais infiniment reconnaissant  :) (pour ma part, je n'y comprends strictement rien)
 
Logfile of HijackThis v1.99.1
Scan saved at 12:03:39, on 31/07/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Edit.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\MSRMS32.exe
C:\WINDOWS\seeve.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\avpct.exe
C:\WINDOWS\System32\MSRMS32.exe
C:\WINDOWS\System32\MSRMS32.exe
C:\WINDOWS\System32\MSVPN32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\MSVPN32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\Documents and Settings\mikael\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\System32\MSRPC32.exe
C:\WINDOWS\system32\MSRPC32.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [gnwr] C:\WINDOWS\gnwr.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [checkrun] c:\windows\system32\elitepya32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\temp532.exe -N
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [Norton Antivirus 7.0a] C:\WINDOWS\System32\yfsgtu.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\embct.exe
O4 - HKLM\..\Run: [Adware Remover] C:\WINDOWS\System32\zvmicq.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [Virus Removal Tool] C:\WINDOWS\System32\etnil.exe
O4 - HKLM\..\Run: [WinUpgrader] C:\WINDOWS\System32\bpgjzs.exe
O4 - HKLM\..\Run: [rmzoh] C:\WINDOWS\rmzoh.exe
O4 - HKLM\..\Run: [Antivirus Installer] C:\WINDOWS\System32\tzdotpae.exe
O4 - HKLM\..\Run: [ibin] C:\WINDOWS\System32\zwqbc.exe
O4 - HKLM\..\Run: [xyh] C:\WINDOWS\xyh.exe
O4 - HKLM\..\Run: [cdyloboj] C:\WINDOWS\cdyloboj.exe
O4 - HKLM\..\Run: [ozcrkb] C:\WINDOWS\ozcrkb.exe
O4 - HKLM\..\Run: [Anti] C:\WINDOWS\System32\cvlagq.exe
O4 - HKLM\..\Run: [puvcr] C:\WINDOWS\puvcr.exe
O4 - HKLM\..\Run: [hsvud] C:\WINDOWS\hsvud.exe
O4 - HKLM\..\Run: [xkl] C:\WINDOWS\xkl.exe
O4 - HKLM\..\Run: [arde] "C:\WINDOWS\MSWun32.exe "  
O4 - HKLM\..\Run: [xitcryj] C:\WINDOWS\xitcryj.exe
O4 - HKLM\..\Run: [WeirdOnTheWeb] "C:\Program Files\WeirdOnTheWeb\WeirdOnTheWeb.exe"
O4 - HKLM\..\Run: [agdt88ge] C:\WINDOWS\System32\agdt88ge.exe
O4 - HKLM\..\Run: [jij] C:\WINDOWS\jij.exe
O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\System32\rpbbaze.exe
O4 - HKLM\..\Run: [ZoneEdit] C:\WINDOWS\System32\zabbirl.exe
O4 - HKLM\..\Run: [MS Remote Procedure Call Service] MSRPC32.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [acA4tDFf] C:\WINDOWS\sqqwteu.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [MS Registry Service] MSRMS32.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [MS Remote Procedure Call Service] MSRPC32.exe
O4 - HKLM\..\RunServices: [MS Registry Service] MSRMS32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MS Remote Procedure Call Service] MSRPC32.exe
O4 - HKCU\..\Run: [L02tRUGqi] avpct.exe
O4 - HKCU\..\Run: [MS Registry Service] MSRMS32.exe
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] ge-c18.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/software [...] egular.cab
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildAppNonUS.cab
O18 - Filter: text/html - {FAF228D0-0F2F-4218-B5B4-E61CFBC59599} - C:\Documents and Settings\mikael\Local Settings\Application Data\microsoft\internet explorer\V0.32.dat
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: ProcessEnumerator32 (pe32) - Unknown owner - C:\WINDOWS\fi49.exe
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe
O23 - Service: Win32 USB2.0 Driver - Unknown owner - C:\WINDOWS\System32\w32usb2.exe" -netsvcs (file missing)
O23 - Service: Windows Configuration Loader - Unknown owner - C:\WINDOWS\svchost.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
Par avance merci  :hello:  

Reply

Marsh Posté le 01-08-2005 à 10:35:57   

Reply

Marsh Posté le 01-08-2005 à 10:42:45    

[:w3c compliant] wow, j'ai rarement vu un PC aussi infecté !
 
