infecté par downloader ruin et unspypc

Question

Bonjour
depuis quelque temps je suis infecté par des trojans rémanents. Je les nettoie(mal je suppose) et ils sont immédiatement de retour . Je joins ici le log de spysweeper.
Merci de votre aide.********
13:37: |··· Début de session, vendredi 3 février 2006 ···|
13:37: Spy Sweeper démarrée
13:37: Analyse lancée avec la version des définitions 610
13:37: Démarrage de l’analyse de la mémoire
13:38: Trouvé Trojan Horse: trojan-downloader-ruin
13:38: Menace en cours d'exécution détectée : C:\WINDOWS\explorer.exe (ID = 81)
13:45: Analyse de la mémoire terminée, temps passé : 00:08:03
13:45: Démarrage de l’analyse du Registre
13:45: HKLM\software\microsoft\windows\currentversion\ruins\ (1 traces secondaires) (ID = 605128)
13:45: Trouvé Adware: unspypc
13:45: HKU\WRSS_Profile_S-1-5-21-299502267-1757981266-682003330-1004\software\unspypc\ (4 traces secondaires) (ID = 1059779)
13:45: Analyse du Registre terminée, temps passé :00:00:37
13:45: Démarrage de l’analyse des cookies
13:45: Trouvé Spy Cookie: serving-sys cookie
13:45: papoun@bs.serving-sys[1].txt (ID = 3344)
13:45: papoun@serving-sys[2].txt (ID = 3344)
13:45: Trouvé Spy Cookie: weborama cookie
13:45: papoun@weborama[1].txt (ID = 3659)
13:45: papoun@wreport.weborama[1].txt (ID = 3659)
13:45: Trouvé Spy Cookie: xiti cookie
13:45: papoun@xiti[1].txt (ID = 3718)
13:45: Analyse des cookies terminée, temps passé : 00:00:00
13:45: Démarrage de l’analyse des fichiers
13:46: Avertissement: Failed to read file "c:\windows\temp\perflib_perfdata_178.dat". System Error. Code: 32.
Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
13:49: Analyse des fichiers terminée, temps passé : 00:03:07
13:49: Analyse complète terminée. Durée 00:11:53
13:49: Traces trouvées : 13
15:54: Processus de suppression lancé.
15:55: Mise en quarantaine de toutes les traces : trojan-downloader-ruin
15:55: Avertissement: Unable to quarantine C:\WINDOWS\explorer.exe. This is a protected operating system file.
15:55: Échec de la mise en quarantaine trojan-downloader-ruin
15:55: Échec de la mise en quarantaine C:\WINDOWS\explorer.exe
15:55: Mise en quarantaine de toutes les traces : unspypc
15:55: Mise en quarantaine de toutes les traces : serving-sys cookie
15:55: Mise en quarantaine de toutes les traces : weborama cookie
15:55: Mise en quarantaine de toutes les traces : xiti cookie
15:56: Préparation du redémarrage de votre ordinateur. Veuillez patienter...
15:56: Processus de suppression lancé. Durée 00:01:30
16:00: Avertissement: Failed to check file "C:\WINDOWS\system32\dmitq.exe". Cannot open file "C:\WINDOWS\system32\dmitq.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
16:09: Traitement des alertes de démarrage
16:09: Entrée de démarrage autorisée : dmitq.exe
16:15: Mise à jour des définitions de logiciels espions
16:15: Vos définitions sont à jour.
16:32: Traitement des alertes de démarrage
16:32: Entrée de démarrage autorisée : Window Washer
17:15: Traitement des alertes de démarrage
17:15: Entrée de démarrage autorisée : Index Washer
********
13:35: |··· Début de session, vendredi 3 février 2006 ···|
13:35: Spy Sweeper démarrée
13:35: Les définitions de logiciels espions ont été mises à jour.
13:37: |··· Fin de session, vendredi 3 février 2006 ···|

Afficher la suite

Kristopher · Answer

Bonjour

- Télécharge HijackThis : http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html
- Installe le dans son propre dossier.
Par exemple, C:\HijackThis
Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.
Regarde la démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

Bonne chance.

++

Michel Dutour · Answer

Bonjour, voici la bête!et merci encore!Logfile of HijackThis v1.99.1Scan saved at 17:21:24, on 05/02/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeE:\ewido anti-malware\ewidoctrl.exeC:\WINDOWS\system32
vsvc32.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\RunDll32.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\system32\LVCOMSX.EXEC:\Program Files\Logitech\Video\LogiTray.exeC:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exeD:\qttask.exeE:\iTouch\iTouch.exeC:\WINDOWS\Logi_MwX.ExeE:\WINPAT~1\winpatrol.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Logitech\Video\FxSvr2.exeC:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exeE:\Copernic Desktop Search\CopernicDesktopSearch.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\RamBoost XPambxpfr.exeC:\Program Files\Webroot\Washer\wwDisp.exeC:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXEC:\Program Files\Logitech\SetPoint\SetPoint.exeE:\Picture Package Menu\SonyTray.exeE:\Picture Package Applications\Residence.exeC:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXEC:\Program Files\Outlook Express\msimn.exeC:\PROGRA~1\MOZILL~1\FIREFOX.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\papoun\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telecharger.com/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhostR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXEO4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"O4 - HKLM\..\Run: [QuickTime Task] "D:\qttask.exe" -atboottimeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [zBrowser Launcher] E:\iTouch\iTouch.exeO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [WinPatrol] E:\WINPAT~1\winpatrol.exeO4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXEO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintrayO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" bootO4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"O4 - HKCU\..\Run: [Copernic Desktop Search] "E:\Copernic Desktop Search\CopernicDesktopSearch.exe" /trayO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exeO4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XPambxpfr.exeO4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXEO4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exeO4 - Global Startup: Picture Package Menu.lnk = ?O4 - Global Startup: Picture Package VCD Maker.lnk = ?O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: ewido security suite control - ewido networks - E:\ewido anti-malware\ewidoctrl.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exeO23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exeO23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exeO23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

