Besoin d'une petite analyse, S'il vous plait!

Résolu
Charly -  
 Utilisateur anonyme -
Bonjour,
mon PC vient d'être virusé.
En faisant une analyse antivirus, Bitdefender me détecte bien : "BehavesLike:Win32.ExplorerHijack"
Après plusieurs analyses sur adaware / spy sweeper...

J'ai fait un log, voilà ce que ca donne

Logfile of HijackThis v1.99.1
Scan saved at 15:28:49, on 10/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSec.exe
d:\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
D:\Norton Ghost\Agent\GhostTray.exe
D:\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
D:\BITDEF~1\bdlite.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\Logiciels\Virus de merde\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hp1717.tmp
O4 - HKLM\..\Run: [Norton Ghost 9.0] d:\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [BDMCon] D:\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] D:\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128282998868
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton Ghost - Symantec Corporation - d:\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Quelqu'un pourrait'il m'aider s'il vous plait
Merci d'avance.

10 réponses

  1. bernie61
     
    salut
    vérifie ces 2 process
    C:\WINDOWS\system32\mssearchnet.exe
    C:\WINDOWS\system32\nvctrl.exe
    là là http://virusscan.jotti.org/ fichier par fichier Parcourir puis SEND lance ce multiple scanneur antivirus

    si mauvais effaces manuellement
    a+
    0
    1. Charly
       
      Merci Bernie 61,
      j'ai testé ton lien, il reconnait bien les fichiers comme infecté, mais je ne peux pas les supprimer manuellement...car les ressources sont déjà utilisés par le pc...et je ne peux pas les virer avec Ctrl/Alt/Sup
      0
  2. Utilisateur anonyme
     
    salut bernie,

    lool

    On peut tester un truc?
    Télécharge ceci: (merci a S!RI pour ce petit programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    a+
    0
    1. Charly
       
      Bonjour Régis
      voici après manip le résultat:

      SmitFraudFix v2.06

      Rapport fait à 16:02:37,82 le 10/12/2005
      Executé à partir de d:\Charly\Bureau
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

      C:\WINDOWS\system32\hp????.tmp PRESENT !
      C:\WINDOWS\system32\ld????.tmp PRESENT !
      C:\WINDOWS\system32\mscornet.exe PRESENT !
      C:\WINDOWS\system32\mssearchnet.exe PRESENT !
      C:\WINDOWS\system32\msvol.tlb PRESENT !
      C:\WINDOWS\system32\ncompat.tlb PRESENT !
      C:\WINDOWS\system32\nvctrl.exe PRESENT !
      C:\WINDOWS\system32\ot.ico PRESENT !
      C:\WINDOWS\system32\ts.ico PRESENT !
      C:\WINDOWS\system32\1024\ PRESENT!

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Charly\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
      "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
      "{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}"="Reload Browse"

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


      Une idée??
      0
  3. Charly
     
    Quelques news (et des bonnes!)
    j'ai pu supprimer les 2 fichiers que Bernie me disait.
    A priori, je n'ai plus de virus, cependant il me reste un problème:

    à chaque fois que je démarre Internet Explorer, il démarre sur une pseudo page (voulant me refourguer des antivirus) autre que celle de google, pourtant elle est bien configurée dans les options d'IE. Et à chaque fois que je mets l'adresse de Google dans IE, il me renvoie sur cette même pseudo page.
    0
  4. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonsoir,

    Pour avancer regis59,

    - Redémarre le PC en mode sans échec (Tu tapotes sur la touche F8 de ton clavier et tu choisis le mode SANS ECHEC)
    - Tu relances SmitfraudFix cette fois-ci en choisissant l'option 2.
    Colle le rapport ensuite.

    Tu peux également vider le contenu de ces dossiers :

    C:\Documents and Settings\ton compte\Local Settings\Temp
    C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    C:\Windows\Temp
    C:\Windows\Prefetch [supprime tout sauf le fichier nommé " layout.ini"]

    @+
    0
    1. Charly
       
      Ok, merci Kristopher
      je viens d'effacer certains fichiers à partir du mode sans échec, voilà le topo:

      SmitFraudFix v2.06

      Rapport fait à 17:45:07,48 le 10/12/2005
      Executé à partir de F:\Logiciels\Virus de merde
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

