Après n jours de combats- virus resistants?

cleuziou Messages postés 2 Date d'inscription   Statut Membre -  
cleuziou Messages postés 2 Date d'inscription   Statut Membre -
Bonjour

j'ai essayé de profiter au mieux de tous vos conseils

ce qui n'étais pas facile car pour avoir accès à ce forum
et télécharger des armes de combats
il fallait être connecté (et donc subir des assauts)

accessoirement j'ai été infecté immédiatement lors de ma première connexion lors du déballage de ma toute nouvelle freebox

Il me reste encore des trucs qui bougent
- le système se rallume tout seul
- des pubs qui visiblement sont relancé par un programme qui tourne et qui ne veut pas se détruire

voici donc l'audit Highjack d'usage
et merci pour vous les gardiens des frontières

Logfile of HijackThis v1.99.1
Scan saved at 20:22:22, on 12/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\system32\iaselper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wiavusd.exe
C:\WINDOWS\system32\fxssvc.exe
C:\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\Aprps\cxtpls.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [v45lu] C:\WINDOWS\lcltwmco.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [vùõš/‚²ÆßfÏNb­»1÷C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\lcltwmco.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [u73R3nP] iaselper.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fws5Rhj8S] wiavusd.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://imin.cvf.fr/imin_data/ocx/MDM.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Configuration: PC HP
Windows XP sp2

7 réponses

  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    désolé cleuziou, je ne peux pas m'occuper de toi mais ne quitte pas le forum, tu vas etre pris en charge, surtout que ta becanne et bourrée de saletés alors prend patienc equelques instant.

    Regis moe ou balltrap vont te recupérer

    pas vrai les gars.

    salut à tous fin du WE

    jean
    0
  2. bernie61
     
    salut
    1. Tu connais ça vérifie (cliq droit souris/propriété) sinon ZIP (compresse) et efface le .EXE
    C:\WINDOWS\system32\wiavusd.exe > à checker
    C:\WINDOWS\lcltwmco.exe > à checker

    2. Relances Hijackthis et coche (puis FIX)
    O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\Aprps\cxtpls.dll > trojan selon PestPatrol
    O4 - HKLM\..\Run: [v45lu] C:\WINDOWS\lcltwmco.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE > SDbot Worm
    O4 - HKLM\..\Run: [v ùõš/‚²Æ ßfÏNb¬»1÷C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\lcltwmco.exe
    O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
    O4 - HKLM\..\Run: [u73R3nP] iaselper.exe
    O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
    O4 - HKCU\..\Run: [fws5Rhj8S] wiavusd.exe
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert .cab
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://imin.cvf.fr/imin_data/ocx/MDM.cab

    3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
    C:\Program Files\AutoUpdate\AutoUpdate.exe > effacer tout le répertoire AutoUpdate
    C:\WINDOWS\system32\iaselper.exe
    C:\Program Files\Aprps\cxtpls.dll > trojan
    C:\WINDOWS\lcltwmco.exe
    C:\UNMT.EXE
    C :…SndMon32.exe
    C :…wiavusd.exe

    4. vider les répertoires temps et la corbeille
    Refais un hijackthis de contrôle

    a+
    0
  3. Utilisateur anonyme
     
    Salut

    Si tu ne les a pas déjà:
    Télécharge:

    * Spybot S&D version 1.4:
    http://spybot.safer-networking.de/fr/mirrors/index.html
    l'aide:
    http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02

    * Ad-aware 1.06:
    http://www.lavasoftusa.com/french/support/download/
    Télécharger l'aide:
    http://get.yourfile.net/jt48750.zip

    Bien lire l'aide, et mettre à jours avant de les utiliser.

    Déconnecte toi d'internet:

    Vide le cache d'Internet Explorer et supprime les cookies:

    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    clic sur ok pour valider
    (accepte le redemarrage).

    Redémarre en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher " afficher les fichiers et dossiers cachés "
    Décocher " masquer les extentions des fichiers dont le type est connu
    Décocher " masquer les fichiers protégés du système"
    clic sur ok pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur "do a system scan only"
    cocher la case au début des lignes suivantes:

    O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\Aprps\cxtpls.dll
    O4 - HKLM\..\Run: [v45lu] C:\WINDOWS\lcltwmco.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKLM\..\Run: [vùõš/‚²ÆßfÏNb­»1÷C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\lcltwmco.exe
    O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
    O4 - HKLM\..\Run: [u73R3nP] iaselper.exe
    O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
    O4 - HKCU\..\Run: [fws5Rhj8S] wiavusd.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://imin.cvf.fr/imin_data/ocx/MDM.cab

    valider avec [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Rechercher et supprimer:
    Dans le cas ou tu utiliserais la fonction Rechercher:
    Assure toi que dans:
    Tous les fichiers et tous les dossiers >> Options avancées
    • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
    • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
    • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

    Supprime en suivant le chemin des fichiers infectés

    si présent:

    C:\WINDOWS\system32\SndMon32.exe
    C:\WINDOWS\system32\iaselper.exe
    C:\WINDOWS\system32\wiavusd.exe
    C:\WINDOWS\lcltwmco.exe
    C:\UNMT.EXE
    stcloader.exe
    C:\Program Files\ISTsvc
    C:\Program Files\AutoUpdate
    C:\program files\cxtpls

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Temp
    * C:\Windows\Temp
    vider tout le contenu des dossiers en gras.

    :: Le contenu du dossier prefetch ::

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    * Ne pas oublier de vider la corbeille !

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Redemarre normalement, et ensuite fais un scan AV ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Accepte le control active x
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

    Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers

    a+
    0
  4. Utilisateur anonyme
     
    salut bernie

    bah, trop rapide grillé lol
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    lol vouus battez pas pour ce poste les gars lol, vous vous ennuyez ou quoi? lol

    a+

    au passage, salutations a moe et bernie
    0
  7. bernie61
     
    salut à tous
    on ressemble aux mousquetaires là, tous pour un, un pour tous

    a+
    0
  8. cleuziou Messages postés 2 Date d'inscription   Statut Membre
     
    merci
    à tous

    je prend un peu de temps
    je suis actuellement bloqué hors de la matrice...

    j'ai par erreur déplacé le ficher boot ntldr.exe
    du coup je ne démarre plus...

    je suis en train de me fabriquer
    des disquettes de démarrage
    pour windows xp home
    sur une autre machine

    j'espère pouvoir refaire surface ce we
    pour enfin continuer de mettre en oeuvre vos conseils
    0