Sujet Précédent Sujet Suivant

Infecté par Win32:Warezov-BYY ...

Simaco -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Infection par le virus Win32:Warezov-BYY [Wrm]
Bonjour a tous, je n'arrive pas a me débarasser de ce virus : j'ai avast, et j'ai beau envoyer warezov en quarantaine ou le supprimer il revient toujours.
J'ai également essayé de désactiver la restauration automatique ayant trouvé cela comme réponse dans le forum, rien n'y fait.
PS : je ne m'y connais pas vraiment en informatique, ne m'en veuillez pas si je fais des erreurs bêtes...
Merci d'avance pour vos réponses si il y en a.

80 réponses

Précédent
Réponse 21 / 80
Simaco
 
Re,
je te signale que le logiciel que tu m'as envoyé contenait un virus troyen. j'espere sincèrement que c'est une erreur, parce que je pensais être tombé sur un forum ou des gens sympas tentaient d'en débloquer d'autres, et non de les enfoncer encore plus...
0
Réponse 22 / 80
Simaco
 
Sais tu a quoi est lié ce virus? car la je ne sais pas trop si je dois lancer le logiciel ou pas...
Simaco
0
Réponse 23 / 80
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

moi je sais que SmitfraudFix a décelé ça :
»»»»»»»»»»»»»»»»»»»»»»»» Rustock

pe386 détecté, utilisez un scanner de Rootkit

et que contre pe386, le bon outil est rustockbfix de ejvindh.

Je ne sais pas quel est le programme qui te le décèle comme malware, mais il aurait mieux fait de bloquer ceux qui pourrissent ton ordi.

Si tu n'es pas convaincue, tu tapes rustbfix.exe dans une recherche Google
@+
0
Réponse 24 / 80
Simaco
 
Le problème c'est justement que il s'agit d'avast!
enfin bon je vais te fair e confiance...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 80
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

ce type de détection à tort esta ssez courante. On appelle ça un faux positif.

Tu peux y aller sans crainte.

Encore une fois, fais une recherche par Google ou regarde les autres posts où je suis intervenu.
@+
0
Réponse 26 / 80
Simaco
 
Alors pour le premier rapport (pelog) :
************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
19/06/2007 22:36:27,07

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 67860
Total size: 67860 bytes.
Attempting to remove ADS...
system32: deleted 67860 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32

******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32

******************************* End of Logfile ********************************
0
Réponse 27 / 80
Simaco
 
Et voila pour le deuxième (avenger):

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
19/06/2007 22:36:27,07

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 67860
Total size: 67860 bytes.
Attempting to remove ADS...
system32: deleted 67860 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32

******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32

******************************* End of Logfile ********************************
0
Réponse 28 / 80
Simaco
 
Excuse moi , j'ai copié 2 fois la même chose :/...voila le 2e :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nyfmeawv

*******************

Script file located at: \??\C:\sloidaoj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.
0
Réponse 29 / 80
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
re,

que voilà une bonne chose de faite.

refais un scan Bit defender on line, poste le rapport avec un nouveau rapport Hujackthis.

@+
0
Réponse 30 / 80
Simaco
 
Rapport bit defender :
BitDefender Online Scanner

Rapport d'analyse généré à: Wed, Jun 20, 2007 - 12:57:42

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;