Direction http://www.secuser.com/antivirus pour un bon AV en ligne, ensuite http://www.hijackthis.de/fr où tu colles ton log et où tu effaces toutes les lignes méchantes et douteuses (vérifie celles dont tu doutes).

Reply

Marsh Posté le 01-08-2005 à 10:44:45    

Bonjour je regarde ton rapport réponse dans un moment

Reply

Marsh Posté le 01-08-2005 à 10:45:33    

[:kiki]

Reply

Marsh Posté le 01-08-2005 à 11:26:57    

Re, télécharge:  
 
CCleaner
http://www.ccleaner.com/ccdownload.asp
 
Ewido
http://www.ewido.net/
Installe et mets à jour
 
LQfix  
http://users.pandora.be/bluepatchy/LQfix.zip
Dézippe sur le bureau
 
Désinstalle via Ajout/Suppression de programmes ces applications si elles sont présentes:
 
Media Access
ISTsvc
BullsEye Network
Internet Optimizer
AutoUpdate

 
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne  
 
hexadecimal (HexadecimaRepresentation)  
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de  C:\WINDOWS\Edit.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
 
Fais de même avec:
 
Hardware Clock Driver (hwclock) et C:\WINDOWS\System32\hwclock.exe
 
ProcessEnumerator32 (pe32) et C:\WINDOWS\fi49.exe
 
Win32 USB2.0 Driver et C:\WINDOWS\System32\w32usb2.exe" -netsvcs  
 
Windows Configuration Loader et C:\WINDOWS\svchost.exe
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)  
F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [gnwr] C:\WINDOWS\gnwr.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [checkrun] c:\windows\system32\elitepya32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\temp532.exe -N
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [Norton Antivirus 7.0a] C:\WINDOWS\System32\yfsgtu.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\embct.exe
O4 - HKLM\..\Run: [Adware Remover] C:\WINDOWS\System32\zvmicq.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [Virus Removal Tool] C:\WINDOWS\System32\etnil.exe
O4 - HKLM\..\Run: [WinUpgrader] C:\WINDOWS\System32\bpgjzs.exe
O4 - HKLM\..\Run: [rmzoh] C:\WINDOWS\rmzoh.exe
O4 - HKLM\..\Run: [Antivirus Installer] C:\WINDOWS\System32\tzdotpae.exe
O4 - HKLM\..\Run: [ibin] C:\WINDOWS\System32\zwqbc.exe
O4 - HKLM\..\Run: [xyh] C:\WINDOWS\xyh.exe
O4 - HKLM\..\Run: [cdyloboj] C:\WINDOWS\cdyloboj.exe
O4 - HKLM\..\Run: [ozcrkb] C:\WINDOWS\ozcrkb.exe
O4 - HKLM\..\Run: [Anti] C:\WINDOWS\System32\cvlagq.exe
O4 - HKLM\..\Run: [puvcr] C:\WINDOWS\puvcr.exe
O4 - HKLM\..\Run: [hsvud] C:\WINDOWS\hsvud.exe
O4 - HKLM\..\Run: [xkl] C:\WINDOWS\xkl.exe
O4 - HKLM\..\Run: [arde] "C:\WINDOWS\MSWun32.exe "  
O4 - HKLM\..\Run: [xitcryj] C:\WINDOWS\xitcryj.exe
O4 - HKLM\..\Run: [WeirdOnTheWeb] "C:\Program Files\WeirdOnTheWeb\WeirdOnTheWeb.exe"
O4 - HKLM\..\Run: [agdt88ge] C:\WINDOWS\System32\agdt88ge.exe
O4 - HKLM\..\Run: [jij] C:\WINDOWS\jij.exe
O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\System32\rpbbaze.exe
O4 - HKLM\..\Run: [ZoneEdit] C:\WINDOWS\System32\zabbirl.exe
O4 - HKLM\..\Run: [MS Remote Procedure Call Service] MSRPC32.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [acA4tDFf] C:\WINDOWS\sqqwteu.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [MS Registry Service] MSRMS32.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
 
