Infection
moK´s@
Messages postés
4410
Statut
Membre
-
aranjuez31 Messages postés 8069 Statut Contributeur -
aranjuez31 Messages postés 8069 Statut Contributeur -
Salut a tous,
j´ai été infécté et j´ai fait marcher ewido il m´a trouvé les infections et les a suprimées avec back up mais j´aimerais savoir si maintenant c bon ( si je n´ai pas perdu des fichier important au bon fonctionnement du p.c) j´ai l´impression que c bon mais je suis pas sur alors je préfère vous demander...
merci,
voici le raport de ewido
---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------
+ Created on: 0:45:23, 7.2.2006
+ Report-Checksum: 4C55D738
+ Scan result:
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[1].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[2].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[3].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[4].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[5].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\xpl[1].wmf -> Exploit.MS05-053-WMF : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\new[1].htm -> Downloader.Agent.i : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\new[2].htm -> Downloader.Agent.i : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\sploitadv494[1].anr -> Downloader.Ani.c : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\xpladv494[1].wmf -> Exploit.MS05-053-WMF : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\adv494[1].htm -> Not-A-Virus.Exploit.HTML.Mht : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\bag[1].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\fillmemadv494[1].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\fillmemadv494[2].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\xpl[1].wmf -> Exploit.MS05-053-WMF : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\xpl[2].wmf -> Exploit.MS05-053-WMF : Cleaned with backup
::Report End
voici aussi un highjackthis:
Logfile of HijackThis v1.99.1
Scan saved at 0:52:04, on 7.2.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\de\Työpöytä\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fi/0SEFIFI/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Systweak Memory Optimizer] memtuneup.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
j´ai été infécté et j´ai fait marcher ewido il m´a trouvé les infections et les a suprimées avec back up mais j´aimerais savoir si maintenant c bon ( si je n´ai pas perdu des fichier important au bon fonctionnement du p.c) j´ai l´impression que c bon mais je suis pas sur alors je préfère vous demander...
merci,
voici le raport de ewido
---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------
+ Created on: 0:45:23, 7.2.2006
+ Report-Checksum: 4C55D738
+ Scan result:
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[1].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[2].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[3].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[4].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\fillmemadv494[5].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\821S027C\xpl[1].wmf -> Exploit.MS05-053-WMF : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\new[1].htm -> Downloader.Agent.i : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\new[2].htm -> Downloader.Agent.i : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\sploitadv494[1].anr -> Downloader.Ani.c : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\xpladv494[1].wmf -> Exploit.MS05-053-WMF : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\adv494[1].htm -> Not-A-Virus.Exploit.HTML.Mht : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\bag[1].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\fillmemadv494[1].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\fillmemadv494[2].htm -> Not-A-Virus.Exploit.JS.CVE20051790.j : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\xpl[1].wmf -> Exploit.MS05-053-WMF : Cleaned with backup
C:\Documents and Settings\de\Local Settings\Temporary Internet Files\Content.IE5\SDU7O1QJ\xpl[2].wmf -> Exploit.MS05-053-WMF : Cleaned with backup
::Report End
voici aussi un highjackthis:
Logfile of HijackThis v1.99.1
Scan saved at 0:52:04, on 7.2.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\de\Työpöytä\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fi/0SEFIFI/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Systweak Memory Optimizer] memtuneup.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
5 réponses
Bonjour mok,
Fais ceci :
CleanUp! :
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
- Aide en image (merci à Balltrap34) :
http://pageperso.aol.fr/balltrap34/democleanup.htm
Cela va vider pas mal de choses, comme dit Aranjuez.....
A+
Fais ceci :
CleanUp! :
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
- Aide en image (merci à Balltrap34) :
http://pageperso.aol.fr/balltrap34/democleanup.htm
Cela va vider pas mal de choses, comme dit Aranjuez.....
A+
salut aranjuez 31
suite de l´infection :
j´ai cleané les dossiers temporaires et j´ai refais un scan rapide avec ewido dont voici le rapport :
---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------
+ Created on: 14:43:45, 7.2.2006
+ Report-Checksum: 71F165E7
+ Scan result:
No infected objects found.
::Report End
la ca a l´aire d´etre bon non?
suite de l´infection :
j´ai cleané les dossiers temporaires et j´ai refais un scan rapide avec ewido dont voici le rapport :
---------------------------------------------------------
ewido anti-malware - Scan report
---------------------------------------------------------
+ Created on: 14:43:45, 7.2.2006
+ Report-Checksum: 71F165E7
+ Scan result:
No infected objects found.
::Report End
la ca a l´aire d´etre bon non?
hello
cela me parait clean
tu peux désactiver Norman via exécuter+tape services.msc+OK
cela traitera la ligne
023 - .....Norman
~~~~~~
pour se rassurer
scan online avec
http://www.bitdefender.fr/bd/site/search.php#
et COLLE sil trouve qque chose
~~~~~~
sache aussi que tu peux fixer tjrs les 016 sans l aide de qui que ce soit
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
ce sont des traces d emplois récents d'activX
cela me parait clean
tu peux désactiver Norman via exécuter+tape services.msc+OK
cela traitera la ligne
023 - .....Norman
~~~~~~
pour se rassurer
scan online avec
http://www.bitdefender.fr/bd/site/search.php#
et COLLE sil trouve qque chose
~~~~~~
sache aussi que tu peux fixer tjrs les 016 sans l aide de qui que ce soit
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
ce sont des traces d emplois récents d'activX
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re
les 016 c est normal, car sont les témoins d une activité d'activX
tu verras aprés avoir utilisé bitdef
~~~~~~~
pour Norman
il doit rester des traces qque part
regarde si pas présent dans
c:/ProgramFiles et supprime si c est le cas
fais aussi "rechercher" Norman et supprime fichier si existant
~~~~~~~
nettoie ton registre avec
regcleaner ( nettoyeur de registre)
http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
les 016 c est normal, car sont les témoins d une activité d'activX
tu verras aprés avoir utilisé bitdef
~~~~~~~
pour Norman
il doit rester des traces qque part
regarde si pas présent dans
c:/ProgramFiles et supprime si c est le cas
fais aussi "rechercher" Norman et supprime fichier si existant
~~~~~~~
nettoie ton registre avec
regcleaner ( nettoyeur de registre)
http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