Statistiques

Temps
02:05:56

Fichiers
229437

Directoires
7662

Secteurs de boot
4

Archives
3615

Paquets programmes
11530

Résultats

Virus identifiés
11

Fichiers infectés
13

Fichiers suspects
1

Avertissements
0

Désinfectés
0

Fichiers effacés
5

Info sur les moteurs

Définition virus
514480

Version des moteurs
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
6

E-mail plugins
6

Système plugins
1

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions

Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui

Fichier analysé
Statut

C:\WINDOWS\system32\cmsdn32.exe
Suspecté de: BehavesLike:Win32.Backdoor

C:\WINDOWS\system32\cmsdn32.exe
Echec de la désinfection

C:\WINDOWS\system32\cmsdn32.exe
Echec de la suppression

C:\WINDOWS\system32\cnnprf32.dll
Infecté par: Worm.Warezov.PD

C:\WINDOWS\system32\cnnprf32.dll
Echec de la désinfection

C:\WINDOWS\system32\cnnprf32.dll
Supprimé

C:\WINDOWS\system32\confcnn.dll
Infecté par: Worm.Warezov.MG

C:\WINDOWS\system32\confcnn.dll
Echec de la désinfection

C:\WINDOWS\system32\confcnn.dll
Echec de la suppression

C:\WINDOWS\system32\confffn.dll
Infecté par: Worm.Stration.JK

C:\WINDOWS\system32\confffn.dll
Echec de la désinfection

C:\WINDOWS\system32\confffn.dll
Echec de la suppression

C:\WINDOWS\system32\confnxs.dll
Infecté par: Win32.Warezov.XU@mm

C:\WINDOWS\system32\confnxs.dll
Echec de la désinfection

C:\WINDOWS\system32\confnxs.dll
Echec de la suppression

C:\WINDOWS\system32\confnxx.dll
Infecté par: Win32.Warezov.YR

C:\WINDOWS\system32\confnxx.dll
Echec de la désinfection

C:\WINDOWS\system32\confnxx.dll
Echec de la suppression

C:\WINDOWS\system32\confxxn.dll
Infecté par: Win32.Stration.DAO

C:\WINDOWS\system32\confxxn.dll
Echec de la désinfection

C:\WINDOWS\system32\confxxn.dll
Echec de la suppression

C:\WINDOWS\system32\e1.dll
Infecté par: Win32.Worm.Stration.QRS

C:\WINDOWS\system32\e1.dll
Echec de la désinfection

C:\WINDOWS\system32\e1.dll
Echec de la suppression

C:\WINDOWS\system32\mag_cscd.dll
Infecté par: DeepScan:Generic.Stration.BBB224D8

C:\WINDOWS\system32\mag_cscd.dll
Echec de la désinfection

C:\WINDOWS\system32\mag_cscd.dll
Echec de la suppression

C:\WINDOWS\system32\sysc10trg.exe
Infecté par: Dropped:Worm.Warezov.MG

C:\WINDOWS\system32\sysc10trg.exe
Echec de la désinfection

C:\WINDOWS\system32\sysc10trg.exe
Echec de la suppression

C:\WINDOWS\system32\ym.exe
Infecté par: DeepScan:Generic.Stration.4326841D

C:\WINDOWS\system32\ym.exe
Echec de la désinfection

C:\WINDOWS\system32\ym.exe
Supprimé

E:\Windows\zip1.tmp=>(BASE64)=>document.txt .exe
Infecté par: Win32.Netsky.P@mm

E:\Windows\zip1.tmp=>(BASE64)=>document.txt .exe
Supprimé

E:\Windows\zip1.tmp=>(BASE64)
Mis à jour

E:\Windows\zip1.tmp
Echec de la mise à jour

E:\Windows\zip2.tmp=>(BASE64)=>data.rtf .scr
Infecté par: Win32.Netsky.P@mm

E:\Windows\zip2.tmp=>(BASE64)=>data.rtf .scr
Supprimé

E:\Windows\zip2.tmp=>(BASE64)
Mis à jour

E:\Windows\zip2.tmp
Echec de la mise à jour

E:\Windows\zip3.tmp=>(BASE64)=>details.txt .pif
Infecté par: Win32.Netsky.P@mm

E:\Windows\zip3.tmp=>(BASE64)=>details.txt .pif
Supprimé

E:\Windows\zip3.tmp=>(BASE64)
Mis à jour

E:\Windows\zip3.tmp
Echec de la mise à jour

Nouveau rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 13:08:01, on 20/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime5\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\c.5.0.exe
C:\WINDOWS\system32\sysc10trg.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\VTech\Genius XL\pclink.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\3315.exe
C:\WINDOWS\system32\33E0.exe
C:\WINDOWS\System32\odfybc22.exe
C:\DOCUME~1\Simon\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\system32\svct_32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\svchcc32.exe
O4 - HKLM\..\Run: [nssdiag] C:\WINDOWS\c.5.0.exe
O4 - HKLM\..\Run: [nxsdiag] C:\WINDOWS\system32\c.6.0.exe
O4 - HKLM\..\Run: [nxxdiag] C:\WINDOWS\system32\c.7.0.exe
O4 - HKLM\..\Run: [MnEx32] C:\WINDOWS\system32\cmsdn32.exe