Kristopher · Answer

Salut papoun :)- Scanne ton PC avec cet antivirus en ligne : http://www.kaspersky.com/virusscanner - Choisis Kaspersky Online Scanner - Colle le rapport ici (si infecté) ++

Michel Dutour · Answer

bonsoir,
et voilà.....
A+ et merci bien sur...
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, February 05, 2006 20:31:46
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 5/02/2006
Kaspersky Anti-Virus database records: 164315
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 77714
Number of viruses found: 1
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 5091 sec

Infected Object Name - Virus Name
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From Admin@cs.com][Date Fri, 16 Dec 2005 17:05:04 UTC]/reg_pass.zip/File-packed_dataInfo.exe Infected: Email-Worm.Win32.Sober.y
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From Admin@cs.com][Date Fri, 16 Dec 2005 17:05:04 UTC]/reg_pass.zip Infected: Email-Worm.Win32.Sober.y
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From webmaster@zegames.com][Date Thu, 22 Dec 2005 01:25:56 UTC]/reg_pass-data.zip/File-packed_dataInfo.exe Infected: Email-Worm.Win32.Sober.y
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From webmaster@zegames.com][Date Thu, 22 Dec 2005 01:25:56 UTC]/reg_pass-data.zip Infected: Email-Worm.Win32.Sober.y
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hostmaster@barwonwater.vic.gov.au][Date Tue, 22 Nov 2005 13:48:12 UTC]/reg_pass-data.zip/File-packed_dataInfo.exe Infected: Email-Worm.Win32.Sober.y
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hostmaster@barwonwater.vic.gov.au][Date Tue, 22 Nov 2005 13:48:12 UTC]/reg_pass-data.zip Infected: Email-Worm.Win32.Sober.y
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From webmaster@juno.com][Date Thu, 24 Nov 2005 21:06:00 UTC]/reg_pass.zip/File-packed_dataInfo.exe Infected: Email-Worm.Win32.Sober.y
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From webmaster@juno.com][Date Thu, 24 Nov 2005 21:06:00 UTC]/reg_pass.zip Infected: Email-Worm.Win32.Sober.y
C:\Documents and Settings\papoun\Local Settings\Application Data\Identities\{7B96E239-484B-409A-B2CC-A5C59F59F378}\Microsoft\Outlook Express\Éléments supprimés.dbx Infected: Email-Worm.Win32.Sober.y

Scan process completed.

Utilisateur anonyme · Answer

Salut,Télécharge cecihttp://cjoint.com/?chrPo35WGd Enregistre le puis dezippe leExecute le puis lance HcsrchLe bloc note s'ouvre, copie/colle le rapporta+

Utilisateur anonyme · Answer

Salut,fais également ceci stpHijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici.A+

Utilisateur anonyme · Answer

Salut

Ouvre le bloc note et copie colle ceci entre les étoiles

**********
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"iagmd"=-

************
enregistre le sur ton bureau et nomme le www.reg
et dans la case en dessous type met sur tous fichiers

la vas sur ton bureau et double click sur se fichier que tu vient de faire et accepte la fusion avec le registre.

Lance spybot et fais le nettoyage

ensuite relance Hcsrch et donne moi le rapport

a+

Utilisateur anonyme · Answer

Re;

Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci :
cselh.exe
csqey.exe
dmgky.exe

Tous les 3 dans C:\WINDOWS\System32

Clik send et colle les rapports stp

A+

Utilisateur anonyme · Answer

Salutou en sont tes soucis?a+

michel Dutour · Answer

ben toujours pareil, je viens de t'envoyer une des 3 analyses le logiciel ne peut analyser les 2 autres

Utilisateur anonyme · Answer

Re,C'est pas grave, laisse tomberQuels soucis restent ils?a+

michel Dutour · Answer

toujours lent avec des problèmes de surf avec firefox. dans l'e,semble la machine rame et spysweeper mesignale toujours des demandes d'intrusion de dmgky.exe

Utilisateur anonyme · Answer

Re,supprime ceciC:\WINDOWS\System32\dmgky.exea+

michel Dutour · Answer

impossible car utilisé par une application. Winpatrol le signale comme ça:Emplacement de démarrage : HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Utilisateur anonyme · Answer

Salutessai de le supprimer en sans echeca+

michel Dutour · Answer

voilà c'est fait. ça a l'air d'aller mieux, mais toujours un peu lent.

Utilisateur anonyme · Answer

Re

Utilises ceci

Ccleaner 
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Tuto: http://perso.wanadoo.fr/jesses/Docs/Logiciels/CCleaner.htm 

Si c est toujours pareil:
Cleanup (gratuit): 
https://www.commentcamarche.net/telecharger/securite/5989-cleanup/
-aide en image:(merci à Balltrap34) 
http://pageperso.aol.fr/balltrap34/democleanup.htm 

et si toujours pareil

fais une defragmentation

a+
Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Michel Dutour · Answer

Salut,ok ça va mieux!Merci encore

Utilisateur anonyme · Answer

Salutok, content pour toiPense a creer un point de restaurationa+; bonne soiree

Infecté par downloader ruin et unspypc

19 réponses

Votre réponse

Newsletters