Plusieurs virus (dont SpySheriff)

Résolu
dcelyne Messages postés 130 Statut Membre -  
dcelyne Messages postés 130 Statut Membre -
Bonjour,
Je suis désolée d'avoir à vous demander de l'aide, mais j'ai fait de mon côté tout ce que j'ai pu. Maintenant, je ne sais plus quoi essayer...

J'ai 2 ordis. Celui des enfants est en réseau sur le mien.

Mon plus vieux est venu à la maison et a joué dans "l'ordi des enfants". Je suis très bien protégée (anti-virus mis-à-jour tous les jours, firewall, Spybot S&D avec TeaTimer, WinPatrol, etc.). Mais lui, il a dû accepter des changements que j'aurais refusé. J'ai voulu nettoyer l'ordi après son passage.

J'ai perdu le lien, je crois que c'était sur PCAstuces. Mais j'ai suivi toutes les étapes de la bonne installation de HijackThis.

J'ai fait toutes les étapes (toutes les pages) de
http://pcastuces.com/pratique/windows/services/page1.htm (Désactiver les services inutiles)

Je n'ai rien vu de particulier dans le log de HijackThis, mais je ne m'y connais pas à ce point...

Le 3 août, j'ai le virus SpySheriff et 2 icônes identiques à celui du programme Killbox dans ma barre de tâches.

J'ai refait un HijackThis, il était complètement différent de la veille.

http://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.html

À l'étape 7 (scan avec Ewido), il y avait 24 virus-spywares-malwares-etc.

J'ai fait toutes les étapes une à une, sauf :

Étape 7.2 : je n'ai pas trouvé ça.
Étape 9. et 10. : SpySheriff n'était plus là (je ne sais pas s'il y était avant, je n'avais pas essayé de le désinstaller).

Étape 11. : Le seul que j'aie trouvé était C:\winstall.exe.

J'ai repris un à un à partir de 12.

J'ai remis le fond d'écran originel.

J'ai refait un HijackThis et j'ai coché les items suivants :
04 - HKLM\..\Run: [wicwinh] C:\Windows\System32\wicwinh.exe
04 - HKLM\..\Run: [System] C:\Windows\System32\kernels.exe

Pour les 3 derniers liens en bas de page, tous les "Symptoms in a HijackThis Log" étaient négatifs.

Vidage de Corbeille, redémarrage en mode normal.
kernels.exe et SpySheriff sont revenus.
Dans la barre des tâches, j'ai encore deux icônes identiques à celles de Killbox, en plus d'une nouvelle que je n'arrive pas à identifier.
Mon fond d'écran est ok.

SpySheriff ouvre de temps à autre (trop souvent à mon goût !).

J'ai refait un scan de RavAntivirus, puis un HijackThis.
À ce niveau, je ne sais plus quoi faire.

J'ai conservé tous les logs. Voici les derniers de RavAntivirus et de HijackThis :

Scan started at 2005-08-04 16:21:11

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

Scanned
============================
Objects: 24908
Directories: 2248
Archives: 799
Size(Kb): 448714
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 1
Disinfected files: 0
Mail files: 85

HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 16:54:49, on 2005-08-04
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\winstall.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinPatrol Plus] C:\PROGRA~1\WINPAT~1\WINPAT~1.EXE
O4 - HKLM\..\Run: [xicwinh] C:\WINDOWS\System32\xicwinh.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://67.15.58.53/download/cfweb_67.15.58.53-download_instmodule.exe
O16 - DPF: {4F5E4276-C120-11D6-A1FD-00508B9D48EA} (dldisplay Class) - http://www.gamehouse.com/ghdlctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119832197714
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC283012-1090-44B9-8FBD-0B8F780780CA}: NameServer = 192.168.0.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Est-ce que quelqu'un pourrait m'aider à résoudre mes problèmes svp ? J'apprécierais énormément...
Ensuite, je mettrai un log de mon propre ordi, pour être certaine que ces virus ne se sont pas propagés.

Je vous remercie à l'avance !

