trojan dowloader ruin inextirpable

Question

bjr, je suis infectée par trojan-dowloader-ruin et spy swepper n'arrive pas à l'éradiquer. la localisation faite par le logiciel: c:\windows\explorer.exe.
Est-ce grâve, quels sont les risques pour ma bécane et comment m'en débarrasser?
un grand merci

Afficher la suite

green day · Answer

Salut

# Télécharge ceci: (merci a S!RI pour ce petit programme).

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.

++

***Le deuxieme mot le plus important apres Aimer, c'est Aider! ...***

green day · Answer

Dur dur lol

Merci à Bernie ;-)

on va un peu nettoyer et on verra le fixe après :

télécharge ceci :

#Ewido (gratuit) :
https://www.avg.com/en-ww/free-antivirus-download

tuto : (merci à Moe) http://perso.wanadoo.fr/entraide-hijackthis/Ewido/

fais un copier/coller du rapport ici stp

# CleanUp40 (qui élimine les fichiers temporaires + cookies : gratuit )
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

tuto : (merci à Balltrap) http://pageperso.aol.fr/balltrap34/democleanup.htm

++

Qc001 · Answer

Salut Green Day :-)Mon pif me dit "Wareout", que tu pourras confirmer avec un rapport HijackThis! Si c'est la dernière variante, il est possible qu'Ewido n'y voit rien..@+ ;-)

green day · Answer

'Lu Qc001 ;-) tu dis ça par rapport à ce qui l'infecte ???++

Qc001 · Answer

Coucou Green Day :-)

En effet, je me suis fié au titre de la discussion ; on parle de Ruin, donc j'ai pensé à "Ruins" qui est typique de Wareout.

En regardant le rapport HJT, on voit bien les O17 qui pointent vers l'Ukraine - typique de Wareout. Y a d'autres bestioles aussi, mais on commence par lui ;-)
==================

Nanaglobale : télécharge FixWareout d'un de ces deux sites:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Sauvegarde-le sur Bureau, puis lance le. Clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le s.t.p..
Ton système mettra un peu plus de temps au démarrage, c'est normal.
Au redémarrage, un fichier texte apparaîtra ; copie/colle ce rapport dans ta prochaine réponse, avec un tout nouveau rapport HijackThis! également.

@+

nanaglobale · Answer

Merci pour l'aide, c'est vraiment chouette à vous,
j'ai fait le fix Wareout, et apparemment, ça a bien marché sauf que aucun texte n'est apparu à l'écran suite au démarrage. fais un autre log Hijack, voici:

Logfile of HijackThis v1.99.1
Scan saved at 17:57:12, on 18/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\asac\urah.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\NCMZ91ER\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R3 - URLSearchHook: (no name) - {8A8D87C7-67CA-624C-2290-81CB19EA4B8A} - SpyElim.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [uio] 34763.exe
O4 - HKLM\..\Run: [321102] new32.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
O4 - HKCU\..\Run: [utsgmon] zxc.exe
O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

fin du rapport

nanaglobale · Answer

Coucou, me revoilà,
je refait un fixwareout sur la deuxième adresse et là, bingo, le rapport de texte est apparu; le voici suivi d'un nouveau Hijack fait suite au fixwareout.

ixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSPPE.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

log Hijack

Logfile of HijackThis v1.99.1
Scan saved at 18:11:49, on 18/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\asac\urah.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\NCMZ91ER\HijackThis[1].exe

fin des rapports, le dernier Hijack est beaucoup plus court que les précédnts, est-ce grave docteur?

BmV · Answer

Salut.

Apparemment t'as loupé toute la deuxième partie (les R0, R3, 02, ... 016 etc...) au copier-coller !
Recommence tranquillement

D'autre part, et sauf erreur, je ne vois nulle part d'antivirus ni de firewall dans ta machine !!!!
Pour info et si mes souvenirs sont bons, Kaspersky Antivir n'est qu'un antivirus "sur demande", qui donc vérifiera ta machine quand il est activé ponctuellement, mais qui n'agit pas en permanence, ce qui fait qu'entre deux vérifications manuelles, tu as tout le temps de laisser passer des cochonneries diverse.

Donc il faut remédier à ça très rapidement, d'autant qu'il existe de très bons outils gratuits et fiables dans ce domaine, du moins pour un usage privé.

Voir pour ça https://sebsauvage.net/ et en priorité https://sebsauvage.net/safehex.html ; tout est très clairement expliqué ebn français "de tous les jours".

Mais en parallèle, il faut quand même continuer le processus de désinfection commencé ci-dessus, bien sûr !

Au boulot.

A+

Qc001 · Answer

Rebonjour Nanaglobale :-)

Il me semble que l'outil n'a pas fait le travail... dommage que nous n'ayons pas le premier rapport. J'aurais dû t'indiquer le chemin complet de ce rapport :-( Pas grave, on va reprendre la manip.

Supprime les deux versions de Fixwareout que tu as téléchargés. Le log que tu as posté indique que la dernière MAJ de l'outil date de Février, alors que ça devrait être Mars.. Télécharge à nouveau à partir de ce lien :
http://downloads.subratam.org/Fixwareout.exe

..et sauvegarde-le sur ton Bureau. Lance-le. Clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le s.t.p..
Ton système mettra un peu plus de temps au démarrage, c'est normal.
Lorsque redémarré, trouve le rapport situé ici :

C:\fixwareout\report.txt

..ouvre-le, puis copie/colle son contenu ici, avec un nouveau rapport HijackThis! complet (de haut en bas..lol..).

@+

nanaglobale · Answer

Salut BmV, merci pour ton oeil avisé, et voilà la suite du log HJT ci dessous.
Non seulement y a les 03, mais aussi les 017 qui soit dit-en, pointent vers l'Ukraine, typique de Wareout comme dit ton confrère QC001; Alors quid? Ca marche ou pas ce FixWareout?
En tout cas, pour info, j'ai relancé un Spysweeper et il trouve toujours le Trojan-dowloader-ruin. Suis vraiment ruinée?
Quant à Kaspersky, il est activé en temps réel, d'après ce k'il raconte, et puis je le vois bien puisque de temps en temps il se met à hurler des cris affreux de cochon égorgé...
Ceci dit, puis-je ajouter les antivir que tu me suggère ou alors c'est incompatible avec Kasper?
j'ai aussi Tchg CleanUp sur conseil de GreenDay, et il m'a éliminé un tas de milliers de fichiers dégueux libérant ainsi un paquet de mémoire;
ERci pour l'aide, à plus.

Logfile of HijackThis v1.99.1
Scan saved at 18:55:46, on 18/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\SZ0747AT\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R3 - URLSearchHook: (no name) - {8A8D87C7-67CA-624C-2290-81CB19EA4B8A} - SpyElim.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [uio] 34763.exe
O4 - HKLM\..\Run: [321102] new32.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
O4 - HKCU\..\Run: [utsgmon] zxc.exe
O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

fin du rapport entier

bernie61 · Answer

hello
en attendant greenDay et les autres

*Configure ton ordi pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers

2. Relances Hijackthis et coche (puis FIX)
O4 - HKLM\..\Run: [uio] 34763.exe
O4 - HKLM\..\Run: [321102] new32.exe
O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
O4 - HKCU\..\Run: [utsgmon] zxc.exe
O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
3. Effacer ces programmes .EXE et .DLL( et à la fin vider la corbeille)
C:… 34763.exe
c:… new32.exe
C:.. Testimonials.exe
c:… zxc.exe
c:… MSTCPDLL.exe
C:\Program Files\asac\urah.exe" -vt wnew

5. vider les répertoires temps et la corbeille, en lançant Ccleaner
Refais un hijackthis de contrôle et dis nous où en sont les problèmes

nanaglobale · Answer

réponse à Qc001
j'ai refait le fix à partir de ton dernier lien, voici le report:
Fixwareout ver 1.003
Last edited 04/09/2006
Post this report in the forums please

Reg Entries that were deleted
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

fin du report

voici le tout dernier HJT

Logfile of HijackThis v1.99.1
Scan saved at 19:33:22, on 18/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\SJSHO723\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R3 - URLSearchHook: (no name) - {8A8D87C7-67CA-624C-2290-81CB19EA4B8A} - SpyElim.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [uio] 34763.exe
O4 - HKLM\..\Run: [321102] new32.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
O4 - HKCU\..\Run: [utsgmon] zxc.exe
O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

fin,
Attends nouvelles instructions.

Qc001 · Answer

Arf... l'outil ne tourne pas comme il devrait !

Je soupçonne que ce soit le bouclier de Spy Sweeper qui bloque le fix.

Quasi toutes ces lignes O4 (et O17) sont liées à Wareout, qui lui est protégé par un rootkit, donc nous avons besoin de l'outil ! lol..

Ok, fais un clic-droit sur l'icône de Spy Sweeper, près de l'horloge, et clique "Shutdown". Repasse Fixwareout. Je dois absolument voir son rapport !! Poste-le avec un nouveau log HijackThis! s.t.p. Petit rappel : le log de Fixwareout se trouve ici :

C:\fixwareout\report.txt <<

Note : si ça ne marche toujours pas, ben y faudra attaquer avec d'autres outils... pas jojo, mais faisable ;-)

@+

nanaglobale · Answer

OK QC001, j'ai désactiv& le sweeper, je recommence; A tout de suite

Regis59 · Answer

Salut a tous,Pour ruins, si il ne pars pas avec fixwareout, contactez moi sur l entraide, j ai un programme qui pourrait servir.a+

nanaglobale · Answer

D'accord Régis, mais c'est où l'entre-aide?

Regis59 · Answer

Salutlol, je parlais pour les helpers qui desirent t aider lolSinon, c est ici:http://175280.aceboard.net/a+

green day · Answer

re tu parles de quel prog le pro ???  ;-P

Regis59 · Answer

Un petit .bat fait maison avec Moe.

Je l utilisais tout au debut de l infection wareout et ca permet d afficher un rapport sur ruins.

Si ca t interresses, il doit encore etre sur mon DD, je rechercherais.

a+

green day · Answer

mais vous êtes vraiment très forts !!! si tu pouvait le poster sur votre forum, avec une ptite explication pour l'utilisation, ce serait très cool ;-) merki

incognito02 · Answer

Salut Green Day  :-)Salut Régis59 ;-)Ca ne serai pas le Hcsrch ? A++

green day · Answer

Lu Inco ;-)

Regis59 · Answer

Salut inco,Oui c est celui la.J en ai 2 qui peuvent fonctionner mais celui la marche bien.Je vois que tu lis tous les postes que moi et moe avons traites loolC est Moe qui faisait la mise en forme, moi je lui proposais juste ce que je voulais qu il fasse et moe ajouté sa petite touche perso lola+

incognito02 · Answer

Coucou ma belle !Régis, si tu veux, je l'ai à dispo immediatement.A+

re · Answer

Oui met l explication et le lien sans probleme.J ajouterais au besoin ;-)a++

incognito02 · Answer

Régis,Ok, je poste le lien, et tu mets l'explication.A+

green day · Answer

mdr !!!

incognito02 · Answer

re,et un lien, 1 ça marche ! lolpetite précision pour Régis, c'est le .bathttps://www.cjoint.com/?esv5cLbWjpexplications :Telecharge le fichier et enregistre le sur le bureau windows.double clique sur hcsrch, laisse le tourner, à la fin le bloc note s'ouvre.selectionne TOUT le contenu du blocnote et colle le ici.Bon courage.PS pour Régis59 : mon surnom, c'est Big Brother ! lolA+

regis59 · Answer

Big Brother ! MerciBon ben je ferais la manip. (mdr <-- Green day :-*)J atends le rapportBonne continuation

Qc001 · Answer

Oh là... je quitte quelques heures et c'est la fête ici !!Oki, j'attends aussi le rapport du batch :-)S'il faut, on prend BlackLight et on poursuit...Jamais vu Fixwareout mal bosser comme ça avant..:-(@+

Trojan dowloader ruin inextirpable

30 réponses

Votre réponse

Discussions similaires

Newsletters