Virus w32.toxbot et trojan non supprimables

Virus w32.toxbot et trojan non supprimables - Sécurité - Windows & Software

Marsh Posté le 24-07-2005 à 12:27:23    

Bonjour à tous,  
 
J'ai le regret de rejoindre le groupe des internauts victimes des vers w32.toxbot et trojan. Mon ordinateur se plante au démarrage et je n arrive plus a naviguer sur le net. J'ai vu que certain d'entre vous avaient trouveédes parades. J'ai téléchargé et installé l'application HijackThis. Je l'ai lancer en mode "sans echec". Je poste le rapport que j'ai eu. Merci d avance à ceux qui pourront m'aider.
 
Logfile of HijackThis v1.99.1
Scan saved at 21:04:54, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\Explorer.EXE
G:\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?pr [...] dor&o1=437
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\Run: [mouse] mouse.exe
O4 - HKLM\..\Run: [microsft windows updates] mwupdate32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [dieY] C:\WINDOWS\gwkxkxic.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\RunServices: [mouse] mouse.exe
O4 - HKLM\..\RunServices: [microsft windows updates] mwupdate32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/software [...] egular.cab
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
 
 Le fichier infecté par le ver w32.toxbot : mapie32.exe
 J'ai norton antivirus 2004 qui le détecte mais il dit qu'il ne peutr pas le supprimer. Quant au ver trojan il me dit qu'il la détecté et supprimer mais le message réapparait à chaque fois.
Merci d avance!!!

Reply

Marsh Posté le 24-07-2005 à 12:27:23   

Reply

Marsh Posté le 24-07-2005 à 15:06:40    

Bonjour je regarde ton rapport réponse dans un moment

Reply

Marsh Posté le 24-07-2005 à 15:46:13    

Re, télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
 
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne  
 
MAPI Mail Client (MAPI)
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de  C:\WINDOWS\System32\mapi32.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
 
Fais de même avec:
 
Net Functions Library (Netlib) et C:\WINDOWS\System32\Netlib.exe
 
UStorage Server Service OTi et C:\WINDOWS\system32\UStorSrv.exe
 
Désinstalle via ajout suppression de programmes ces applications si elles sont présentes:
 
ISTsvc
SideFind
SurfAccuracy
Internet Optimizer
BullsEye Network
 
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?pr [...] dor&o1=437
 
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
 
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
 
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\Run: [mouse] mouse.exe
O4 - HKLM\..\Run: [microsft windows updates] mwupdate32.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [dieY] C:\WINDOWS\gwkxkxic.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
 
O4 - HKLM\..\RunServices: [Microsoft Update 23] spoolvs.exe
O4 - HKLM\..\RunServices: [mouse] mouse.exe
O4 - HKLM\..\RunServices: [microsft windows updates] mwupdate32.exe
 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
 
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/software [...] egular.cab
 
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
 
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)
 
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe  
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
C:\WINDOWS\nem220.dll
C:\Program Files\SideFind
C:\WINDOWS\System32\msbe.dll
spoolvs.exe< utilise la fonction rechercher localisation probable System32
mouse.exe< idem
mwupdate32.exe
C:\Program Files\ISTsvc
C:\WINDOWS\gwkxkxic.exe
C:\Program Files\SurfAccuracy
C:\Program Files\Internet Optimizer
C:\Program Files\BullsEye Network
C:\WINDOWS\System32\mapi32.exe
C:\WINDOWS\System32\Netlib.exe  
C:\WINDOWS\system32\UStorSrv.exe  
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
Fais analyser ce chemin C:\WINDOWS\Edit.exe sur:
http://virusscan.jotti.org/  
 
Colle l'analyse ici.


Message édité par stonangel le 24-07-2005 à 15:54:01
Reply

Marsh Posté le 24-07-2005 à 18:39:01    

Merci bcp stonangel, je vais effectué toutes ces opérations des que possible et je te poste un nouveau rapport.