7 réponses

  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    tu le decompresse tu double clik dessus et tu choisi l option 1
    cela vas generer un rapport donne nous le

    redemarre en sans echec

    relance le et choisi cette fois l option 2 et repond oui a tous
    redemarre et donne le nouveau rapport

    redemarre

    et completer a la fin par hijack
    0
  2. dcelyne Messages postés 130 Statut Membre 11
     
    Premièrement, merci de m'avoir répondu ! C'est fou ce que le temps peut paraître long quand un virus/trojan/cequetuvoudras nous inquiète lol

    Ok. Alors voici le premier rapport en mode normal :
    SmitFraudFix v1.5

    Rapport fait à 17:53:08,30 le 2005-08-04
    Executé à partir de C:\Documents and Settings\Les Gars\Bureau\Virus de Martin\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    C:\winstall.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    C:\WINDOWS\desktop.html PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    C:\WINDOWS\system32\kernels32.exe PRESENT !
    C:\WINDOWS\system32\vxh8jkdq?.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Les Gars\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    C:\Program Files\SpySheriff\PRESENT!

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Je fais le reste et je reviens poster les résultats.
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    0
  4. dcelyne Messages postés 130 Statut Membre 11
     
    SmitFraudFix v1.5

    Rapport fait à 18:00:36,38 le 2005-08-04
    Executé à partir de C:\Documents and Settings\Les Gars\Bureau\Virus de Martin\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\winstall.exe supprimé
    C:\WINDOWS\desktop.html supprimé
    C:\WINDOWS\system32\kernels32.exe supprimé
    Problème suppression C:\WINDOWS\system32\vxh8jkdq?.exe

    C:\Program Files\SpySheriff\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Je redémarre et j'envoie le HijackThis
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dcelyne Messages postés 130 Statut Membre 11
     
    Et le dernier HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 18:09:50, on 2005-08-04
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\DU Meter\DUMeter.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\PROGRA~1\WINPAT~1\WINPAT~1.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\dllhost.exe
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\Program Files\ewido\security suite\ewidoguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\svchost.exe
    C:\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [WinPatrol Plus] C:\PROGRA~1\WINPAT~1\WINPAT~1.EXE
    O4 - HKLM\..\Run: [xicwinh] C:\WINDOWS\System32\xicwinh.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
    O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
    O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://67.15.58.53/download/cfweb_67.15.58.53-download_instmodule.exe
    O16 - DPF: {4F5E4276-C120-11D6-A1FD-00508B9D48EA} (dldisplay Class) - http://www.gamehouse.com/ghdlctl.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119832197714
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
    O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EC283012-1090-44B9-8FBD-0B8F780780CA}: NameServer = 192.168.0.1
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
    O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Merci de m'aider, c'est vraiment gentil !
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki mais la je suis obliger de quitter demain boulot de bonne heure lol
    je revient demain soir
    verifie ceci pour ton fond d ecran si probleme avec celui ci
    Démarrer > panneau de configuration > affichage
    clic sur l'onglet bureau
    clic sur personnalisation du bureau
    clic sur l'onglet Web
    supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
    une fois fait, ca doit etre comme sur cette image:
    http://get.yourfile.net/ie52977.gif

    puis remet un fond d'écran
    0
  8. dcelyne Messages postés 130 Statut Membre 11
     
    Alors passe une bonne nuit ;-)

    "Ma page d'accueil" n'est plus la. Je n'ai qu'une seule option qui est l'icone utilisateur que mon fils utilise.

    En tout cas, ma barre des tâches semble normale pour l'instant, et le fond d'écran aussi.
    Je vois bien dans les logs qu'il reste plusieurs éléments.
    J'espère que le SpySheriff ne reviendra pas en attendant, mais au moins je sais comment m'en débarrasser.

    Un grand merci de m'avoir aidée !

    J'attends à demain soir pour que tu reviennes, ou si quelqu'un d'autre accepterais gentiment de prendre la relève ?
    Faut vraiment aimer ça, analyser tous ces logs, oufff...
    0