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [MS Remote Procedure Call Service] MSRPC32.exe
O4 - HKLM\..\RunServices: [MS Registry Service] MSRMS32.exe
 
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [MS Remote Procedure Call Service] MSRPC32.exe
O4 - HKCU\..\Run: [L02tRUGqi] avpct.exe
O4 - HKCU\..\Run: [MS Registry Service] MSRMS32.exe
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] ge-c18.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/software [...] egular.cab
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildAppNonUS.cab
O18 - Filter: text/html - {FAF228D0-0F2F-4218-B5B4-E61CFBC59599} - C:\Documents and Settings\mikael\Local Settings\Application Data\microsoft\internet explorer\V0.32.dat
 
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: ProcessEnumerator32 (pe32) - Unknown owner - C:\WINDOWS\fi49.exe
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe
O23 - Service: Win32 USB2.0 Driver - Unknown owner - C:\WINDOWS\System32\w32usb2.exe" -netsvcs (file missing)
O23 - Service: Windows Configuration Loader - Unknown owner - C:\WINDOWS\svchost.exe
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Lance LQfix
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
setup32.exe< utilise la fonction rechercher, localisation probable System32
C:\WINDOWS\EliteToolBar
C:\Program Files\Media Access
C:\WINDOWS\gnwr.exe
C:\WINDOWS\System32\ap9h4qmo.exe
scvhost.exe
winamp.exe
c:\windows\system32\elitepya32.exe
C:\Program Files\ISTsvc
C:\WINDOWS\System32\temp532.exe -N
C:\Program Files\BullsEye Network
msxct.exe
C:\WINDOWS\System32\yfsgtu.exe
C:\WINDOWS\System32\embct.exe
C:\WINDOWS\System32\zvmicq.exe
MSASP32.exe
C:\WINDOWS\System32\etnil.exe
C:\WINDOWS\System32\bpgjzs.exe
C:\WINDOWS\rmzoh.exe
C:\WINDOWS\System32\tzdotpae.exe
C:\WINDOWS\System32\zwqbc.exe
C:\WINDOWS\xyh.exe
C:\WINDOWS\cdyloboj.exe
C:\WINDOWS\ozcrkb.exe
C:\WINDOWS\System32\cvlagq.exe
C:\WINDOWS\puvcr.exe
C:\WINDOWS\hsvud.exe
C:\WINDOWS\xkl.exe
C:\WINDOWS\MSWun32.exe    
C:\WINDOWS\xitcryj.exe
C:\Program Files\WeirdOnTheWeb
C:\WINDOWS\System32\agdt88ge.exe
C:\WINDOWS\jij.exe
C:\WINDOWS\System32\rpbbaze.exe
C:\WINDOWS\System32\zabbirl.exe
MSRPC32.exe
C:\Program Files\AutoUpdate
C:\WINDOWS\sqqwteu.exe
C:\Program Files\Internet Optimizer
MSRMS32.exe
C:\WINDOWS\seeve.exe
C:\WINDOWS\logon.exe
scvhost.exe
MSASP32.exe
MSRPC32.exe
MSRMS32.exe

MSASP32.exe
MSRPC32.exe
avpct.exe
MSRMS32.exe

C:\WINDOWS\Edit.exe
C:\WINDOWS\System32\hwclock.exe
C:\WINDOWS\fi49.exe
C:\WINDOWS\tsecure.exe
C:\WINDOWS\System32\w32usb2.exe
C:\WINDOWS\svchost.exe
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Scanne ton ordinateur avec Ewido
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification avec le rapport d'Ewido.
 