Reply

Marsh Posté le 27-07-2005 à 13:21:35    

Bonjour Stonangel,
j ai effectué toute les opérations avec succes.
le prog "SideFind" n 'était pas installé,
je n ai pas trouvé les lignes R3,O2,O2,O2,O4(IST service),O4(diey),O4(Surfaccuray) et les O23.
Je t envoi un nouveau rapport HijacckTHis :
Logfile of HijackThis v1.99.1
Scan saved at 12:24:41, on 27/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
 
J ai égalament fait analyser le chemin C\windows\Edit.exe sur virusscan.jotti.org. Apparement le ver "Trojan" est encore présent.
voici mon rapport:
AntiVir  Found Worm/SdBot.aad.21  
ArcaVir  Found Trojan.Sdbot.Aad  
Avast  Found nothing
AVG Antivirus  Found IRC/BackDoor.SdBot.FMT  
BitDefender  Found Backdoor.SDBot.E3286F41  
ClamAV  Found Trojan.SdBot-738  
Dr.Web  Found BackDoor.IRC.Sdbot  
F-Prot Antivirus  Found nothing
Fortinet  Found W32/SDBot.AAD-bdr  
Kaspersky Anti-Virus  Found Backdoor.Win32.SdBot.aad  
NOD32  Found nothing
Norman Virus Control  Found nothing
UNA  Found nothing
VBA32  Found Backdoor.Win32.SdBot.aad  
 
Le pc semble fonctionner au niveau d internet j ai un site qui veut se lancer tout seul
le démarrage ne pause pas de prb
merci d avance

Reply

Marsh Posté le 27-07-2005 à 15:42:34    

Bonjour, c'est nettement mieux. Merci pour le retour. Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:
 
hexadecimal (HexadecimaRepresentation)  
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de C:\WINDOWS\Edit.exe  dans Type de démarrage, sélectionne Désactiver et valide la modification.  
 
Démarre en mode sans échec. Affiche les fichiers et dossiers cachés. Lance Hijackthis, scan et coche:
 
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
 
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe< celle-ci ne devrait plus être présente
 
Ferme toutes les fenêtres, tous les programmes puis Fix checked
 
Supprime le fichier suivant si toujours présent:
 
C:\WINDOWS\Edit.exe
 
Recache les fichiers sytème.
 
Redémarre normalement. Fais un scan ici:
http://www.pandasoftware.com/activescan/
 
Colle le résultat dans ton prochain message avec un dernier? rapport Hijackthis.
 
 
 
 
 
 
 
 
 

Reply

Marsh Posté le 27-07-2005 à 21:25:35    

Re stonangel,
J ai pris connaissance de tes nouvelles directives et j'ai effectué les diférentes opérations.
Au cours de l apres midi apres avoir fait la premiere manip, j ai installé des outils et des logiciels de sécurité (Zone Alarn,A2free,ADware) j'ai effectué plus scan et supprimé les virus détectés. Par contre Norton m'a signalé qu 'il avait détecté le virus Trojancache... et qu'il ne pouvait pas le suprimer.Je compte desinstallé norton pour installer Avast.Qu'en penses-tu?
je t envoi ce nouveau log de Hijackthis:
 
Logfile of HijackThis v1.99.1
Scan saved at 17:16:18, on 27/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
En ce qui concerne ton dernier message:
 
Bonjour, c'est nettement mieux. Merci pour le retour. Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:  
 
hexadecimal (HexadecimaRepresentation)  
   
Double clique sur la ligne    
Vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de C:\WINDOWS\Edit.exe  dans Type de démarrage, sélectionne Désactiver et valide la modification.  
 
Démarre en mode sans échec. Affiche les fichiers et dossiers cachés. Lance Hijackthis, scan et coche:  
 
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)  
 
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe< celle-ci ne devrait plus être présente  
 
Ferme toutes les fenêtres, tous les programmes puis Fix checked  
 
Supprime le fichier suivant si toujours présent:  
 
C:\WINDOWS\Edit.exe  
 
Recache les fichiers sytème.  
 
Redémarre normalement. Fais un scan ici:  
http://www.pandasoftware.com/activescan/  
 
Colle le résultat dans ton prochain message avec un dernier? rapport Hijackthis.  
 
Il n y avait plus ni le fichier "Edit.exe",ni les lignes O2 et O23
J ai commencer une analyse sur pandasoft, mais j'ai pas pu la terminer. Je vais lancer une autre et je te poste le rapport à l'issue.
 
Encore merci de ton aide et de ta disponibilité.
J'ai une question tu travail pour Hardware ou tu fais ca pour ton plaisir?
A plus tard....

Reply

Marsh Posté le 27-07-2005 à 22:02:08    

Non je suis bénévole... Désinstaller Norton, c'est une bonne idée voir l'excellent tuto de mon ami Tesgaz:
 
http://forum.zebulon.fr/index.php? [...] 38&t=57795

Reply

Marsh Posté le 28-07-2005 à 12:01:06    

Bonjour Stonangel,
Encore moi, je viens de faire un scan sur "pandasotfware" et j'ai plein de spywares et autres virus Trojan. As tu une astuce pour les virer?
Voici mon rapport :
 
 
Incident                      Status                        Location                                                                                                                                                                                                                                                    
 
Spyware:spyware/lowzones      No disinfected                C:\WINDOWS\update-sp2.html                                                                                                                                                                                                                                      
Adware:Adware/MediaTickets    No disinfected                C:\234h1w9k.exe                                                                                                                                                                                                                                                  
Adware:Adware/MediaTickets    No disinfected                C:\234h1w9k.exe[r.bat]                                                                                                                                                                                                                                          
Virus:Trj/Lowzones.IK         No disinfected                C:\234h1w9k.exe[ra.reg]                                                                                                                                                                                                                                          
Virus:Trj/Downloader.DSJ      No disinfected                C:\234h1w9k.exe[a776a8.js]                                                                                                                                                                                                                                      
Adware:Adware/MediaTickets    No disinfected                C:\234h1w9k.exe[update-sp2.html]                                                                                                                                                                                                                                
Adware:Adware/MediaTickets    No disinfected                C:\234h1w9k.exe[update-sp3.html]                                                                                                                                                                                                                                
Adware:Adware/MediaTickets    No disinfected                C:\234h1w9k.exe[update-sp5.html]                                                                                                                                                                                                                                
Adware:Adware/MediaTickets    No disinfected                C:\26h1w9k.exe[update-sp3.html]                                                                                                                                                                                                                                  
Adware:Adware/MediaTickets    No disinfected                C:\26h1w9k.exe[update-sp5.html]                                                                                                                                                                                                                                  
Virus:Trj/Lowzones.IK         No disinfected                C:\26h1w9k.exe[ra.reg]                                                                                                                                                                                                                                          
Adware:Adware/MediaTickets    No disinfected                C:\5864gw9k.exe[r.bat]                                                                                                                                                                                                                                          
Adware:Adware/MediaTickets    No disinfected                C:\5864gw9k.exe[update-sp2.html]                                                                                                                                                                                                                                
Adware:Adware/MediaTickets    No disinfected                C:\5864gw9k.exe[update-sp3.html]                                                                                                                                                                                                                                
Adware:Adware/MediaTickets    No disinfected                C:\5864gw9k.exe[update-sp5.html]                                                                                                                                                                                                                                
Virus:Trj/Lowzones.IK         No disinfected                C:\5864gw9k.exe[ra.reg]                                                                                                                                                                                                                                          
Virus:Trj/Lowzones.IK         No disinfected                C:\5864gw9k.exe[l.exe]                                                                                                                                                                                                                                          
Virus:Trj/Downloader.DSJ      No disinfected                C:\5864gw9k.exe[l.exe][a776a8.js]                                                                                                                                                                                                                                
Virus:Trj/Lowzones.IK         No disinfected                C:\5864gw9k.exe[l.exe][ra.reg]                                                                                                                                                                                                                                  
Virus:Trj/Lowzones.IK         No disinfected                C:\5864gw9k.exe[y.exe]                                                                                                                                                                                                                                          
Virus:Trj/Lowzones.IK         No disinfected                C:\5864gw9k.exe[y.exe][ra.reg]                                                                                                                                                                                                                                  
Spyware:Spyware/BargainBuddy  No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\21YDQDVC\webservice[1].htm                                                                                                                                            
Adware:Adware/MediaTickets    No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4P6NW5YJ\3e8ad79a0434[1].jpg[update-sp3.html]                                                                                                                        
Adware:Adware/MediaTickets    No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4P6NW5YJ\3e8ad79a0434[1].jpg[update-sp5.html]                                                                                                                        
Virus:Trj/Lowzones.IK         No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4P6NW5YJ\3e8ad79a0434[1].jpg[ra.reg]                                                                                                                                  
Spyware:Spyware/YourSiteBar   No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4P6NW5YJ\index[1].htm                                                                                                                                                
Adware:Adware/Tracking        No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K96B4PEZ\advertising[1].htm                                                                                                                                          
Spyware:Spyware/BargainBuddy  No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K96B4PEZ\webservice[2].htm                                                                                                                                            
Spyware:Spyware/ISTbar        No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K96B4PEZ\ysb_prompt[1].htm                                                                                                                                            
Adware:Adware/Tracking        No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NLPWCZ7X\advertising[1].htm                                                                                                                                          
Spyware:Spyware/BargainBuddy  No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NLPWCZ7X\webservice[2].htm                                                                                                                                            
Virus:Trj/Downloader.DSJ      Disinfected                   C:\WINDOWS\a776a8.js                                                                                                                                                                                                                                            
Virus:Trj/Lowzones.IK         Disinfected                   C:\WINDOWS\l.exe                                                                                                                                                                                                                                                
Virus:W32/Sdbot.ftp           Disinfected                   C:\WINDOWS\system32\i                                                                                                                                                                                                                                            
Virus:W32/Imspread.A.worm     Disinfected                   C:\WINDOWS\system32\mswin32.exe                                                                                                                                                                                                                                  
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp2.html                                                                                                                                                                                                                                      
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp3.html                                                                                                                                                                                                                                      
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp5.html                                                                                                                                                                                                                                      
Virus:Trj/Lowzones.IK         Disinfected                   C:\WINDOWS\y.exe                                                                                                                                                                                        Merci.                                                        

Reply

Marsh Posté le 28-07-2005 à 12:19:54    

Bonjour, démarre en mode sans échec. Assure toi d'avoir accès aux fichiers et dossiers cachés et supprime:
 
C:\WINDOWS\update-sp2.html                                                                                                                                                                                                                                        
C:\234h1w9k.exe                                                                                                                                                                                                                                                  
C:\234h1w9k.exe[r.bat]                                                                                                                                                                                                                                            
C:\234h1w9k.exe[ra.reg]                                                                                                                                                                                                                                          
C:\234h1w9k.exe[a776a8.js]                                                                                                                                                                                                                                        
C:\234h1w9k.exe[update-sp2.html]                                                                                                                                                                                                                                  
C:\234h1w9k.exe[update-sp3.html]                                                                                                                                                                                                                                  
C:\234h1w9k.exe[update-sp5.html]                                                                                                                                                                                                                                  
C:\26h1w9k.exe[update-sp3.html]                                                                                                                                                                                                                                  
C:\26h1w9k.exe[update-sp5.html]                                                                                                                                                                                                                                  
C:\26h1w9k.exe[ra.reg]                                                                                                                                                                                                                                            
C:\5864gw9k.exe[r.bat]                                                                                                                                                                                                                                          
C:\5864gw9k.exe[update-sp2.html]                                                                                                                                                                                                                                  
C:\5864gw9k.exe[update-sp3.html]                                                                                                                                                                                                                                  
C:\5864gw9k.exe[update-sp5.html]                                                                                                                                                                                                                                  
C:\5864gw9k.exe[ra.reg]                                                                                                                                                                                                                                          
C:\5864gw9k.exe[l.exe]                                                                                                                                                                                                                                            
C:\5864gw9k.exe[l.exe][a776a8.js]                                                                                                                                                                                                                                
C:\5864gw9k.exe[l.exe][ra.reg]                                                                                                                                                                                                                                    
C:\5864gw9k.exe[y.exe]                                                                                                                                                                                                                                            C:\5864gw9k.exe[y.exe][ra.reg]                                                                                                                                                                                                                                    
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ <le contenu du dossier                                                                                                                                          
 C:\WINDOWS\update-sp2.html                                                                                                                                                                                                                                      
C:\WINDOWS\update-sp3.html                                                                                                                                                                                                                                        
C:\WINDOWS\update-sp5.html                                                                                                                                                                                                                                        
C:\WINDOWS\y.exe
 
Recache les fichiers système et redémarre.
 


Message édité par stonangel le 28-07-2005 à 12:20:40
Reply

Marsh Posté le 28-07-2005 à 12:19:54   

Reply

Marsh Posté le 28-07-2005 à 12:53:34    

J'ai commencé à supprimer 234h1w9k.exe ,5864gw9k.exe,26h1w9k.exe et  C:\WINDOWS\update-sp2.html. je n'ai pas trouver les autres même avec la recherche. J'ai ensuite  redémarré en mode normal et Avast m'a signalé quele sous systeme avait détecter une erreur RPC, ola..... J'ai redémarrer en mode sans eches et j ai tout remis en place. N'est pas dangeureux de supprimer les fichiers de la sorte?

Reply

Marsh Posté le 28-07-2005 à 13:14:32    

Normalement non, ce sont des adware. Crée un point de restauration système puis supprime les fichiers ou télécharge Ewido:
http://www.ewido.net/
Installe et mets à jour.
 
Démarre en mode sans échec, exécute Ewido et poste le rapport dans le forum.
 
NB: A la place de supprimer tu peux aussi renommer les fichiers (si pas de dysfonctionnement au bout de quelques jours tu supprimes):
 
update-sp2.html> update-sp2-html.anc (nom tiret extension point anc)
 
234h1w9k.exe> 234h1w9k-exe.anc
 
 
 
 
 
 

Reply

Marsh Posté le 28-07-2005 à 13:20:57    

OK merci,  
Je crois que l'erreur RPC n'est pas lié à mes suppressions. Je supprime les fichiers et je te tiens au courant.

Reply

Marsh Posté le 28-07-2005 à 14:05:33    

Re j'ai installé Ewido sécurity, voici le rapport :
---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  13:58:59, 28/07/2005
 + Somme de contrôle: 746E6AB2
 
 + Résultats du scan:
 
 HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
 HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Nettoyer et sauvegarder
 HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Nettoyer et sauvegarder
 HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Nettoyer et sauvegarder
 HKU\S-1-5-21-1659004503-484061587-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
 HKU\S-1-5-21-1659004503-484061587-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Nettoyer et sauvegarder
 HKU\S-1-5-21-1659004503-484061587-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Nettoyer et sauvegarder
 HKU\S-1-5-21-1659004503-484061587-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Nettoyer et sauvegarder
 HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Nettoyer et sauvegarder
 HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Nettoyer et sauvegarder
 HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Nettoyer et sauvegarder
 HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Nettoyer et sauvegarder
 C:\5864gw9k.exe/ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
 C:\Documents and Settings\-\Cookies\-@adtech[1].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
 C:\Documents and Settings\-\Cookies\-@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
 C:\Documents and Settings\-\Cookies\-@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
 
 
::Fin du rapport
 
 
Voila, je ferais plus tard un scan avec Avast et les autres logiciels de sécurité.
Merci à plus tard.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed