KillReg et Rbot Fermé

Question

bonjour ! lors d'un scan avec Rav antivirus j'ai decouver que les fichier c:windows\autoclk.exe et c:windows\system32\mswi32.pif etait respectivement infecter par Killreg et Rbot (trajan). apres un reboot en safe mode et avoir coupé la restauration systeme, j'ai supprimer manuelement les deux fichiers et viderla corbeille. un scan avec Antivir, a squared, search and dertroy, et adaware non rien donner. reboot en mode normal et scan avec Hijackthis : pourriez me donnez votre avis sur ce dernier ??Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AVPersonal\AVGUARD.EXEC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\PAStiSvc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\AVPersonal\AVGNT.EXEC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeD:\Sauvegarde\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.emsisoft.com/redir/?t=upd7&l=Français&v=1.5R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocxO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [Wind Security] mswi32.pifO4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /minO4 - HKLM\..\RunServices: [Wind Security] mswi32.pifO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Wind Security] mswi32.pifO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\RunServices: [Wind Security] mswi32.pifO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htmO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: STI Simulator - Unknown - C:\WINDOWS\System32\PAStiSvc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exemerci d'vance a tous !

Real Mona · Answer

Bonjour, Imprime ceci pour ne rien oublier de faire :Méthode à suivre dans l'ordre... ---------------------------------------------------------------------------- ¤Télécharge ces logiciels (si tu ne les as pas) mais que tu n‘utilises pas tout de suite: 1/Spybot S&D 1.4 <<nouvelle versionhttp://www.safer-networking.org/fr/index.html Démo d’utilisation (merci à Balltrap34 pour cette réalisation)http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm2/Ad-Aware SE 1.06 <<nouvelle versionhttp://www.lavasoftusa.com/software/adaware/ -Une aide:http://www.tutopat.com/viewtopic.php?t=1191 - installe le patch français, tu pourras le trouver ici: http://download.lavasoft.de.edgesuite.net/public/pllangs.exe et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)http://pageperso.aol.fr/balltrap34/adawrevid.asf 3/Clean Up 40:http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci à Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm---------------------------------------------------------------------------- Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! (Si F8 ne marche pas utilise la touche F5) ---------------------------------------------------------------------------- Désactive ta restauration système (si tu es sous XP): Clic droit sur poste de travail puis, propriété, tu cliques sur onglet restauration système tu coches la case « désactiver la restauration » et applique ---------------------------------------------------------------------------- Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/option des dossiers/affichage Coche « afficher les fichiers et dossiers cachés » Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décoche « masquer les extensions dont le type est connu » Puis fais «Ok» pour valider les changements. Et appliquer ! ---------------------------------------------------------------------------- Vide tes fichiers temps et tempory internet file: utilise ceci pour le faire (tu as téléchargé avant)  http://pageperso.aol.fr/balltrap34/CleanUp40.exe ---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O4 - HKLM\..\Run: [Wind Security] mswi32.pifO4 - HKLM\..\RunServices: [Wind Security] mswi32.pifO4 - HKCU\..\Run: [Wind Security] mswi32.pifO4 - HKCU\..\RunServices: [Wind Security] mswi32.pif----------------------------------------------------------------------------¤ Passe Ad-Aware et vire tout ce qu’il trouve ----------------------------------------------------------------------------¤ Passe Spybot et vire tout ce qu’il trouve ----------------------------------------------------------------------------> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis que tu copies entièrement car dans celui que tu as mis, il manque notamment les premières lignes A+M.

olivier · Answer

apres a voir suivi tes indications voici le nouveau scan de Hijackthis : Logfile of HijackThis v1.99.0Scan saved at 12:57:45, on 14/10/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\AVPersonal\AVGUARD.EXEC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\PAStiSvc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\AVPersonal\AVGNT.EXEC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeD:\Sauvegarde\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.emsisoft.com/redir/?t=upd7&l=Français&v=1.5R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /minO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Wind Security] mswi32.pifO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\RunServices: [Wind Security] mswi32.pifO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htmO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: STI Simulator - Unknown - C:\WINDOWS\System32\PAStiSvc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exea savoir que search and destroy, a squared antivir et adaware non rien trouvé de suspect...

Real Mona · Answer

Re,C'est bien ce qu'il me semblait, tu n'as pas la bonne version de HijackThis.Télécharge là ici http://www.hijackthis.de/downloads/hijackthis_199.zip  et surtout dézippe et enregistre HijackThis dans son propre dossier, ex : c:\mes documents\hijack\hijackthis.exerelance le et reposte moi le log.A touteM.

olivier · Answer

ok desolé ! voici donc le nouveau scan avec cette nouvelle version : à noté que mon pc plante regulierement ! tout ce bloque les programmes ne reponde plus ..............encore merci de ton aide : Logfile of HijackThis v1.99.1Scan saved at 13:26:00, on 14/10/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AVPersonal\AVGUARD.EXEC:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\PAStiSvc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\AVPersonal\AVGNT.EXEC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeD:\Sauvegarde\hijackthis_199\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.emsisoft.com/redir/?t=upd7&l=Français&v=1.5R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /minO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Wind Security] mswi32.pifO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\RunServices: [Wind Security] mswi32.pifO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htmO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Real Mona · Answer

Re, ---------------------------------------------------------------------------- Démarre en mode sans échec et déconnecte toi du net (enlève la prise par exemple)---------------------------------------------------------------------------- Désactive ta restauration système ---------------------------------------------------------------------------- Affiche tous les fichiers et dossiers---------------------------------------------------------------------------- ¤Vide tes fichiers temps et tempory internet file---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O4 - HKCU\..\Run: [Wind Security] mswi32.pifO4 - HKCU\..\RunServices: [Wind Security] mswi32.pifO23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe tu fixes cette ligne si tu ne connais pas ce programme !---------------------------------------------------------------------------- Recherche et supprime ceci: attention seulement les fichiers (si présents) C:\WINDOWS\System32\PAStiSvc.exe même remarque si tu ne connais pas tu supprimes le fichier----------------------------------------------------------------------------  ¤Arrête ce service (toujours pareil si tu ne connais pas tu arrêtes ce service !): Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: STI Simulator	Règle-le sur "Arrêté" et "Désactivé". ---------------------------------------------------------------------------- ¤ Passe Ad-Aware et vire tout ce qu’il trouve ---------------------------------------------------------------------------- ¤ Passe Spybot et vire tout ce qu’il trouve ---------------------------------------------------------------------------- > Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis Par ailleurs, deux petits conseils : 1/ installe un pare-feu (ou firewall) Si tu utilises celui de XP désactive le et installe http://download.zonelabs.com/bin/free/fr/download/comparison.html Pour désactiver ton firewall Windows XP tu fais la chose suivante :clique sur le bouton Démarrer, sur Paramètres, puis double clique sur Connexion Réseau. Sélectionne ta connexion puis clique dessus avec le bouton droit de la souris. Choisis la commande Propriétés. Dans l'onglet Avancé, décoche la case Protéger mon ordinateur et le réseau... Valide par OK2/ quand tes problèmes seront résolus, fais un windows update !A+ M.

KillReg et Rbot

5 réponses

Discussions similaires