      C:\WINDOWS\system32\hp????.tmp supprimé
      C:\WINDOWS\system32\ld????.tmp supprimé
      C:\WINDOWS\system32\mscornet.exe supprimé
      C:\WINDOWS\system32\mssearchnet.exe supprimé
      C:\WINDOWS\system32\msvol.tlb supprimé
      C:\WINDOWS\system32\ncompat.tlb supprimé
      C:\WINDOWS\system32\nvctrl.exe supprimé
      C:\WINDOWS\system32\ot.ico supprimé
      C:\WINDOWS\system32\ts.ico supprimé
      C:\WINDOWS\system32\1024\ supprimé


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


      Ca a l'air d'être pas mal comme ça ?
      Y a t-il encore d'autres choses à faire pour bien cleaner?
      0
    2. Kristopher Messages postés 3752 Statut Contributeur 106
       
      re,

      As-tu vidé le contenu des dossiers comme je te l'avais dis ?
      Pour vérifier, scannes ton PC via cet antivirus en ligne : http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

      Poste le rapport ensuite

      @+
      0
      1. Charly > Kristopher Messages postés 3752 Statut Contributeur
         
        Pour répondre à ta question, je n'ai pas pu supprimer tous les fichiers dans le répertoire C:\WINDOWS\Temp
        certains sont -parait-il- utilisés actuellement par le PC...

        Sinon le reste, j'ai pu supprimer manuellement sans problème.

        Je mets le rapport d'Active Scan dans quelques minutes et le log HT.
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut

    merci kristopher de m avoir relayé ;-)

    Peux tu remettre un hijack this?

    a+
    0
    1. Kristopher Messages postés 3752 Statut Contributeur 106
       
      Ce fut un plaisir cher regis59 ;)

      Pour les rapport HijackThis, je laisse les pros du forum s'en occupé ;)

      @+
      0
  7. Utilisateur anonyme
     
    Ne t en vas pas lol

    Reste, t es pas bien ici?
    0
    1. Kristopher Messages postés 3752 Statut Contributeur 106
       
      regis 59, ne t'inquiettes pas - je veille pour le moment ^^

      Charly, pour C:\Windows\Temp c'est normal qu'il ne supprime pas son integralité, moi aussi ça me le fait.

      Ok reposte le scan de Panda et ton log HT

      @+
      0
      1. Charly > Kristopher Messages postés 3752 Statut Contributeur
         
        Voilà déjà pour le log HT

        Logfile of HijackThis v1.99.1
        Scan saved at 18:24:40, on 10/12/2005
        Platform: Windows XP SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\Explorer.EXE
        D:\Norton Ghost\Agent\GhostTray.exe
        D:\BITDEF~1\bdmcon.exe
        C:\WINDOWS\System32\GEARSec.exe
        d:\Norton Ghost\Agent\PQV2iSvc.exe
        C:\WINDOWS\system32\LVCOMSX.EXE
        C:\Program Files\Logitech\Video\LogiTray.exe
        C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
        C:\WINDOWS\system32\spupdsvc.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
        C:\WINDOWS\system32\wdfmgr.exe
        C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
        C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
        C:\WINDOWS\system32\spnpinst.exe
        C:\Program Files\Logitech\Video\FxSvr2.exe
        C:\WINDOWS\system32\Sysocmgr.exe
        C:\WINDOWS\System32\alg.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        F:\Logiciels\Virus de merde\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp72A6.tmp (file missing)
        O4 - HKLM\..\Run: [Norton Ghost 9.0] d:\Norton Ghost\Agent\GhostTray.exe
        O4 - HKLM\..\Run: [BDMCon] D:\BITDEF~1\bdmcon.exe
        O4 - HKLM\..\Run: [BDNewsAgent] D:\BITDEF~1\bdnagent.exe
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
        O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
        O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
        O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
        O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
        O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
        O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
        O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
        O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
        O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128282998868
        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
        O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
        O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
        O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
        O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
        O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
        O23 - Service: Norton Ghost - Symantec Corporation - d:\Norton Ghost\Agent\PQV2iSvc.exe
        O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
        O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
        O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

        Le scan arrive
        0
      2. Charly > Charly
         
        Et bien le scan n'a rien décelé.
        Merci Kristopher, ca a l'air d'être clean. Le log que j'ai mis est clean aussi?
        0
  8. Utilisateur anonyme
     
    re

    ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp72A6.tmp (file missing)

    et pour moi c est ok
    0
  9. Charly
     
    OK, merci pour votre aide à tous, mon problème est résolu.
    1000x merci et en plus d'être aussi rapide

    Salut
    0
  10. Utilisateur anonyme
     
    salut

    le cheque est a l ordre de ccm lol

    Cree un point de restauration,cela pourrais t etre utile

    a+
    0