O4 - HKLM\..\Run: [NI.UWAS6V_0001_N91M2208] "C:\Documents and Settings\Simon\Bureau\WinAntiSpyware2006FreeInstall_fr.exe" -nag
O4 - HKLM\..\Run: [ffndiag] C:\WINDOWS\system32\systrgapi9.exe
O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\system32\sysc10trg.exe
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [odfybc22] C:\WINDOWS\System32\odfybc22.exe
O4 - HKLM\..\Run: [33E0] C:\WINDOWS\system32\33E0.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ers.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel de connexion PC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://www.msn.com/fr-fr/
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108461942593
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: confnss.dll confnxs.dll confnxx.dll confxxn.dll e1.dll confffn.dll confcnn.dll odfybcmz22.dll
O20 - Winlogon Notify: mag_cscd - C:\WINDOWS\system32\mag_cscd.dll
O20 - Winlogon Notify: odfybc22 - C:\WINDOWS\System32\odfybc22.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 31 / 80
Simaco
 
euh...tu es la?
0
Réponse 32 / 80
Simaco
 
Apperemment non...
0
Réponse 33 / 80
rudyrital Messages postés 6233 Statut Membre 131
 
salut, desolé mais beaucoup de monde!!!

relance hijackthis puis clic sur "do a system scan only"

apres le scan coche ces lignes et seulement celles ci !!

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\system32\svct_32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\svchcc32.exe
O4 - HKLM\..\Run: [nssdiag] C:\WINDOWS\c.5.0.exe
O4 - HKLM\..\Run: [nxsdiag] C:\WINDOWS\system32\c.6.0.exe
O4 - HKLM\..\Run: [nxxdiag] C:\WINDOWS\system32\c.7.0.exe
O4 - HKLM\..\Run: [MnEx32] C:\WINDOWS\system32\cmsdn32.exe
O4 - HKLM\..\Run: [NI.UWAS6V_0001_N91M2208] "C:\Documents and Settings\Simon\Bureau\WinAntiSpyware2006FreeInstall_fr.exe" -nag
O4 - HKLM\..\Run: [ffndiag] C:\WINDOWS\system32\systrgapi9.exe
O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\system32\sysc10trg.exe
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [odfybc22] C:\WINDOWS\System32\odfybc22.exe
O4 - HKLM\..\Run: [33E0] C:\WINDOWS\system32\33E0.exe
O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ers.exe" /min
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)

referme ton navigateur (internet explorer ) puis clic sur " fix check"
0
Réponse 34 / 80
rudyrital Messages postés 6233 Statut Membre 131
 
Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.

Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
0
rudyrital Messages postés 6233 Statut Membre 131
 
merci lyonnais92 et j'espere que je ne t'ai pas coupé l'herbe sous le pied ;)
0
Réponse 35 / 80
Simaco
 
Depuis que j'ai téléchargé ton fichier et lancé le scan en mode sans echec, un nouveau virus est signalé par avast :Win32:Opnis-B [Trj] dans le fichier C:\WINDOWS\system32\odfybcmx22.exe. Impossible de faire quoi que ce soit sur ce fichier, avast dit qu'il est introuvable et si je ne fais rien la fenêtre réapparaît...enfin bon, voila le rapport :

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 20/06/2007 a 19:36:46,73

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.1"

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\WinAntiSpyware 2006 Scanner\"
tentative de suppression de "C:\Program Files\WinAntiSpyware 2006 Free\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
0
Réponse 36 / 80
Simaco
 
Au fait, je n'ai vu ton premier message(post 37) qu'après le 38....:/ dois-je recommencer ce qu'il y a a faire dans le post 38?
Autre chose : j'ai beau chercher, le fichier
O4 - HKLM\..\Run: [33E0] C:\WINDOWS\system32\33E0.exe n'apparait pas dans la liste Hijackthis.
0
Réponse 37 / 80
rudyrital Messages postés 6233 Statut Membre 131
 
si tu as fixer ce que je t'ai demandé redemarre et remet un log hijackthis pour verifier
0
Réponse 38 / 80
Simaco
 
Voila pour le log, mais je te répète que je n'ai pas trouvé le fichier suivant :
O4 - HKLM\..\Run: [33E0] C:\WINDOWS\system32\33E0.exe et n'ai ddonc pas pu le supprimer!

Logfile of HijackThis v1.99.1
Scan saved at 09:36:46, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\system32\wmem.exe
C:\WINDOWS\System32\odfybc22.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\VTech\Genius XL\pclink.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Dofus\Dofus.exe
C:\Program Files\Dofus\dofus.dll
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Simon\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [wmem] C:\WINDOWS\system32\wmem.exe
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\system32\wmem.exe -s
O4 - HKLM\..\Run: [odfybc22] C:\WINDOWS\System32\odfybc22.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel de connexion PC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://www.msn.com/fr-fr/
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108461942593
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: confnss.dll confnxs.dll confnxx.dll confxxn.dll e1.dll confffn.dll confcnn.dll diagisr.dll
O20 - Winlogon Notify: mag_cscd - C:\WINDOWS\system32\mag_cscd.dll
O20 - Winlogon Notify: odfybc22 - C:\WINDOWS\System32\odfybc22.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 39 / 80
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

à ce stade, c'est le scan de Bit defender qui donne la liste des éléments à éradiquer.

C:\WINDOWS\system32\cmsdn32.exe
Suspecté de: BehavesLike:Win32.Backdoor

C:\WINDOWS\system32\confcnn.dll
Infecté par: Worm.Warezov.MG

C:\WINDOWS\system32\confffn.dll
Infecté par: Worm.Stration.JK

C:\WINDOWS\system32\confnxs.dll
Infecté par: Win32.Warezov.XU@mm

C:\WINDOWS\system32\confnxx.dll
Infecté par: Win32.Warezov.YR

C:\WINDOWS\system32\confxxn.dll
Infecté par: Win32.Stration.DAO

C:\WINDOWS\system32\e1.dll
Infecté par: Win32.Worm.Stration.QRS

C:\WINDOWS\system32\mag_cscd.dll
Infecté par: DeepScan:Generic.Stration.BBB224D8

C:\WINDOWS\system32\sysc10trg.exe
Infecté par: Dropped:Worm.Warezov.MG

E:\Windows\zip1.tmp
Infecté par: Win32.Netsky.P@mm

E:\Windows\zip2.tmp
Infecté par: Win32.Netsky.P@mm

E:\Windows\zip3.tmp
Infecté par: Win32.Netsky.P@mm

Faute de trouver un outil adapté et/ou une description complète de l'infection, je suggère de rechercher toutes les occurences dans la base de registre de ces radicaux, de traiter la abse de registre par un fix.reg (Rudyrital saura) et de supprimer les fichiers à la main.

Ouvre ce lien :
https://www.bleepingcomputer.com/download/linux/
pour télécharger regsearch.zip.

Choisis Enregistrer puis Bureau.

A la fin du déchargement fais un clic droit sur l'icône de regsearch.zip créée sur le bureau,choisis Extraire tout et suis les instructions.

Exécute Regsearch.exe qui se trouve dans le dossier qui vient d'être créé en double-cliquant et clique sur exécuter.

Dans la fenêtre qui s'ouvre vérifie que toutes les cases sont cochées.

Ensuite écris cmsdn32 dans la première ligne de la fenêtre.

Clique sur OK pour rechercher dans le registre.

En fin de recherche, le bloc-note s'ouvre. Copie-colle le contenu du rapport dans ta réponse.

Le rapport se trouve dans le même dossier que Regsearch.exe sous le nom RegSearch.txt.

Tu refais la même chose avec confcnn puis tous les autres de la liste (sauf e1 où tu cherches sur e1.dll).

Tu postes les résultats dans ta prochaine réponse.
@+
0
Réponse 40 / 80
Simaco
 
Bjour Lyonnais,
veux tu me dire que je dois relancer un scan bit defender online?De plus, certains fichiers sélectionnés par cet antivirus signale qu'il est impossible de désinfecter ou de supprimer...
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Pb Windows 7, .EXE n'est pas app win32 valide
Witeric -
Lio -

15 réponses