Help virus win32/cmdow.142 et win32/pswtool.

juju26 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

apres analyse de mon systeme avec mon antivirus NOD32 voici deux virus touvés!!!! je vous laisse un rapport hijackthis si quelqu un peut m aider merci d avance! ;)

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:56, on 18/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\TweakRAM\TweakRAM.exe
C:\Program Files\LClock\lclock.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe
O4 - HKCU\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{09477515-AC83-40A8-A504-0C0007ECB2BE}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - C:\WINDOWS\system32\pr2ajbeb.exe

--
End of file - 6146 bytes

merci ;)
Configuration: Windows XP
Internet Explorer 6.0

19 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    AVG antispyware
    https://www.01net.com/telecharger/
    http://free.grisoft.com/doc/download-free-anti-spyware/us/frt/0

    Tuto :
    http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

    ->Relance AVG AS -> "Analyse" ->"Paramètres"

    Sous la question "Comment réagir ?" :

    -> clique sur "Actions recommandées" et choisis "Quarantaines"
    -> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    Si un fichier est infecté en fin d'analyse

    ->Clique sur "Appliquer toutes les actions "

    ->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

    ->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici

    __________________
    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr
    0
  2. jujju26
     
    salut,

    tout d abord merci pour ta reponse et tes conseils donc voici les rapports d avg antispyware

    ware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 20:01:26 20/03/2008

    + Résultat de l'analyse:

    C:\Documents and Settings\Administrateur\Cookies\administrateur@himedia.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@auto.search.msn[2].txt -> TrackingCookie.Msn : Nettoyé.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@auto.search.msn[2].txt -> TrackingCookie.Msn : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\Documents and Settings\julienm\Cookies\julienm@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@zedo[2].txt -> TrackingCookie.Zedo : Nettoyé.

    Fin du rapport

    pour l analyse en ligne je l aieffectué par contre pour le rapport j ai fai une mauvaise manip' et je les eprdu par contre je peux vous dire qu il a trouvé un virus et qu il a supprimé. en esperant que cela ne vous genera pas trop dans votre analyse

    merciiiii
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    aie

    je voulais connaitre le noms des fichiers inféctés...
    0
  4. jujju26
     
    arffffffff,

    je les vu il y en avai un en plus dans une cle de registre je crois mais le nom je^peu pas te dire!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    sinon dans nod 32 tu as le rapport avec le noms des fichiers inféctés?
    0
  7. jujju26
     
    ok g essayer de recuperer ce que j ai pu j espere que ca peut t aider,je vous donne juste les lignes infecté

    rapport du 13/03

    C:\WINDOWS\system32\cmdow.exe - Win32/CMDOW.142 application - supprimé
    C:\WINDOWS\system32\data.cab »CAB »F4087_PCIPD.COM.A0EE8843_6A6D_4EAE_931B_F412EEDDF228 »ExePack 4.05 - erreur de décompression
    C:\WINDOWS\system32\Keyfinder.exe »NSIS »officekey.exe - Win32/PSWTool.RAS.A application - était une partie de l'objet supprimé
    C:\WINDOWS\system32\Keyfinder.exe »NSIS »xpkey.exe - une variante de Win32/PSWTool.RAS.A application - était une partie de l'objet supprimé

    rapport du 18/03

    C:\System Volume Information\_restore{89BD9D95-C505-4D61-A408-9868D4B64909}\RP44\A0007365.exe - Win32/CMDOW.142 application - mis en Quarantaine
    C:\System Volume Information\_restore{89BD9D95-C505-4D61-A408-9868D4B64909}\RP44\A0007366.exe »NSIS »officekey.exe - Win32/PSWTool.RAS.A application
    C:\System Volume Information\_restore{89BD9D95-C505-4D61-A408-9868D4B64909}\RP44\A0007366.exe »NSIS »xpkey.exe - une variante de Win32/PSWTool.RAS.A application
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    lance a squared free et vire:

    https://www.01net.com/

    C:\WINDOWS\system32\cmdow.exe

    ______________

    télécharge OTMoveIt
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    C:\WINDOWS\system32\cmdow.exe
    C:\WINDOWS\system32\Keyfinder.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    _______________

    si tout s'est bien passé;

    désactive la restauration système pour purger les virus qui seraient dedans puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)
    0
  9. jujju26
     
    le lien pour square free ne fonctionne plus !! est ce que je dois faire quand meme la suite ou dois je faire autre chose
    0
  10. jujju26
     
    j ai fais une analyse avec square freee mais il ne ma pas trouvé ce fichier!! j ai verifier avec mon gestionnaire de tache "totalcommander" et je ne trouve pas ces deux fichier :

    C:\WINDOWS\system32\cmdow.exe
    C:\WINDOWS\system32\Keyfinder.exe

    Est ce normale??
    0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTMoveIt
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    C:\WINDOWS\system32\cmdow.exe
    C:\WINDOWS\system32\Keyfinder.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    _______________

    si tout s'est bien passé;

    désactive la restauration système pour purger les virus qui seraient dedans puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)
    ________________
    ensuite verifie avec ton antvirus sui encore des soucis

    a plus
    0
  12. jujju26
     
    voila le rapport,

    File/Folder C:\WINDOWS\system32\cmdow.exe not found.
    File/Folder C:\WINDOWS\system32\Keyfinder.exe not found.

    OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03202008_220827

    je referai une analyse avec nod demain ,encore merci pour ton aide!!
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok a demain
    0
  14. jujju26
     
    voila je suis la juste pour midi et deux!! donc g refai l analyse avec nod 32 et voici les ligne d erreur

    C:\System Volume Information\_restore{89BD9D95-C505-4D61-A408-9868D4B64909}\RP44\A0007366.exe »NSIS »officekey.exe - Win32/PSWTool.RAS.A application - était une partie de l'objet supprimé

    C:\System Volume Information\_restore{89BD9D95-C505-4D61-A408-9868D4B64909}\RP44\A0007366.exe »NSIS »xpkey.exe - une variante de Win32/PSWTool.RAS.A application - était une partie de l'objet supprimé

    voila a+
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as du mal désactivé la restauration système car les fichiers sont dedans

    DESACTIVE ta restauration puis redémarre ton ordi puis réactive là

    https://www.informatruc.com

    refais ensuite nod 32 , cela devrait etre bon!
    0
  16. jujju26
     
    ok merci j avais omis de faire cette étape!! je vais ca et je te tiens au courant merci
    0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok
    0
  18. juju26
     
    salut bon ben tout a l air ok, j ai refais une analyse et nod32 ne trouve plus rien je te remercie beaucoup!!
    et je ne te dis pas a bientot ;) et encore merci ....
    0
  19. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait!
    0