VirusWin32:Trojano-2365 infectant remon.sys

dujardinjf Messages postés 8 Statut Membre -  
 Utilisateur anonyme -
Bonjour je suis infecté du virus Win32:Trojano-2365 [Trj] infectant
C:\WINDOWS\system32\remon.sys d'aprés l'analyse de avast.J'ai bien entendu tenté de le supprimer mais sans succés.J'ai un peu lu les différents articles du forum et il en ressort qu'il faut télécharger un logiciel appelé "HijakThis" et vous proposer l'analyse qu'il fait ...Quelqu'un peut-il dans un 1er temps m'expliquer les modalités de fonctionnement de ce logiciel puis me dire que faut-il déduire de l'analyse...?
En vous remerciant d'avance pour l'aide que vous voudrez bien me prêter...

13 réponses

  1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Bonsoir,

    Voici le lien HT :

    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Le dézipper dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < c : ! (Cela permet des back up en cas de mauvaises suppressions)
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    L’exécuter puis sur "do a system scan and save logfile" (cf. démo)

    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage
    A+
    0
    1. dujardinjf Messages postés 8 Statut Membre
       
      voila j'ai fourni le rapport, pouvez vous me venir en aide SVP?
      je n'ai pas suffisament de connaissances personnelles pour l'analyser tout seul ...
      si vous pouviez me venir en aide je vous en serais infiniment reconnaissant !
      0
      1. Kristopher Messages postés 3752 Statut Contributeur 106 > dujardinjf Messages postés 8 Statut Membre
         
        Bonsoir dujardinjf,

        Je vous ai fourni une réponse au bas de la page.

        Bien à vous.
        0
  2. dujardinjf Messages postés 8 Statut Membre
     
    merci bcp de vous intéréssé a mon cas voici le résultat :

    Logfile of HijackThis v1.99.1
    Scan saved at 19:23:28, on 09/02/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Canon\MultiPASS4\MPTBox.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\MSI\Live Update 3\LMonitor.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\oleupdate.exe
    C:\WINDOWS\System32\Rundll32.exe
    C:\kjndf.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\fwnet64.exe
    C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
    C:\WINDOWS\netconf32.exe
    C:\WINDOWS\nvidGUIv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\ftp.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Documents and Settings\Ludivine\Mes documents\jf\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Win Update] C:\WINDOWS\System32\oleupdate.exe
    O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
    O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\kjndf.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe
    O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
    O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe
    O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe

    En attendant votre réponse , merci d'avance ...
    0
    1. Kristopher Messages postés 3752 Statut Contributeur 106
       
      Bonsoir Ludivine,

      - Télécharge CCLEANER et nettoie ton PC avec : http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
      Tutorial là : http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

      - Télécharge et scanne ton PC avec un antispyware, je te conseille Microsoft AntiSpyware :
      http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31195.html

      - Si tu n'en n'a pas, télécharge un firewall.
      Par exemple, la version GRATUITE de ZoneAlarm® : http://www.zonelabs.com/store/content/company/products/znalm/freeDownload2.jsp?dc=34std&ctry=FR&lang=fr
      Tutorial là : http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/tutorial_zonealarm-323293/messages-1.html

      - Télécharge et scanne ton PC avec Ewido Security Suite : http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31851.html
      Copie/colle le rapport sur le forum.

      Bon courage :)

      ++
      0
  3. Utilisateur anonyme
     
    salut ferme toutes le fenetre internet explorer + programmes lance hijack coche ces lignes puis clike sur fix checked

    O4 - HKLM\..\Run: [Win Update] C:\WINDOWS\System32\oleupdate.exe
    O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\kjndf.exe

    1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

    2. desactive ta restauration (pour win xp ) comme ceci :
    clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique

    3. affiche les fichier cacher comme ceci :
    clicker sur demarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Decocher masquer les extentions dont le type est connues

    4.ensuite va dans demarrer/rechercher et tape:

    oleupdate.exe
    kjndf.exe
    fwnet64.exe
    netconf32.exe
    nvidGUIv.exe
    remon.sys

    suprime les et vide ta corebeille

    NB: reactive la restauration et masque les fichiers caché en suivant le meme chemin

    redemare en mode normal

    telecharge :

    Edwido
    http://download.ewido.net/ewido-setup.exe
    Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

    Clique sur scanner puis sur scan complet du système. colle le resultat ici suivi d'un hijack :)

    @++++++++
    0
  4. dujardinjf Messages postés 8 Statut Membre
     
    Merci à vous tous pour vos aides précieuses...
    C'est vraiment super sympas de vous attardez sur mon cas.
    J'ai donc appliqué à la lettre ce que jess15 me conseiller de faire.C'est vrai qu'au redémarage du PC le message redondant de avast qui me disait que mon ordi était infecté par un cheval de troy avait disparu, néanmoins suite au scan de ewido il en ressort qu'il reste encore plein de virus...

    Je vous envoie comme demandé ce scan de ewido :

    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 13:53:59, 10/02/2006
    + Somme de contrôle: B2F1E458

    + Résultats du scan:

    [2024] C:\WINDOWS\System32\lcps.exe -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    [2044] C:\WINDOWS\System32\dcpz.exe -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    [392] C:\WINDOWS\fwnet64.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
    [992] C:\WINDOWS\netconf32.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
    [3684] C:\WINDOWS\System32\oleupdate.exe -> Proxy.Agent.hd : Nettoyer et sauvegarder
    C:\alvn.exe -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    C:\bmfr.exe -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    C:\clan.exe -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8RABCVWF\members[1].zip -> Backdoor.Agent.tk : Nettoyer et sauvegarder
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IJKL4567\update181[1].exe -> Proxy.Agent.hd : Nettoyer et sauvegarder
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\QT69E32T\a[1].txt -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\QT69E32T\c[1].txt -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YH0JKLM5\b[1].txt -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    C:\Documents and Settings\Ludivine\Cookies\ludivine@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
    C:\iexplorer.exe -> Proxy.Agent.hd : Nettoyer et sauvegarder
    C:\kcnef.exe -> Backdoor.Agent.tk : Nettoyer et sauvegarder
    C:\WINDOWS\fwnet64.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
    C:\WINDOWS\netconf32.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
    C:\WINDOWS\nvidGUIv.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
    C:\WINDOWS\system32\dcpz.exe -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    C:\WINDOWS\system32\eraseme_14406.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
    C:\WINDOWS\system32\eraseme_37631.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
    C:\WINDOWS\system32\eraseme_82805.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
    C:\WINDOWS\system32\eraseme_83355.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
    C:\WINDOWS\system32\lcps.exe -> Proxy.Ranky.dy : Nettoyer et sauvegarder
    C:\WINDOWS\system32\oleupdate.exe -> Proxy.Agent.hd : Nettoyer et sauvegarder
    C:\WINDOWS\system32\pcvp.exe -> Proxy.Ranky.dy : Nettoyer et sauvegarder

    ::Fin du rapport

    Puis voici le scan de HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 14:01:59, on 10/02/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Canon\MultiPASS4\MPTBox.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\MSI\Live Update 3\LMonitor.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\Rundll32.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Ludivine\Mes documents\jf\virus\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
    O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
    O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)
    O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)

    N.B: les éléments "fwnet64.exe et nvidGUIv.exe" n'ont pas était trouvé ds mon ordi donc je n'avais pas pu les supprimer.
    la case "O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\kjndf.exe " ce finisait non pas par "C:\kjndf.exe" mais par une autre terminaison...

    En espérant avoir été suffisement précis pour que vous puissiez encore m'aider à résoudre mon problème...
    Je vous remercie encore de vous attardez sur mon cas ...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut fix ceci avec hijack

    O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
    O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)
    O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)

    N.B: les éléments "fwnet64.exe et nvidGUIv.exe" n'ont pas était trouvé ds mon ordi donc je n'avais pas pu les supprimer. 


    concernant ces 2 fichier edwido les a supprimé donc c'est bon :) et pas la meme occasion il t'as supprimé plein de virus :)

    C:\WINDOWS\fwnet64.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder C:\WINDOWS\nvidGUIv.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder

    maintenant que tout est propre je te conseille d'installer un parefeu pour bloquer les attaques (lis le tutorial avant de l'installer)

    (kerio)
    http://www.clubic.com/telecharger-fiche11071-kerio-personal-firewall.html

    (tutorial kerio) :
    http://www.pcentraide.com/index.php?showtopic=110
    @+++++++
    0
  7. dujardinjf Messages postés 8 Statut Membre
     
    Ca commence a être lassant mon virus touchant remon.sys est toujours la.Je suis revenu en quelque sorte à la case départ... Avast n'arrête pas de me remettre "il y a un virus dans votre ordinateur" dès que je ferme la fenêtre
    Il sagit encore du virus "Win32:Trojano-2365 [Trj]" touchant le fichier "remon.sys"
    Je vous renvoie mon log de HighjackThis,espérant que l'on va l'avoir à l'usure ...

    Logfile of HijackThis v1.99.1
    Scan saved at 16:58:05, on 10/02/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Canon\MultiPASS4\MPTBox.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\MSI\Live Update 3\LMonitor.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\Rundll32.exe
    C:\WINDOWS\System32\dcpz.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\WINDOWS\fwnet64.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\nvidGUIv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Canon\MultiPASS4\MPDBMgr.exe
    C:\Documents and Settings\Ludivine\Mes documents\jf\virus\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
    O4 - HKLM\..\Run: [dcpz] C:\WINDOWS\System32\dcpz.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
    O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe

    En espérant avoir encore une réponse à mon problème, je vous remercie d'avance pour votre patience et votre amabilité ...
    0
  8. Utilisateur anonyme
     
    salut fait ceci dans l'ordre imprime les intruction s'il le faut pour ne rien oublié :)

    1. deconnecte toi d'internet

    2.desactive ces service :

    va dans le Menu Démarrer/Panneau de Configuration/Outils d'administration/Services
    Dans la fenêtre qui s'ouvre, double-clique sur la ligne "fwnet64 (fwnet) ".
    Dans le champ "Type de démarrage" de l'onglet "Général", sélectionne "Desactivé".
    Clique sur "Arrêter".
    Clique ensuite sur "OK" pour valider la configuration.

    tu fait pareille avec ceci : nvidGUIv (nvidGUIv2)

    3.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

    4. desactive ta restauration (pour win xp ) comme ceci :
    clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique

    5. affiche les fichier cacher comme ceci :
    clicker sur demarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Decocher masquer les extentions dont le type est connues

    6.ensuite va dans demarrer/rechercher et tape: un par un

    dcpz.exe
    fwnet64.exe
    nvidGUIv.exe

    supprime les et vide la corbeille

    7.lance adaware / spybot/ edwido

    8.redemare en mode normal

    9.lance cleanup ( n'oublie pas de laissé les option sur standard voir demo)

    CleanUp40.exe
    http://www.florensac-chasse-trap.com/ section virus/logiciel de securite

    voir demo
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    colle ici le rapport d'edwido suivi d'un log hijack

    @++++++++++++
    0
  9. Utilisateur anonyme
     
    mercii quick :) j'ai vu les logs et aparement il n'as pas fait ce que je lui ai demandé parceque ces 2 lignes sont toujour presente
    (O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing) 
    O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe )


    . je pense qu'il a trouvé ma soluce dur alors il a posté ailleur en esperant trouvé la facilité mais il faut savoir que desfois on peu pas faire dans la simplicité avec certaine merdes (dsl du term)

    @++++++++++++
    0
  10. dujardinjf Messages postés 8 Statut Membre
     
    Excuser moi je me suis simplement emmélé les pinceaux dans mes messages...J'ai pas réussi à remettre le dernier à la suite des autres.Ce que vous avez interprété pour une réaction bizard...
    Néanmoins voici le log de HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 15:03:58, on 11/02/2006
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Canon\MultiPASS4\MPTBox.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\MSI\Live Update 3\LMonitor.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\Rundll32.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Canon\MultiPASS4\MPDBMgr.exe
    C:\Documents and Settings\Ludivine\Mes documents\jf\virus\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE

    Suivi de l'analyse Ewido :

    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 14:46:48, 11/02/2006
    + Somme de contrôle: 3B5F65D2

    + Résultats du scan:

    C:\Documents and Settings\Ludivine\Cookies\ludivine@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
    C:\Documents and Settings\Ludivine\Cookies\ludivine@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
    C:\WINDOWS\system32\remon.sys -> Rootkit.Agent.ab : Nettoyer et sauvegarder

    ::Fin du rapport

    Voila excusez moi encore mais je n'avais pas fait expré ...
    0
  11. dujardinjf Messages postés 8 Statut Membre
     
    J'ai installé Keiro...selon vous mon PC est maintenant nettoyé de tous les virus et autres chevaux de troy qui l'infestés?
    Je verais si il n'y a pu de problèmes à l'avenir...Néanmoins je vous remercie beaucoup pour toute la patience et l'aide précieuse que vous m'avez accordé...
    Je vous tiens au courant si les virus reviennent et sinon je vous tire mon chapeau pour l'étendue de vos connaissance dans ce domaine...
    0
  12. Utilisateur anonyme
     
    de rien :)
    tiens nous au courant

    @++++++++
    0