analyse hijack svp serwab est la Résolu/Fermé

Question

bonjour
j ai contracte le virus serwab et j ai suivi a la lettre la fiche technique contre le serwab de votre forum
mais j ai l impression qu il est encore la 

pourriez m analyser mon hijack

merci  d avance 

cordialement nat


logfile of HijackThis v1.99.1
Scan saved at 19:14:31, on 17/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\prodsrvs.exe /res
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laouriga.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D57EA5C-86DA-4CC2-8F14-0AB16B58B6E2}: NameServer = 205.188.146.145
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Lyonnais92 · Answer

Bonsoir,

Prenez connaissance du contenu de ce lien: 
http://www.f-secure.com/products/license-terms/eult_fra.pdf 
Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme Black Light qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger. 
Maintenant faites un clic droit sur ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip (de IL-MAFIOSO)
Enregistrez la cible (du lien) sous... et enregistrez-le sur votre bureau. 
Faites un clic droit sur navilog1.zip et choisissez "tout extraire" 
Ensuite double cliquer sur navilog1.bat 
Laissez vous guider. Au menu principal, choisissez 1 et validez. 
(Ne faites pas le choix 2 sans notre avis/accord) 
Patientez jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuyez sur une touche, comme demandé, le bloc note va s'ouvrir. 
Copier/coller l'intégralité dans une réponse. Refermez le bloc note. 
Le rapport est aussi  sauvegardé à la racine du disque (fixnavi.txt)


@+

Lyonnais92 · Answer

Bonsoir,

tu peux me dire ce qui a étéb fait avant pour désinfecter et en particulier par qui et comment a renommé  C:\WINDOWS\system32\bderuoceib .

Ceci dit, on traite :

Redémarres en mode sans échec
Double clique sur navilog1.bat 
Laisses-toi guider. Au menu principal, choisis 2 et valides. 
Laisses toi guider et réponds aux questions éventuelles 
Ton bureau va disparaitre, c'est normal. 
Patientes jusqu'au message : 
*** Nettoyage Termine le ..... *** 
Appuies sur une touche comme demandé, le blocnote va s'ouvrir. 
Sauvegardes le rapport de manière à le retrouver sous le nom cleannavi1.txt
Refermes le blocnote. Ton bureau va réapparaitre 
 
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt) 

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter" 
Tapes explorer et valides. Celà te fera apparaitre ton bureau
  
Double clique a nouveau sur navilog1.bat 
Laisses-toi guider. Au menu principal, choisis 4 et valides. 
Ton bureau va disparaitre, c'est normal. 
Il va te demander de saisir le nom de fichier, saisies ce qui est en gras ci-dessous et rien d'autre puis valides: 

bderuoceib

le fix va te demander de le resaisir, fais-le et valides 
Laisses toi guider et réponds aux questions éventuelles 
Patientes jusqu'au message : 
*** Nettoyage Termine le ..... *** 
Appuies sur une touche comme demandé, le blocnote va s'ouvrir. 
Sauvegardes le rapport de manière à le retrouver sous le nomcleannavi2.txt
Refermes le blocnote. Ton bureau va réapparaitre 
Redémarres normalement et copies-colles l'intégralité dans une réponse. 
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt) 

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter" 
Tapes explorer et valides. Celà te fera apparaitre ton bureau.

Redémarres normalement.

Ferme internet explorer puis Démarrer/panneau de configuration/options internet 
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs : 
electronic-group 
egroup 
Montorgueil 
VIP 
"Sunny Day Design Ltd" 
Tu les supprimes si tu les trouvent.


Poste les rapports cleannavi1 et c leannavi2 dans ta réponse avec un nouveau log HijackThis.
@+

Lyonnais92 · Answer

Bonjour,

le courage, c'est à toi qu'il en faut, moi, mon seul risque c'est de transpirer un peu si je ne trouve pas ce qui se passe.

1) As tu vérifié l'absence des certificats comme demandé en fin du post  3 ?

2) Tu n'as pas répondu à la question sur l'origine de 
C:\WINDOWS\system32\bderuoceib.dat.ren 

3) Tu fais clic droit sur démarrer, rechercher et tu cherches  bderuoceib dans tes disques dur.

4) Quel est ton FAI ?

5) On va boucler cette histoire par un grand nettoyage de printemps.

Lis bien et exécute cette manip dans l’ordre. 

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers 
mets les à jour, comme indiqué dans les démos ou tutos. 

Ne les utilises pas tout de suite. 


Antispywares et autres : 

*Ad-Aware (gratuit) 
Téléchargement : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html 
Le patch en Français pour Ad-Aware (gratuit) : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html 
Tuto : 
http://perso.orange.fr/entraide-hijackthis/AdAware/AdAware.htm 

*Spybot (gratuit) : 
Téléchargement : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html 
voir demo d utilisation (merci Balltrap) 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

* AVG AS 

AVG anti spyware 
https://www.01net.com/telecharger/
Met le a jour avant de lancer le scan. 
Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html 


Nettoyeurs (de fichiers inutiles) et autres : 

*Ccleaner (gratuit) 
Téléchargement : 
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto : 
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo ! 

======================================== 
->Affiches tous les fichiers et dossiers : 
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage 

[Coche] « afficher les dossiers et fichiers cachés » 

[Décoches] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoches] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok] 

======================================= 

->Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec 
puis tape « entrée ». 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
======================================== 
->Recherche et supprime ces fichiers en gras (si présents) : 

C:\WINDOWS\system32\bderuoceib.dat.ren   ======================================== 
->Lance CCleaner. 

Suppression des fichiers temporaires 

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche 
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 
Retourne ensuite dans la section "Nettoyeur" 
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé) 
• Clique sur [Analyse] 
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. 
• Une fois le scan terminé, clique sur [Lancer le Nettoyage] 



======================================== 
->Lance AVG pour un scan complet "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum] 
======================================== 
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines… 
======================================== 
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines… 
======================================== 
->Relance CCleaner. 
Suppression des incohérences du registre 

• Clique sur l'icône [Erreurs] situés dans la marge à gauche 
• Puis clique sur [Analyser les erreurs] 
• Patiente pendant que CCleaner scan ton registre. 
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée. 
• Tu peux cliquer ensuite sur [Corriger les erreurs]. 

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement. 
======================================== 
->Vide ta Corbeille. 
======================================== 
->Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum. 

 6) Tu supprimes navilog1.zip et tous les fichiers que tu as créé en lle dézippant.

Tous les programmes que je t'ai fait téléchargé ci-dessus
sont à conserver et à utiliser régulièrement (une fois par semaine). Tu mets à jour les antispywares avant de les utiliser.

7) Que reste-t-il comme souci ?

@+

Lyonnais92 · Answer

Re,

le FAI, c'est le fournisseur Internet (exactement Fournisseur d'Accès Internet).


Avant de faire les manips que je t'indiques, tu devrais trouver des fichiers avec bderuoceib par rechercher.

@+ avec les log.

Lyonnais92 · Answer

Re,

reste sur ton pseudo initial, merci.

Si tu trouves des fichiers avec la chaîne de caractère, donne en la liste en réponse.
@+

Lyonnais92 · Answer

Bonsoir,

oui, tu l'effaces.

C'était le dernier truc de mon point de vue (si tu es chez AOL).

On va quand même attendre 2 ou 3 jours pour vérifier que tout va bien. Tu reviendras marquer résolu à  ce moment là.

@+

Lyonnais92 · Answer

Bonjour,

au passage, pourquoi tu n'as pas répondu à Boulepate ici :

ordi tres lent chargement des pages lents aus



Sais tu qui est  "laouriga" ?

Refais le point 5 du post 5 et poste les logs;

L'ordi est lent quand ? Démarrage, fermeture, ouverture et changement de pages Internet, tout le temps ?

@+

Lyonnais92 · Answer

Bonsoir,

Ok pour ton frère,

Ok pour laouriga (la 016 est légitime).

Refais le 5 du post 5.

Qu'est ce qui est lent dans l'ordi ,  le démarrage, Internet, la fermeture, tout ?
@+

Lyonnais92 · Answer

Bonsoir,

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laouriga.spaces.live.com//PhotoUpload/MsnPUpld.cab 
Cette ligne, identifiée par 016, est "légitime" (normale, n'est pas le signe d'une infection) dès lors que elle sert à ce que tu envoies des données de ton ordi à un site à toi (laouriga). Si c'était un inconnu, ça pourrait être un mécanisme de piratage.
Au post 5 (ma réponse est le post 18, ta demande initiale le post 0), il y a des choses à faire que j'ai numéroté 1), 2), .... 5).

Je te demande de refaire ce que je te demandais là.
@+

nathalie100 · Answer

a bientot lyonnais mon ordi semble aller mieux

merci pour tes conseils avises 

cordialement nat

Lyonnais92 · Answer

Bonjour,

content d'avoir pu te rendre service.

Bon surf.

Analyse hijack svp serwab est la

11 réponses

Discussions similaires