[virus] infecté par exploit.adodb.stream.CI

mat -  
 Regis59 -
Bonjour,

J'ai deux virus que bit defender 10 n'arrive pas à supprimer, un exploit adodb stream CI et un trojan downloader.
J'ai essayer de les supprimer en mode sans echec, de desactiver la restauration système, j'ai utilisé CCLEANER, Hijackthis, AVG antispyware, ad aware, j'ai insérer la clé de registre qui permet de supprimer adodb stream, mais rien n'y fait, dès que je redémarre, le virus revient...

Merci d'avance
Configuration: Windows XP
Internet Explorer 7.0

26 réponses

  • 1
  • 2
  1. mat
     
    Voici mon rapport hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 20:13:29, on 15/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\CyberLink\PowerVCRII\Agent.exe
    C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Softwin\BitDefender10\bdmcon.exe
    C:\Program Files\Softwin\BitDefender10\bdagent.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
    C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\eMule\emule.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Softwin\BitDefender10\vsserv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\mat\Bureau\antivirus\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [Agent] "C:\Program Files\CyberLink\PowerVCRII\Agent.exe"
    O4 - HKLM\..\Run: [Remote_Agent] "C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe"
    O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
    O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
    O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
    O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O11 - Options group: [INTERNATIONAL] International*
    O17 - HKLM\System\CCS\Services\Tcpip\..\{103B6AF2-8AB0-44A8-9CA1-5FB2F1D6534B}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{26D43A08-40FE-4BAB-A809-3B9315CB3188}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2B11B1F9-A95B-4ECE-8A87-822269C2618D}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3AF24C1C-00BD-4147-90C6-1BEFFE6233BF}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{489BA7A7-1CF7-4C5F-905E-72E5D5633738}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6134B5BF-AA30-4334-A20A-7A71CC3B657F}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACBC52C-4006-4C43-A471-B095EB2946AC}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
    O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
    0
  2. mat
     
    quelqu'un aurait-il une solution, car là je ne sais plus quoi faire?
    0
  3. Utilisateur anonyme
     
    FIXE ça

    [?] - C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
    [Y] - C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    [?] - C:\PROGRA~1\Wanadoo\Toaster.exe
    [?] - C:\PROGRA~1\Wanadoo\Inactivity.exe
    [?] - C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    [?] - O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    0
    1. mat
       
      merci de me répondre, j'ai pu supprimer:
      [?] - C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
      [?] - O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

      mais les autres:
      [Y] - C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      [?] - C:\PROGRA~1\Wanadoo\Toaster.exe
      [?] - C:\PROGRA~1\Wanadoo\Inactivity.exe
      [?] - C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

      n'apparaissent pas quand je relance hijackthis il sont seulement présent dans le log
      0
    2. mat
       
      sinon je peux les supprimer manuellement?
      0
    3. Utilisateur anonyme
       
      Oui tu peux,

      Puisque tu a la racine des dossiers infectés suprime les en mode sans echec! et entre parenthese je ne suis pas sur que tous les présumés problémes en ssont vraiement, sachant que les antivirus sont la pour vendre leurs logiciels!
      0
    4. mat > Utilisateur anonyme
       
      c'est bon je l'ai fait et j'ai également supprimer le fichier infecté par le trojan downloader et vider le content IE5 dans lequel se trouve l'eploit adodb stream, mais les virus sont encore présent au redémarrage, je désespère...
      0
    5. mat > Utilisateur anonyme
       
      de plus, quand je clique sur un lien google, je suis rediriger vers d'autres sites, il y a t il un lien entre mes deux virus et ça ou est ce encore un autre virus...
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Mais se virus soit disant il te fait quoi precisement? sachant que certaint antivirus te trouve des trucs qui n'existe pas seulement pour bacheter leurs logiciels.

    quel est le probleme que tu as actuellement vraiement?
    0
  6. Utilisateur anonyme
     
    En attendant essaye ça télécharge plus mis a jour et apres scanne ! http://djebrouni.free.fr/monsite/XoftSpy415_97.exe
    0
  7. mat
     
    les problèmes sont que mon ordinateur rame un peu, mon UC vacille entre 30 et 100 et que j'ai ce problème de redirection de lien google sinon tout va bien, mais j'ai lu que les virus exploit adodb stream était assez riqué donc...
    0
  8. mat
     
    ce logiciel m'as trouvé un trojan de type registry value avec un risque élevé et quelque data miner, mais je ne peux pas les supprimer avec le logiciel car il faut s'enregistrer, est-ce que je les upprime manuellement?
    0
  9. zBr
     
    Bonsoir

    Mat, est-ce que tu peux faire ceci pour vérifier une chose:

    Démarrer>exécuter et tapes cmd
    Dans la fenêtre d'invite de commande qui s'ouvrira, copie et colle ce qui est en bleu ci-dessous:
    reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders" /v SecurityProviders>>\reg.txt

    puis valide avec "entrée"

    copie et colle le contenu du fichier C:\reg.txt sur le forum.

    a+
    0
  10. mat
     
    voici:

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
    SecurityProviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll, xlibgfl254.dll
    0
  11. mat
     
    de plus, mon trojan se trouve dans softawre/microsoft/internet explorer/main/bandrest, et ça ne correspond à rien je ne sais pas où le trouver pour le supprimer

    merci de votre aide et du temps que vous y consacrez
    0
  12. zBr
     
    Télécharge Registry Search Tool, ici et enregistre le sur ton bureau.
    http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

    Dezippe le (clic droit dessus > extraire tout)
    lance RegSrch.vbs, et si ton antivirus te le demande autorise le script.
    Dans la fenetre du programme tape : ntoskrnl.dll
    et valide avec ok
    Puis refait la même chose avec cette fois avec: xlibgfl254.dll
    copie et colle les deux rapport ici.

    Pour softawre/microsoft/internet explorer/main/bandrest, c'est une clé dans le registre, rajoutée par l'adware Istbar (dyfuca), surement un reste d'infection passée.
    Mais le plus important est de traiter le trojan droppé par la faille adodb stream.
    En l'occurence:
    C:\WINDOWS\system32\ntsystem.exe
    C:\WINDOWS\system32\ntoskrnl.dll
    et aussi:
    C:\WINDOWS\system32\ xlibgfl254.dll

    a+
    0
  13. zBr
     
    ok, c'est pas grave.

    Ouvre le bloc note et copie et colle exactement ceci à l'intérieur:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
    "SecurityProviders"=-
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


    Puis dans le menu "fichier", clic sur "enregistrer sous"
    Dans "nom", tu mets fix.reg
    et dans "type" choisis : Tous les fichiers
    Enregistre le sur le bureau.

    Double clic sur le fichier fix.reg et clic sur le bouton "oui" au message te demandant si tu veux fusionner dans le registre.

    Lance Hijackthis et supprime:
    O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe

    Puis:
    Redemarre ton pc en mode sans echec:
    laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Ensuite:
    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    Recherche et supprime:
    C:\WINDOWS\system32\ntsystem.exe
    C:\WINDOWS\system32\ntoskrnl.dll < ne confond pas avec ntoskrnl.exe qui lui est clean.
    C:\WINDOWS\system32\xlibgfl254.dl

    Redemarre normalement ton pc et refais l'opération inverse pour recacher les fichiers système et cachés.
    Et enfin, scanne en ligne ton pc ici:
    http://www.bitdefender.fr/scan/license.php
    et poste le rapport.

    a+ et bon courage :-)
    0
    1. mat
       
      excuse moi mais c'est quoi le bloc note?
      0
  14. zBr
     
    Regarde dans le menu demarrer> tous les progs> accessoires >bloc notes :-)

    Ou bien si tu veux aller plus vite:
    Demarrer > exécuter et tape notepad
    et valide.
    0
  15. mat
     
    j'ai effectué les manipulation, mais les deux fichiers dll n'etait pas présents dans system 32 donc j'ai essayé avec rgsch et il me les as trouvé et il ma dit qu'il les supprimait je te laisse le rapport en dessous:

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "ntoskrnl.dll" 15/02/2007 23:27:41

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SecurityProviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll, xlibgfl254.dll"

    [HKEY_USERS\S-1-5-21-1085031214-1580818891-1957994488-1003\Software\Microsoft\Search Assistant\ACMru\5603]
    "001"="ntoskrnl.dll"

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "xlibgfl254.dll" 15/02/2007 23:29:25

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SecurityProviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll, xlibgfl254.dll"

    [HKEY_USERS\S-1-5-21-1085031214-1580818891-1957994488-1003\Software\Microsoft\Search Assistant\ACMru\5603]
    "000"="xlibgfl254.dll"

    par contre, le virus adodb stream est toujours présent

    je ferais le scan bitdefender demain et je le posterai en début d'après midi, car je me lève tot demain donc je vais me coucher.

    Merci encore pour tout
    0
  16. zBr
     
    ok.

    A quel endroit exactement ton AV detecte l'exploit ?
    Dans un fichier temporaire internet ?

    Si tu as le temps, tu feras ceci aussi demain:
    télécharge et dézippe ce script:
    http://cjoint.com/data/cqaOwHsjP4_mat.zip
    puis lance le fichier mat.bat.
    le bloc note s'ouvrira en fin d'exécution, copie et colle le rapport uniquement s'il mentionne un résultat.

    a+ et bonne fin de soirée.
    0
  17. mat
     
    Bonjour,
    oui il se trouve dans temporary interent files/content IE5/puis un nom different a chaque fois

    j'ai effectué ce que tu m'as dit, il me dit pour l'emplacement du virus, que le processus ne peut pas acceder au fichier car ce fichier est utilisé par un autre processus.
    je te colle le rapport:

    Fichiers supprimés:

    C:\System32\ntoskrnl.dll supprimé
    C:\System32\xlibgfl254.dll supprimé
    C:\System32\ntsystem.exe supprimé
    0
  18. mat
     
    c'est bon apparemment, les deux virus exploit adodb stream et trojan downloader ont disparus. Merci beaucoup pour ton aide.

    Par contre la redirection de lien sous google via ck.maxifiles continue, si quelqu'un pouvait égaleme,nt m'aider ou dois-je créer un autre topic?

    Sinon je colle mon rapport hijackthis après désinfection des premiers virus:

    Logfile of HijackThis v1.99.1
    Scan saved at 12:22:25, on 16/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\CyberLink\PowerVCRII\Agent.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Softwin\BitDefender10\bdmcon.exe
    C:\Program Files\Softwin\BitDefender10\bdagent.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\WINDOWS\System32\alg.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Softwin\BitDefender10\vsserv.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Documents and Settings\mat\Bureau\antivirus\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [Agent] "C:\Program Files\CyberLink\PowerVCRII\Agent.exe"
    O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
    O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
    O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O11 - Options group: [INTERNATIONAL] International*
    O17 - HKLM\System\CCS\Services\Tcpip\..\{103B6AF2-8AB0-44A8-9CA1-5FB2F1D6534B}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{26D43A08-40FE-4BAB-A809-3B9315CB3188}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2B11B1F9-A95B-4ECE-8A87-822269C2618D}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3AF24C1C-00BD-4147-90C6-1BEFFE6233BF}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{489BA7A7-1CF7-4C5F-905E-72E5D5633738}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6134B5BF-AA30-4334-A20A-7A71CC3B657F}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACBC52C-4006-4C43-A471-B095EB2946AC}: NameServer = 85.255.113.146,85.255.112.173
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
    O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Il semblerait qu'on a piraté ton IP....

      ck.maxifiles==> c'est normal ..... il va disparaitre avec --> Fixwareout


      Salut

      Télécharge Fixwareout à partir d'un des deux sites sur ton bureau :
      http://downloads.subratam.org/Fixwareout.exe
      http://swandog46.geekstogo.com/Fixwareout.exe

      Lance le fix : clique sur "Next" -> "Install" et assure toi que "Run fixit" est activé puis clique sur "Finish".
      Le fix va alors commencer - suis les messages à l'écran.
      Il te sera demandé de redémarrer ton ordinateur, fais le.
      Ton système mettra un peu plus de temps au démarrage, c'est normal.

      Quand ton système aura redémarré, suis les invites des messages. Ensuite, lance HijackThis, puis clique sur “Do a system scan only” et coche ces lignes puis clique sur "Fix checked":

      O17 - HKLM\System\CCS\Services\Tcpip\..\{103B6AF2-8AB0-44A8-9CA1-5FB2F1D6534B}: NameServer = 85.255.113.146,85.255.112.173
      O17 - HKLM\System\CCS\Services\Tcpip\..\{26D43A08-40FE-4BAB-A809-3B9315CB3188}: NameServer = 85.255.113.146,85.255.112.173
      O17 - HKLM\System\CCS\Services\Tcpip\..\{2B11B1F9-A95B-4ECE-8A87-822269C2618D}: NameServer = 85.255.113.146,85.255.112.173
      O17 - HKLM\System\CCS\Services\Tcpip\..\{3AF24C1C-00BD-4147-90C6-1BEFFE6233BF}: NameServer = 85.255.113.146,85.255.112.173
      O17 - HKLM\System\CCS\Services\Tcpip\..\{489BA7A7-1CF7-4C5F-905E-72E5D5633738}: NameServer = 85.255.113.146,85.255.112.173
      O17 - HKLM\System\CCS\Services\Tcpip\..\{6134B5BF-AA30-4334-A20A-7A71CC3B657F}: NameServer = 85.255.113.146,85.255.112.173
      O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACBC52C-4006-4C43-A471-B095EB2946AC}: NameServer = 85.255.113.146,85.255.112.173
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
      O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173

      …/…

      À la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

      Au final, copie/colle le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis.



      Télécharge ceci pour récupérer ta connexion : au cas où ::


      http://babin.nelly.free.fr/WinsockFix.zip


      Bye
      0
  19. zBr
     
    Salut mat

    Apparement les trois fichiers, ont été supprimés ou n'existaient plus, c'est déjà une bonne chose.
    Est ce que tu as eu des alertes après le passage du fix ?
    Si oui, donne moi le chemin exact du fichier.
    On va attendre de voir ce que va donner le scan de bitdefender et un nouveau rapport hijackthis avant d'entreprendre autre chose.

    a+
    0
  • 1
  • 2