Virus w32.toxbot et trojan non supprimables
Virus w32.toxbot et trojan non supprimables - Sécurité - Windows & Software
Marsh Posté le 24-07-2005 à 15:46:13
Re, télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne
MAPI Mail Client (MAPI)
Double clique sur la ligne
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\WINDOWS\System32\mapi32.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
Fais de même avec:
Net Functions Library (Netlib) et C:\WINDOWS\System32\Netlib.exe
UStorage Server Service OTi et C:\WINDOWS\system32\UStorSrv.exe
Désinstalle via ajout suppression de programmes ces applications si elles sont présentes:
ISTsvc
SideFind
SurfAccuracy
Internet Optimizer
BullsEye Network
Démarre en mode sans échec (F8 ou F5)
Assure toi d'avoir accès à tous les fichiers.
| Citation : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : |
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?pr [...] dor&o1=437
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\Run: [mouse] mouse.exe
O4 - HKLM\..\Run: [microsft windows updates] mwupdate32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [dieY] C:\WINDOWS\gwkxkxic.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\RunServices: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\RunServices: [mouse] mouse.exe
O4 - HKLM\..\RunServices: [microsft windows updates] mwupdate32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/software [...] egular.cab
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
C:\WINDOWS\nem220.dll
C:\Program Files\SideFind
C:\WINDOWS\System32\msbe.dll
spoolvs.exe< utilise la fonction rechercher localisation probable System32
mouse.exe< idem
mwupdate32.exe
C:\Program Files\ISTsvc
C:\WINDOWS\gwkxkxic.exe
C:\Program Files\SurfAccuracy
C:\Program Files\Internet Optimizer
C:\Program Files\BullsEye Network
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\System32\Netlib.exe
C:\WINDOWS\system32\UStorSrv.exe
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
Exécute CCleaner sur chaque session utilisateur
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
Fais analyser ce chemin C:\WINDOWS\Edit.exe sur:
http://virusscan.jotti.org/
Colle l'analyse ici.
Message édité par stonangel le 24-07-2005 à 15:54:01
Marsh Posté le 24-07-2005 à 18:39:01
Merci bcp stonangel, je vais effectué toutes ces opérations des que possible et je te poste un nouveau rapport.
Marsh Posté le 27-07-2005 à 13:21:35
Bonjour Stonangel,
j ai effectué toute les opérations avec succes.
le prog "SideFind" n 'était pas installé,
je n ai pas trouvé les lignes R3,O2,O2,O2,O4(IST service),O4(diey),O4(Surfaccuray) et les O23.
Je t envoi un nouveau rapport HijacckTHis :
Logfile of HijackThis v1.99.1
Scan saved at 12:24:41, on 27/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
J ai égalament fait analyser le chemin C\windows\Edit.exe sur virusscan.jotti.org. Apparement le ver "Trojan" est encore présent.
voici mon rapport:
AntiVir Found Worm/SdBot.aad.21
ArcaVir Found Trojan.Sdbot.Aad
Avast Found nothing
AVG Antivirus Found IRC/BackDoor.SdBot.FMT
BitDefender Found Backdoor.SDBot.E3286F41
ClamAV Found Trojan.SdBot-738
Dr.Web Found BackDoor.IRC.Sdbot
F-Prot Antivirus Found nothing
Fortinet Found W32/SDBot.AAD-bdr
Kaspersky Anti-Virus Found Backdoor.Win32.SdBot.aad
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Backdoor.Win32.SdBot.aad
Le pc semble fonctionner au niveau d internet j ai un site qui veut se lancer tout seul
le démarrage ne pause pas de prb
merci d avance
Marsh Posté le 27-07-2005 à 15:42:34
Bonjour, c'est nettement mieux. Merci pour le retour. Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:
hexadecimal (HexadecimaRepresentation)
Double clique sur la ligne
Vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de C:\WINDOWS\Edit.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
Démarre en mode sans échec. Affiche les fichiers et dossiers cachés. Lance Hijackthis, scan et coche:
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe< celle-ci ne devrait plus être présente
Ferme toutes les fenêtres, tous les programmes puis Fix checked
Supprime le fichier suivant si toujours présent:
C:\WINDOWS\Edit.exe
Recache les fichiers sytème.
Redémarre normalement. Fais un scan ici:
http://www.pandasoftware.com/activescan/
Colle le résultat dans ton prochain message avec un dernier? rapport Hijackthis.
Marsh Posté le 27-07-2005 à 21:25:35
Re stonangel,
J ai pris connaissance de tes nouvelles directives et j'ai effectué les diférentes opérations.
Au cours de l apres midi apres avoir fait la premiere manip, j ai installé des outils et des logiciels de sécurité (Zone Alarn,A2free,ADware) j'ai effectué plus scan et supprimé les virus détectés. Par contre Norton m'a signalé qu 'il avait détecté le virus Trojancache... et qu'il ne pouvait pas le suprimer.Je compte desinstallé norton pour installer Avast.Qu'en penses-tu?
je t envoi ce nouveau log de Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 17:16:18, on 27/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
En ce qui concerne ton dernier message:
Bonjour, c'est nettement mieux. Merci pour le retour. Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:
hexadecimal (HexadecimaRepresentation)
Double clique sur la ligne
Vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de C:\WINDOWS\Edit.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
Démarre en mode sans échec. Affiche les fichiers et dossiers cachés. Lance Hijackthis, scan et coche:
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe< celle-ci ne devrait plus être présente
Ferme toutes les fenêtres, tous les programmes puis Fix checked
Supprime le fichier suivant si toujours présent:
C:\WINDOWS\Edit.exe
Recache les fichiers sytème.
Redémarre normalement. Fais un scan ici:
http://www.pandasoftware.com/activescan/
Colle le résultat dans ton prochain message avec un dernier? rapport Hijackthis.
Il n y avait plus ni le fichier "Edit.exe",ni les lignes O2 et O23
J ai commencer une analyse sur pandasoft, mais j'ai pas pu la terminer. Je vais lancer une autre et je te poste le rapport à l'issue.
Encore merci de ton aide et de ta disponibilité.
J'ai une question tu travail pour Hardware ou tu fais ca pour ton plaisir?
A plus tard....
Marsh Posté le 27-07-2005 à 22:02:08
Non je suis bénévole... Désinstaller Norton, c'est une bonne idée voir l'excellent tuto de mon ami Tesgaz:
http://forum.zebulon.fr/index.php? [...] 38&t=57795
Marsh Posté le 28-07-2005 à 12:01:06
Bonjour Stonangel,
Encore moi, je viens de faire un scan sur "pandasotfware" et j'ai plein de spywares et autres virus Trojan. As tu une astuce pour les virer?
Voici mon rapport :
Incident Status Location
Spyware:spyware/lowzones No disinfected C:\WINDOWS\update-sp2.html
Adware:Adware/MediaTickets No disinfected C:\234h1w9k.exe
Adware:Adware/MediaTickets No disinfected C:\234h1w9k.exe[r.bat]
Virus:Trj/Lowzones.IK No disinfected C:\234h1w9k.exe[ra.reg]
Virus:Trj/Downloader.DSJ No disinfected C:\234h1w9k.exe[a776a8.js]
Adware:Adware/MediaTickets No disinfected C:\234h1w9k.exe[update-sp2.html]
Adware:Adware/MediaTickets No disinfected C:\234h1w9k.exe[update-sp3.html]
Adware:Adware/MediaTickets No disinfected C:\234h1w9k.exe[update-sp5.html]
Adware:Adware/MediaTickets No disinfected C:\26h1w9k.exe[update-sp3.html]
Adware:Adware/MediaTickets No disinfected C:\26h1w9k.exe[update-sp5.html]
Virus:Trj/Lowzones.IK No disinfected C:\26h1w9k.exe[ra.reg]
Adware:Adware/MediaTickets No disinfected C:\5864gw9k.exe[r.bat]
Adware:Adware/MediaTickets No disinfected C:\5864gw9k.exe[update-sp2.html]
Adware:Adware/MediaTickets No disinfected C:\5864gw9k.exe[update-sp3.html]
Adware:Adware/MediaTickets No disinfected C:\5864gw9k.exe[update-sp5.html]
Virus:Trj/Lowzones.IK No disinfected C:\5864gw9k.exe[ra.reg]
Virus:Trj/Lowzones.IK No disinfected C:\5864gw9k.exe[l.exe]
Virus:Trj/Downloader.DSJ No disinfected C:\5864gw9k.exe[l.exe][a776a8.js]
Virus:Trj/Lowzones.IK No disinfected C:\5864gw9k.exe[l.exe][ra.reg]
Virus:Trj/Lowzones.IK No disinfected C:\5864gw9k.exe[y.exe]
Virus:Trj/Lowzones.IK No disinfected C:\5864gw9k.exe[y.exe][ra.reg]
Spyware:Spyware/BargainBuddy No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\21YDQDVC\webservice[1].htm
Adware:Adware/MediaTickets No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4P6NW5YJ\3e8ad79a0434[1].jpg[update-sp3.html]
Adware:Adware/MediaTickets No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4P6NW5YJ\3e8ad79a0434[1].jpg[update-sp5.html]
Virus:Trj/Lowzones.IK No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4P6NW5YJ\3e8ad79a0434[1].jpg[ra.reg]
Spyware:Spyware/YourSiteBar No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4P6NW5YJ\index[1].htm
Adware:Adware/Tracking No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K96B4PEZ\advertising[1].htm
Spyware:Spyware/BargainBuddy No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K96B4PEZ\webservice[2].htm
Spyware:Spyware/ISTbar No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K96B4PEZ\ysb_prompt[1].htm
Adware:Adware/Tracking No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NLPWCZ7X\advertising[1].htm
Spyware:Spyware/BargainBuddy No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NLPWCZ7X\webservice[2].htm
Virus:Trj/Downloader.DSJ Disinfected C:\WINDOWS\a776a8.js
Virus:Trj/Lowzones.IK Disinfected C:\WINDOWS\l.exe
Virus:W32/Sdbot.ftp Disinfected C:\WINDOWS\system32\i
Virus:W32/Imspread.A.worm Disinfected C:\WINDOWS\system32\mswin32.exe
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp2.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp3.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp5.html
Virus:Trj/Lowzones.IK Disinfected C:\WINDOWS\y.exe Merci.
Marsh Posté le 28-07-2005 à 12:19:54
Bonjour, démarre en mode sans échec. Assure toi d'avoir accès aux fichiers et dossiers cachés et supprime:
C:\WINDOWS\update-sp2.html
C:\234h1w9k.exe
C:\234h1w9k.exe[r.bat]
C:\234h1w9k.exe[ra.reg]
C:\234h1w9k.exe[a776a8.js]
C:\234h1w9k.exe[update-sp2.html]
C:\234h1w9k.exe[update-sp3.html]
C:\234h1w9k.exe[update-sp5.html]
C:\26h1w9k.exe[update-sp3.html]
C:\26h1w9k.exe[update-sp5.html]
C:\26h1w9k.exe[ra.reg]
C:\5864gw9k.exe[r.bat]
C:\5864gw9k.exe[update-sp2.html]
C:\5864gw9k.exe[update-sp3.html]
C:\5864gw9k.exe[update-sp5.html]
C:\5864gw9k.exe[ra.reg]
C:\5864gw9k.exe[l.exe]
C:\5864gw9k.exe[l.exe][a776a8.js]
C:\5864gw9k.exe[l.exe][ra.reg]
C:\5864gw9k.exe[y.exe] C:\5864gw9k.exe[y.exe][ra.reg]
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ <le contenu du dossier
C:\WINDOWS\update-sp2.html
C:\WINDOWS\update-sp3.html
C:\WINDOWS\update-sp5.html
C:\WINDOWS\y.exe
Recache les fichiers système et redémarre.
Message édité par stonangel le 28-07-2005 à 12:20:40
Marsh Posté le 28-07-2005 à 12:53:34
J'ai commencé à supprimer 234h1w9k.exe ,5864gw9k.exe,26h1w9k.exe et C:\WINDOWS\update-sp2.html. je n'ai pas trouver les autres même avec la recherche. J'ai ensuite redémarré en mode normal et Avast m'a signalé quele sous systeme avait détecter une erreur RPC, ola..... J'ai redémarrer en mode sans eches et j ai tout remis en place. N'est pas dangeureux de supprimer les fichiers de la sorte?
Marsh Posté le 28-07-2005 à 13:14:32
Normalement non, ce sont des adware. Crée un point de restauration système puis supprime les fichiers ou télécharge Ewido:
http://www.ewido.net/
Installe et mets à jour.
Démarre en mode sans échec, exécute Ewido et poste le rapport dans le forum.
NB: A la place de supprimer tu peux aussi renommer les fichiers (si pas de dysfonctionnement au bout de quelques jours tu supprimes):
update-sp2.html> update-sp2-html.anc (nom tiret extension point anc)
234h1w9k.exe> 234h1w9k-exe.anc
Marsh Posté le 28-07-2005 à 13:20:57
OK merci,
Je crois que l'erreur RPC n'est pas lié à mes suppressions. Je supprime les fichiers et je te tiens au courant.
Marsh Posté le 28-07-2005 à 14:05:33
Re j'ai installé Ewido sécurity, voici le rapport :
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 13:58:59, 28/07/2005
+ Somme de contrôle: 746E6AB2
+ Résultats du scan:
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Nettoyer et sauvegarder
HKU\S-1-5-21-1659004503-484061587-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
HKU\S-1-5-21-1659004503-484061587-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Nettoyer et sauvegarder
HKU\S-1-5-21-1659004503-484061587-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKU\S-1-5-21-1659004503-484061587-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Nettoyer et sauvegarder
C:\5864gw9k.exe/ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
C:\Documents and Settings\-\Cookies\-@adtech[1].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\-\Cookies\-@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\-\Cookies\-@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
::Fin du rapport
Voila, je ferais plus tard un scan avec Avast et les autres logiciels de sécurité.
Merci à plus tard.
Sujets relatifs:
- PC je n'arrive pas à effacer un trojan, rapport hijack
- virus w32.Toxbot
- [VIRSU ou MALWARE] un virus (APPARAMENT RESOLUS]
- virus innefacable vrmt besoin d'aide
- trojan.Qhosts toujours la !!!!!
- modem + virus
- rapport HIJACKTHIS pour le virus W32.Toxbot
Marsh Posté le 24-07-2005 à 12:27:23
Bonjour à tous,
J'ai le regret de rejoindre le groupe des internauts victimes des vers w32.toxbot et trojan. Mon ordinateur se plante au démarrage et je n arrive plus a naviguer sur le net. J'ai vu que certain d'entre vous avaient trouveédes parades. J'ai téléchargé et installé l'application HijackThis. Je l'ai lancer en mode "sans echec". Je poste le rapport que j'ai eu. Merci d avance à ceux qui pourront m'aider.
Logfile of HijackThis v1.99.1
Scan saved at 21:04:54, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\Explorer.EXE
G:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?pr [...] dor&o1=437
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\Run: [mouse] mouse.exe
O4 - HKLM\..\Run: [microsft windows updates] mwupdate32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [dieY] C:\WINDOWS\gwkxkxic.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\RunServices: [mouse] mouse.exe
O4 - HKLM\..\RunServices: [microsft windows updates] mwupdate32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/software [...] egular.cab
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
Le fichier infecté par le ver w32.toxbot : mapie32.exe
J'ai norton antivirus 2004 qui le détecte mais il dit qu'il ne peutr pas le supprimer. Quant au ver trojan il me dit qu'il la détecté et supprimer mais le message réapparait à chaque fois.
Merci d avance!!!