NB: Tu as combien d'antivirus?
Ton système n'est pas à jour passe impérativemment au SP1
 

Reply

Marsh Posté le 01-08-2005 à 11:54:51    

Wow merci pour ces réponses rapides  :love:  
 
Je vais m'occuper de ça dans l'après-midi (c'est l'ordi de mon frère, je n'y ai pas accès pour le moment) et je vous dirais ce que ca donne.
 
Pour les antivirus, actuellement, je lui ai installé AVG, plus un firewall (BitDefender). Il n'en avait aucun d'installé  :heink:  
 
Merci encore, je vous tiens au courant  :hello:

Reply

Marsh Posté le 01-08-2005 à 17:10:29    

Alors voilà, j'ai suivi toute la procédure. J'ai l'impression que mon frère s'est connecté entretemps sur le web, parce que certains trucs se sont rajoutés, tout au moins est-ce l'impression que j'ai eue.
 
Voici les deux rapports, HiJack + Ewido.  :)  
 
HiJack
 
Logfile of HijackThis v1.99.1
Scan saved at 15:55:30, on 01/08/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
C:\WINDOWS\System32\wscpagnt.exe
C:\WINDOWS\ABox.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Antivirus - anti-malwares\Ewido\security suite\ewidoctrl.exe
C:\Program Files\Antivirus - anti-malwares\Ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\MSVPN32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Program Files\HijackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [43tj38i] wscpagnt.exe
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\Antivirus - anti-malwares\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\Antivirus - anti-malwares\Ewido\security suite\ewidoguard.exe
O23 - Service: Registry Manager Service (MS Registry Service) - Unknown owner - MSRMS32.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown owner - MSRPC32.exe (file missing)
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
Ewido
 
---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  16:58:19, 01/08/2005
 + Somme de contrôle: F3D66667
 
 + Résultats du scan:
 
 HKLM\SOFTWARE\AutoLoader -> Spyware.AproposMedia : Nettoyer et sauvegarder
 HKLM\SOFTWARE\AutoLoader\4w211KXgdaLc -> Spyware.AproposMedia : Nettoyer et sauvegarder
 HKLM\SOFTWARE\AutoLoader\4w2N1KXgdaLc -> Spyware.AproposMedia : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Envolo -> Spyware.AproposMedia : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Envolo\AutoUpdate -> Spyware.AproposMedia : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Envolo\AutoUpdate\State -> Spyware.AproposMedia : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AutoUpdate -> Spyware.AproposMedia : Nettoyer et sauvegarder
 [1580] C:\WINDOWS\System32\scvhost.exe -> Backdoor.Agobot : Erreur durant le nettoyage
 C:\bleh.exe -> Backdoor.Agobot : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@casalemedia[1].txt -> Spyware.Cookie.Casalemedia : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@revenue[1].txt -> Spyware.Cookie.Revenue : Nettoyer et sauvegarder
 C:\Documents and Settings\mikael\Local Settings\Temp\AutoUpdate0\auto_update_install.exe -> Spyware.AproposMedia : Nettoyer et sauvegarder
 C:\Documents and Settings\mikael\Local Settings\Temp\AutoUpdate0\auto_update_uninstall.exe -> Spyware.AproposMedia : Nettoyer et sauvegarder
 C:\Documents and Settings\mikael\Local Settings\Temporary Internet Files\Content.IE5\R7HCPKFJ\AutoUpdaterInstaller[1].exe -> TrojanDownloader.Apropo.g : Nettoyer et sauvegarder
 C:\msdll32.exe -> TrojanDownloader.Dyfuca.em : Nettoyer et sauvegarder
 C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ysbactivex.dll -> TrojanDownloader.IstBar : Nettoyer et sauvegarder
 C:\WINDOWS\system32\setup_38620.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
 C:\WINDOWS\system32\setup_56023.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
 C:\WINDOWS\system32\setup_56437.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
 C:\WINDOWS\system32\setup_57076.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
 C:\WINDOWS\system32\__delete_on_reboot__scvhost.exe -> Backdoor.Agobot : Nettoyer et sauvegarder
 
 
::Fin du rapport
 
---------------
 
Evidemment, je n'y comprends rien.  
 
Je note désormais que la connexion internet est à peu près perdue (mais je soupçonne le modem d'y être pour qqch, il y a des voyants qui clignotent alors qu'ils ne devraient pas).
 
Par ailleurs, le temps de réponse, même pour ouvrir une simple fenêtre, est exécrablement long. (la config : XP, AMD Athlon 2000+, 1,67 GHz, 256 Mo, faut-il d'autres détails ? peut-être est-ce un problème à traiter séparément, j'ouvrirai alors un sujet dans une autre rubrique de ce forum pour ne pas polluer ce sujet).
 
 
Merci d'avance  :hello:

Reply

Marsh Posté le 01-08-2005 à 18:19:59    

Re, je regarde ton nouveau rapport, réponse dans quelques moments.

Reply

Marsh Posté le 01-08-2005 à 18:42:33    

Re, c'est nettement mieux. Vide la quarantaine d'Ewido. Télécharge:
 
MCRepair
http://download.microsoft.com/down [...] repair.exe
 
PowerIE6
http://www.technicland.com/powerie6.php3
 
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne
 
Registry Manager Service
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de  MSRMS32.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
 
Fais de même avec:
 
Remote Procedure Call (RPC) Helper et MSRPC32.exe
 
tsecure et C:\WINDOWS\tsecure.exe
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
O4 - HKLM\..\Run: [43tj38i] wscpagnt.exe
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe  
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
wscpagnt.exe< localisation probable System32
C:\WINDOWS\ABox.exe
scvhost.exe< attention à l'orthographe
scvhost.exe< idem
MSRMS32.exe
MSRPC32.exe  
C:\WINDOWS\tsecure.exe
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Scanne avec Ewido
 
Lance MCRepair et PowerIE6
 
Fais un scan sur Panda:
http://www.pandasoftware.com/activescan/
 
Colle le résultat avec un nouveau rapport Hijackthis et celui d'Ewido.
 
Tu as certainement un problème matériel de connexion. Fais les mises à jour via Windows Update


Message édité par stonangel le 01-08-2005 à 18:59:07
Reply

Marsh Posté le 02-08-2005 à 10:54:32    

Alors j'ai fait tout ça, sauf que :
 
- la connexion est tellement lente que j'ai dû arrêter Panda hier soir tard (je pensais remettre ça à ce matin) et idem pour Windows Update
 
- j'ai voulu reprendre ce matin : plus du tout de connexion internet (alors je ne comprends plus du tout) : du coup, pas d'analyse panda possible, à moins de pouvoir télécharger qqch chez moi et de le passer chez mon frère avec une clé usb
 
Toujours est-il que j'ai 2 rapports (le truc loader a l'air de persister malgré les éliminations successives):
 
Rapport Ewido hier soir
 
---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  21:04:37, 01/08/2005
 + Somme de contrôle: 22A3132A
 
 + Résultats du scan:
 
 HKLM\SOFTWARE\AutoLoader -> Spyware.AproposMedia : Nettoyer et sauvegarder
 HKLM\SOFTWARE\AutoLoader\4w211KXgdaLc -> Spyware.AproposMedia : Nettoyer et sauvegarder
 HKLM\SOFTWARE\AutoLoader\4w2N1KXgdaLc -> Spyware.AproposMedia : Nettoyer et sauvegarder
 C:\bleh.exe -> Backdoor.Agobot : Nettoyer et sauvegarder
 
 
::Fin du rapport
 
Rapport HijacjThis il y a 5 minutes
 
Logfile of HijackThis v1.99.1
Scan saved at 10:46:26, on 02/08/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Antivirus - anti-malwares\Ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\MSVPN32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Antivirus - anti-malwares\Ewido\security suite\ewidoguard.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\Antivirus - anti-malwares\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\Antivirus - anti-malwares\Ewido\security suite\ewidoguard.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
Merci d'avance  :hello:  

Reply

Marsh Posté le 02-08-2005 à 10:54:32   

Reply

Marsh Posté le 02-08-2005 à 11:30:41    

Bonjour, vide la quarantaine d'Ewido (désinstalle le) et télécharge Killbox d'Option^Explicit:
http://www.bleepingcomputer.com/fi [...] illBox.zip  
Dézippe le sur ton bureau.
 
Démarre en mode sans échec, ouvre Killbox et dans la petite fenêtre sous "Full Path of File to Delete" entre le chemin complet du fichier suivant:
 
C:\WINDOWS\System32\scvhost.exe<attention à l'orthographe
 
Coche "Delete on Reboot" et clique sur la croix blanche sur fond rouge. Aux deux meesages qui vont s'afficher réponds oui.
 
Redémarre normalement et dis ce qu'il en est.
 

Reply

Marsh Posté le 02-08-2005 à 14:59:56    

Je vous admire pour la patience que vous montrez à mon égard.
 
Pour ma part, je ne suis certes pas versé en matière de sécurité informatique, mais je ne pense pas être si nul que cela. Et pourtant, je deviens fou. Je m'explique :
 
j'ai vidé la quarantaine, éliminé Ewido, j'ai dézippé Killbox.
Je redémarre l'ordi, et là :
 
"le système ne peut pas redémarrer car le fichier windows\system32\config\systeme est endommagé ou manquant"
 
il me semble bien avoir suivi la procédure, qu'aurais-je fait qu'il ne fallait pas faire ???
 
et me voilà sans même pouvoir l'allumer. je suppose que je vais devoir utilier les cd's du formatage, non ?
 
merci (encore et toujours) pour votre aide et votre patience

Reply

Marsh Posté le 02-08-2005 à 15:35:01    

J'espère que tu n'as pas entré ce fichier: svchost, légitime, celui que je t'ai précisé était: scvhost. Une lettre déplacée et ce n'est plus le même fichier.  
 
Une solution : faire une réparation sans perte de données
Reprendre le CD d'installation, redémarrer en bootant sur le lecteur de CD
L'installation commencée, après avoir validé la page d'accord de Microsoft en appuyant sur la touche F8 de ton clavier, tu vas te trouver sur la page de choix "installer ou réparer"> choisis "installer"  
C'est dans la page suivante qu'il va détecter que tu as déjà un système et c'est là que tu choisis> "réparer"  
Ensuite suis la procédure normale
Une fois la réparation effectuée, il faut remettre à jour le système, c'est à dire tout les patchs non présents sur le CD d'installation.
 
Voir la procédure en image :
http://www.bellamyjc.org/fr/windows2000.html#repair
 
 

Reply

Marsh Posté le 02-08-2005 à 16:11:14    

En fait, je n'ai même pas eu le temps d'utiliser killbox, donc je ne pense pas que ce soit ça.
Je vais suivre tes indications et je te dis ce qu'il en est.  :)

Reply

Marsh Posté le 02-08-2005 à 16:33:10    

Je n'ai même pas de page d'accord Microsoft. Il me fait choisir entre F6 (installer des pilotes) et Entrée (installation). Après il installe plein de choses mais aucune mention de réparation.
 
Je m'arrête là pour le moment, je pars en vacances ce soir, j'espérais réparer ca avant, mais c'est manqué. Mon frère n'avait qu'à tenir son ordi correctement, a-t-on idée d'avoir 31 000 fichiers infectés, de ne jamais updater son windows, de ne pas avoir d'antivirus ni de firewall ? Je reposterai à mon retour pour reprendre tout ça.
 
Quoi qu'il en soit, merci pour toute cette gentillesse.
 
 :hello:

Reply

Marsh Posté le 02-08-2005 à 17:20:02    

Bonnes vacances loin de l'informatique et de ses déboires... :hello:


Message édité par stonangel le 02-08-2005 à 17:20:30
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed