W32spybot.worm

Résolu
bden Messages postés 4 Statut Membre -  
S!Ri Messages postés 932 Statut Contributeur sécurité -
Bonjour,

J'ai chopé le virus W32spybot.worm sur le fichier winsystem32.exe.
Malgré Norton et la destruction des valeurs dans les registres, je ne parviens pas à m'en débarassé.
Windows NT 2000

Que faire

Merci d'avance
Configuration: windows NT 2000

5 réponses

  1. bden Messages postés 4 Statut Membre
     
    je ne suis pas expert . pourriez vous m'expliquer ce que je dois faire
    Merci
    0
  2. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Télécharge HijackThis à cette adresse:

    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/29061.html

    Met le contenu du zip dans un répertoire. (Par exemple sur ton bureau dans un répertoire HijackThis) et Execute le.

    Click sur le bouton [Do a System Scan and Save a logFile].
    Poste le log (rapport) en complet ici.
    0
    1. bden Messages postés 4 Statut Membre
       
      Logfile of HijackThis v1.99.0
      Scan saved at 20:13:55, on 25/01/2005
      Platform: Windows 2000 SP2 (WinNT 5.00.2195)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      C:\WINNT\System32\svchost.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINNT\System32\nvsvc32.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\System32\mspmspsv.exe
      C:\WINNT\Explorer.EXE
      C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
      C:\PROGRA~1\NORTON~1\navapw32.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      C:\WINNT\System32\rundll32.exe
      C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE
      C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE
      C:\WINNT\System32\NotifyPhoneBook.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\WINNT\System32\winhelp.exe
      C:\Program Files\Spyware Nuker 2004\swn2.exe
      C:\WINNT\System32\internat.exe
      C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
      C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\PROGRA~1\WINZIP\winzip32.exe
      C:\Documents and Settings\Bernard Denis\Bureau\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.be/0SEFRBE/SAOS01
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
      O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
      O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
      O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
      O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
      O4 - HKLM\..\Run: [Microsoft Windows Update Service] winhelp.exe
      O4 - HKLM\..\Run: [Spyware Nuker] C:\Program Files\Spyware Nuker 2004\swn2.exe /h
      O4 - HKLM\..\Run: [Windows System32] winsystem32.exe
      O4 - HKLM\..\RunServices: [Microsoft Windows Update Service] winhelp.exe
      O4 - HKLM\..\RunServices: [Windows System32] winsystem32.exe
      O4 - HKCU\..\Run: [internat.exe] internat.exe
      O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
      O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
      O4 - HKCU\..\Run: [Windows System32] winsystem32.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
      O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/292d3cd5aa281a468a05/netzip/RdxIE601_fr.cab
      O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
      O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{56E02480-79C5-4B8B-98C8-980BAB2C55C4}: NameServer = 195.238.2.21 195.238.2.22
      O23 - Service: Avertissement - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Gestion d'applications - Unknown - C:\WINNT\system32\services.exe
      O23 - Service: AutoComplete Service - Unknown - C:\PROGRA~1\INTERN~2\autocomp.exe (file missing)
      O23 - Service: Explorateur d'ordinateur - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Client DHCP - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINNT\System32\dmadmin.exe
      O23 - Service: Gestionnaire de disque logique - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Client DNS - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Journal des événements - Unknown - C:\WINNT\system32\services.exe
      O23 - Service: Service de télécopie - Unknown - C:\WINNT\system32\faxsvc.exe
      O23 - Service: Serveur - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Station de travail - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Service d'application d'assistance TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Affichage des messages - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
      O23 - Service: DSDM DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
      O23 - Service: Ouverture de session réseau - Unknown - C:\WINNT\System32\lsass.exe
      O23 - Service: Fournisseur de la prise en charge de sécurité LM NT - Unknown - C:\WINNT\System32\lsass.exe
      O23 - Service: AOpen NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
      O23 - Service: Plug-and-Play - Unknown - C:\WINNT\system32\services.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
      O23 - Service: Agent de stratégie IPSEC - Unknown - C:\WINNT\System32\lsass.exe
      O23 - Service: Emplacement protégé - Unknown - C:\WINNT\system32\services.exe
      O23 - Service: Gestionnaire de comptes de sécurité - Unknown - C:\WINNT\system32\lsass.exe
      O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINNT\System32\SCardSvr.exe
      O23 - Service: Carte à puce - Unknown - C:\WINNT\System32\SCardSvr.exe
      O23 - Service: Planificateur de tâches - Unknown - C:\WINNT\system32\MSTask.exe
      O23 - Service: Service d'exécution par délégation - Unknown - C:\WINNT\system32\services.exe
      O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe
      O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      O23 - Service: Journaux et alertes de performance - Unknown - C:\WINNT\system32\smlogsvc.exe
      O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
      O23 - Service: Client de suivi de lien distribué - Unknown - C:\WINNT\system32\services.exe
      O23 - Service: Gestionnaire d'utilitaires - Unknown - C:\WINNT\System32\UtilMan.exe
      O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
      O23 - Service: Horloge Windows - Unknown - C:\WINNT\System32\services.exe
      O23 - Service: Infrastructure de gestion Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
      O23 - Service: Extensions du pilote WMI - Unknown - C:\WINNT\system32\Services.exe
      0
    2. bernie61
       
      salut
      vu ceci
      http://www.spywarewarrior.com/rogue_anti-spyware.htm#sites

      commence par désinstaller Spyware Nuker, tu seras déjà moins malade

      ensuite redémarre mode sans échec (ou VGA) et fais rechercher NOM fichier ( winsystem32.exe )et là tu sauras effacer

      refais ensuite log Hijackthis qu'on termine le nettoyage
      a+
      0
      1. S!Ri Messages postés 932 Statut Contributeur sécurité 10 > bernie61
         
        Salut bernie61,

        Bien vu
        :-)
        0
      2. bernie61 > S!Ri Messages postés 932 Statut Contributeur sécurité
         
        salut S!Ri

        c'est ça le travail en commun, il y a de place pour tout le monde, toutes idées bonnes à prendre
        et pour celui qui est infecté, c'est une confirmation si 2 réponses se croisent

        allez, bonne continuation à toi aussi

        a+
        0
      3. S!Ri Messages postés 932 Statut Contributeur sécurité 10 > S!Ri Messages postés 932 Statut Contributeur sécurité
         
        Oui, un travail d'équipe !
        2 avis vallent mieux qu'1.
        A++
        0
  3. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Redemarre en mode sans echec (tapote F5 ou F8 dès le démarrage de l'odinateur)
    Lance HijackThis,
    Clique sur [Do a system scan only]
    coche puis fixe les lignes suivantes: (en cliquant sur [Fix checked] une fois coché)

    O4 - HKLM\..\Run: [Microsoft Windows Update Service] winhelp.exe
    O4 - HKLM\..\Run: [Windows System32] winsystem32.exe
    O4 - HKLM\..\RunServices: [Microsoft Windows Update Service] winhelp.exe
    O4 - HKLM\..\RunServices: [Windows System32] winsystem32.exe
    O4 - HKCU\..\Run: [Windows System32] winsystem32.exe
    O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab

    Affiche tous les fichiers et dossiers :
    Clique sur démarrer, paramètres, panneau de configuration, option des dossiers, affichage:
    Coche "Afficher les fichiers et dossiers cachés"
    Décoche "Masquer les extensions dont le type est connu"
    Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Valide par "Ok"

    Efface les fichiers en gras:
    C:\WINNT\System32\winsystem32.exe
    C:\WINNT\System32\winhelp.exe

    et vide la corbeille
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. bden Messages postés 4 Statut Membre
     
    Merci beaucoup. Le problème est résolu
    0