Infection Résolu

Question

Bonjour,

j'ai eu une grosse infection et je souhaiterais savoir s'il reste des traces sur mon poste de travail.
voici le log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:03, on 04/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
slsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\WINDOWS\system32\iprntlgn.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\ACDAgent.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\...\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\kdfgj83ke.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iPrint Event Monitor] C:\WINDOWS\system32\iprntlgn.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alcatel OmniTouch Call Center Office.lnk = C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
O4 - Startup: Killjob.bat.lnk = C:\Killjob.bat
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{662CE244-95A3-47B6-B89F-C308FBA665A8}: NameServer = 10.196.2.1,172.19.5.51,172.19.5.52
O20 - AppInit_DLLs: svbwbr.dll
O20 - Winlogon Notify: awtsRkKe - awtsRkKe.dll (file missing)
O22 - SharedTaskScheduler: werkjdnfi8wnkjmdfdfkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Ouverture de session unique de Lotus Notes (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32
slsvice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

verni29 · Answer

Oui, il reste plus que des traces. Ton PC est bien infecté.


Je te conseille de noter ou d'imprimer ce texte car la désinfection va se faire en mode sans échec.
Autre astuce : Copie/colle le texte dans un fichier .txt que tu enregistres sur ton bureau.

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’exécuter . 
Ne choisis que la mise à jour. Le logiciel sera lancé en mode sans échec. 

Tu relances l'ordinateur en mode sans échec ( touche F8 après redémarrage ). 
Tu choisis ton compte utilisateur. 

Pour lancer MalwareBytes, double-clique sur le raccourci du bureau. 

Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
Clique sur lancer l’examen. 

A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche. 
Choisis alors Supprimer la selection pour nettoyer les infections. 
Tu postes le rapport dans ton prochain message.

Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est.
Clique dessus et choisir ouvrir.

A+

fafahoste · Answer

oui il reste des traces :(

fix ça : 

O4 - HKLM\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe

 	O4 - HKCU\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe





Redémarre et repost un nouveau rapport ;)

verni29 · Answer

fafahoste,

Ce n'est pas en enlevant les lignes dans Hijackthis que tu supprimes l'infection.

Salut.

fafahoste · Answer

Moi on m'a toujours appris à faire comme ça. Si ça ne fais que supprimer les lignes alors je vois pas l'intérêt c'est vrai...

Vaut mieux essayer un scan navilog1 non?

Xbrain · Answer

Me revoilà après mon analyse malware d'1 heure...
le log :
ça a l'air correct.
Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1022
Windows 5.1.2600 Service Pack 2

15:17:12 04/08/2008
mbam-log-8-4-2008 (15-17-12).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 92597
Temps écoulé: 42 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Voici un log d'Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:50, on 04/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
slsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\WINDOWS\system32\iprntlgn.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\ACDAgent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\...\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\kdfgj83ke.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iPrint Event Monitor] C:\WINDOWS\system32\iprntlgn.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alcatel OmniTouch Call Center Office.lnk = C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
O4 - Startup: Killjob.bat.lnk = C:\Killjob.bat
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{662CE244-95A3-47B6-B89F-C308FBA665A8}: NameServer = 10.196.2.1,172.19.5.51,172.19.5.52
O20 - AppInit_DLLs: svbwbr.dll
O20 - Winlogon Notify: awtsRkKe - awtsRkKe.dll (file missing)
O22 - SharedTaskScheduler: werkjdnfi8wnkjmdfdfkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Ouverture de session unique de Lotus Notes (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32
slsvice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

fafahoste · Answer

Ouvre internet explorer 

Outils
Option
Supprimer les fichiers temporaire


Après ça. Tout semblera nickel je pense... ;)

Xbrain · Answer

J'ai effacé mes traces dans Firefox
Voici le log Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:37, on 04/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
slsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\WINDOWS\system32\iprntlgn.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\ACDAgent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\...\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\kdfgj83ke.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Client Access PC5250 Sound] "C:\Program Files\IBM\Client Access\Emulator\pcssnd.exe"
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iPrint Event Monitor] C:\WINDOWS\system32\iprntlgn.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alcatel OmniTouch Call Center Office.lnk = C:\Program Files\Alcatel OmniTouch Call Center Office\Agent_Assistant\Dam.exe
O4 - Startup: Killjob.bat.lnk = C:\Killjob.bat
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{662CE244-95A3-47B6-B89F-C308FBA665A8}: NameServer = 10.196.2.1,172.19.5.51,172.19.5.52
O20 - AppInit_DLLs: svbwbr.dll
O20 - Winlogon Notify: awtsRkKe - awtsRkKe.dll (file missing)
O22 - SharedTaskScheduler: werkjdnfi8wnkjmdfdfkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Ouverture de session unique de Lotus Notes (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32
slsvice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

fafahoste · Answer

Toujours un petit truc qui m'énerve. Essaye poste de travail, documents and settings, (ton nom), local settings, temp et la tu supprime tout. 

Ps : peut etre faudra au préalable faire dans poste de travail outils, options des dossiers, afficher les dossiers masqués. ;)

Xbrain · Answer

C'est winlogan qui te dérange je suppose, je vais voir si je peux le supprimer ou si l'accès est "impossible"

fafahoste · Answer

Exactement ce truc la est un virus. Un beau virus même... Et j'aimerai le supprimer... C'est un petit trojan classique mais bon...

fafahoste · Answer

t'as pas réussi à le supprimer? 

Sinon essaye navilog1 ...

verni29 · Answer

1) Télécharge OTMoveIt de Old_Timer) sur ton Bureau. 
 http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 

C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe 
C:\WINDOWS\system32\habxxiz.exe 
C:\Killjob.bat 

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers. 

2) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O2 - BHO: C:\WINDOWS\system32\kdfgj83ke.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing) 
O20 - Winlogon Notify: awtsRkKe - awtsRkKe.dll (file missing)
O22 - SharedTaskScheduler: werkjdnfi8wnkjmdfdfkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\kdfgj83ke.dll (file missing) 

Tu choisis l'option " Fixchecked" en bas de la page.

fafahoste · Answer

Navilog devrai suffir je pense :)

fafahoste · Answer

Ah ok je savais pas que c'était "spécifique". J'en apprend tous les jours :)

verni29 · Answer

Poste les rapports d'OTMoveIT2 et un nouveau rapport Hijackthis.

Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.

A+

verni29 · Answer

1) certains virus sont dans la quarantaine de Norton.
Tu l'ouvres et vides la quarantaine.

2) D'autres sont dans les points de restauration.
on s'en occupera plus tard.

3) Il y en a dans les fichiers temporaires.
télécharge AFT Cleaner et enregistre-le sur le bureau.
http://www.atribune.org/ccount/click.php?id=1

Ferme ton navigateur. Double clique sur ATF-Cleaner.exe.
Si Tu as Firefox, clique dans le menu sur ce nom.

Choisis l'option Select All puis valide.

4) Les virus sont venus de 2 logiciels RealVNC et LSPatch.
Si tu les utilises, retélécharge les mais sur un site sans virus.

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.


C:\Program Files\RealVNC\VNC4\
D:\Applications Ad et Publicis\vnc-4_1_2-x86_win32.exe
C:\WINDOWS\Resources\Themes\LSpatch\LSPatch.exe 


clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers. 

5) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe 
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [wekewfjo983mkefdd] C:\DOCUME~1\...\LOCALS~1\Temp\winlogan.exe 
O4 - Startup: Killjob.bat.lnk = C:\Killjob.bat 

Tu choisis l'option " Fixchecked" en bas de la page.

6) Tu postes un nouveau rapport Hijackthis.

A+

verni29 · Answer

Tu vas m'envoyer un rapport Deckard's System Scanner. 

Imprime ce qui suit ou note-le car il te faudra fermer toutes les applications. 

- télécharge le à l'adresse suivante : 
http://www.geekstogo.com/forum/files/ 

- ferme toutes les applications et fenêtres 
- double-clique sur dss.exe pour le lancer 
- désactive les antivirus ou parefeu. 

- s'il s'agit d'une première utilisation de DDS 
tu devras cliquer 2 fois sur le OK des boîtes de Dialogue 
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée 
quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : 
- main.txt --> ouvert en premier plan et en plein écran 
- extra.txt --> ouvert en second plan et en fenêtré (regarde la barre des taches) 
- Tu copies le contenu de main.txt dans ton prochain post 
- copie également le contenu de extra.txt dans ton prochain post. 
Et réactive les protections si elles ont été stoppées.

A+

verni29 · Answer

1) Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 

C:\WINDOWS\system32\habxxiz.exe 
C:\WINDOWS\system32\glxeunms.dll
C:\1481158789
C:\beeb.exe
C:\xxdxsn.exe  

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers. 

2) Ouvre le bloc-notes et copie le texte en citation.
Enregistre le sur le bureau et nomme le fix.txt

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"h4bdha7"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*h4bdha7"=-

Renomme le en fix.reg ( click droit --> renommer )
Click droit sur ce fichier --> choisis Fusionner.

A+

verni29 · Answer

Redémarre le PC et refais moi un rapport Hijackthis.

A+

verni29 · Answer

1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe

Tu choisis l'option " Fixchecked" en bas de la page. 

2) Il faut que tu me trouves l'emplacement de ce fichier : svbwbr.dll 

Fais apparaitre les fichiers cachés et système.

Pour montrer sur l'ordinateur tous les fichiers, cachés et systèmes :
--> Poste de travail --> Outils --> Options des dossiers --> Onglet Affichage
Vérifier que " Afficher les fichiers et dossiers cachés" est coché.
Vérifier que " Masquer les fichiers protégés du système d'exploitation ( recommandé )" est décoché.

A+

Xbrain · Answer

Petite parenthèse, je viens de réinstaller Norton Antivirus 10.1.6.6000 et quand je demande une analyse j'ai l'erreur "Impossible de lancer l'analyse. Erreur 0x20000058 renvoyée par le moteur d'analyse".
Même après désinstallation totale (avec l'outil de suppression Symantec) j'ai le même problème et quelque soit la version, 10.1.5 idem.

Une idée ?

verni29 · Answer

J'ai trouvé et article qui parle de cette erreur.

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005030314150448?Open&seg=ent

Il parle d'un patch à appliquer.

ricci · Answer

Salut à tous, 

j'ai la meme mer..

Bon manifestement, c'est le *h4bdha7, habxxsiz.exe qui ne se supprime jamais..

ll est présent windows\system32.....
il revient tout le temps.

Il casse Symantec et rends impossible son analyse, effectivement j'ai le même bug que cité précédemment.
Symantec s'excite sur une possible envoie mutliple et infinie de mail (une analyse infinie, c'est tres relou)

Je suis allé en mode sans échec, Symantec fonctionne et ne trouve rien.
MalWare ne trouve rien,  SpyBot non plus.
J'ai choppé AVG, qui le trouve BackDoor etc... Bref, il arrive à le mettre en quarantaine et tout semble réglé... Par contre au redémarrage de la bécane, c'est reparti. Faut relance AVG pour le mettre en quarantaine

j'ai essayé de le supprimer via pas mal d'outils, rien n'y fait.. il revient tout le temps.
Je suis allé en mode sans échec, aller dans la base de registre, viré partout où il apparait, (dossier run et RunONe dans lequel il revient tout le temps, quasiment instantanément....HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce)

Je me demande ce qu'il provoque d'ailleurs sur les réseaux locals ainsi que les VPN... ca fait un peu peur

help help, je vous remercie déjà de vos réponse..
Est ce un super virus? En avez vous deja entendu parlé?

Merci

verni29 · Answer

On reviendra si on trouve sur .exe récalcitrant

1) Tu n'as pas de parefeu sur ton PC ( à moins que Symantec ne le fasse ).
Installe en un.

Quelques pare-feu gratuits :

Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/

- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4

- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/

-Online Armor :( anglais )
https://www.malekal.com/tutorial-online-armor-free/ 

2) J'aimerais que tu analyses le fichier suivant : glaide32.sys 

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/

Tu cliques sur parcourir pour sélectionner ce fichier sur ton disque dur.
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

Chemin :
C:\WINDOWS\system32\drivers\glaide32.sys 

A+

ricci · Answer

sorry mais ou puis je le trouver? :)

ricci · Answer

pardon j'ai rien dit....

ricci · Answer

par contre, je n'en ai pas.....

ricci · Answer

Analyse de habxxiz.exe

Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.7.29.1 	2008.08.01 	-
AntiVir 	7.8.1.15 	2008.08.01 	TR/ATRAPS.Gen
Authentium 	5.1.0.4 	2008.07.31 	-
Avast 	4.8.1195.0 	2008.08.01 	-
AVG 	8.0.0.156 	2008.08.01 	BackDoor.Generic9.AZWI
BitDefender 	7.2 	2008.08.01 	-
CAT-QuickHeal 	9.50 	2008.08.01 	(Suspicious) - DNAScan
ClamAV 	0.93.1 	2008.08.01 	Trojan.Banload
DrWeb 	4.44.0.09170 	2008.08.01 	-
eSafe 	7.0.17.0 	2008.07.29 	-
eTrust-Vet 	31.6.6001 	2008.08.01 	-
Ewido 	4.0 	2008.08.01 	-
F-Prot 	4.4.4.56 	2008.08.01 	-
F-Secure 	7.60.13501.0 	2008.08.01 	-
Fortinet 	3.14.0.0 	2008.08.01 	-
GData 	2.0.7306.1023 	2008.08.01 	-
Ikarus 	T3.1.1.34.0 	2008.08.01 	Backdoor.Win32.HacDef.gy
K7AntiVirus 	7.10.402 	2008.08.01 	-
Kaspersky 	7.0.0.125 	2008.08.01 	-
McAfee 	5352 	2008.08.01 	-
Microsoft 	1.3704 	2008.07.28 	-
NOD32v2 	3317 	2008.08.01 	-
Norman 	5.80.02 	2008.08.01 	-
Panda 	9.0.0.4 	2008.08.01 	Suspicious file
PCTools 	4.4.2.0 	2008.08.01 	-
Prevx1 	V2 	2008.08.01 	Suspicious
Rising 	20.55.42.00 	2008.08.01 	-
Sophos 	4.31.0 	2008.08.01 	Sus/UnkPacker
Sunbelt 	3.1.1537.1 	2008.08.01 	-
Symantec 	10 	2008.08.01 	-
TheHacker 	6.2.96.391 	2008.07.31 	-
TrendMicro 	8.700.0.1004 	2008.08.01 	PAK_Generic.001
VBA32 	3.12.8.2 	2008.08.01 	Backdoor.Win32.IRCBot.edk
ViRobot 	2008.8.1.1321 	2008.08.01 	-
VirusBuster 	4.5.11.0 	2008.08.01 	-
Webwasher-Gateway 	6.6.2 	2008.08.01 	Trojan.ATRAPS.Gen
Information additionnelle
File size: 63488 bytes
MD5...: 6d409e7cff31f08364a6512199a2c8e1
SHA1..: 9e253151a8aa3dd0aa2aad1ac7d1f2f3a4ce4423
SHA256: e8988e4cabd73b44ccfca603e884d927c1c5b3c6b7967a962f637c28fe275727
SHA512: d8db00366d6aedb1bcc763b52df001f8ae883f1428f8c3865b5ab18a8e2bc693
592c1b377156ba007d3b3390445349f7f1e7b3b7940a374235b0b79cdb5e6bee
PEiD..: tElock v0.99 Special Build -> heXer & forgot
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2809d
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
PELOCKnt 0x1000 0x4000 0x1c00 7.97 a4baae271a4247a13c4e0644caac6fc9
PELOCKnt 0x5000 0x1000 0x600 7.86 648aa0437af14f9681960eebca99df89
PELOCKnt 0x6000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
PELOCKnt 0x7000 0x1000 0x200 7.60 3056e1fba73d4f8956010c0f3afb6cc6
PELOCKnt 0x8000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
PELOCKnt 0x9000 0x2000 0x200 7.59 743aded80bc0eb5b5b1e953bf3400b52
.rsrc 0xb000 0xb000 0xa800 7.92 e6b49ddb8053a4253a44e9090fabe4a1
PELOCKnt 0x16000 0x3000 0x2600 7.83 076df561016a996116c8a78627b70ea5

( 2 imports )
> kernel32.dll: GetModuleHandleA
> user32.dll: MessageBoxA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DCD0F9C300133B29F86400273621A800114C8553
packers (F-Prot): TeLock
packers (Kaspersky): PE_Patch, TeLock

verni29 · Answer

Ricci,

Le message précédent ne s'adressait pas à toi.
Merci en tout cas pour l'info sur l'exécutable.

Si tu le veux, on continue la discussion par messagerie du forum.
Il faut que tu t'inscrives et tu pourras m'envoyer des MP ( clicque sur mon nom et tu pourras le faire.

XBrain, tu pourrais faire ce qui est demandé sur le lien suivant :
http://www.commentcamarche.net/forum/affich 7736745 infection?page=2#36

A+

Ricci, si tu veux m'envoyer ton rapport Hijackthis ( par MP ).

ricci · Answer

j'ai pris contact avec mon service info, a priori je suis bon pour une réinstalle..j'en peux plus

ricci · Answer

mais je le trouve pas ce glaide32....

verni29 · Answer

Par MP, STP.

verni29 · Answer

Il faut que tu installes absolument le parefeu pour bloquer l'intrusion par IRCBot.

On va reessayer. Si on supprime le rootkit qui est associé à l'éxecutable, le tour sera gagné.

1) Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.

C:\WINDOWS\system32\habxxiz.exe
C:\WINDOWS\system32\glaide32.sys

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

2) Supprime les deux lignes dans le rapport Hijackthis ( même manip que précedemment ).

Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe

Tu choisis l'option " Fixchecked" en bas de la page. 

Redémarre. Poste un nouveau rapport Hijackthis.

A+

verni29 · Answer

Télécharge Blacklight de F-Secure 
ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe 

-enregistre le sur ton Bureau. 
- Double-clique sur fsbl.exe et accepte la licence ; clique Scan puis Next. 
- Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 
- Copie et colle le contenu de ce rapport dans ta prochaine réponse.

verni29 · Answer

On va vérifier la présence d'un rootkit avec un autre outil.

Télécharge gmer 
http://www2.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau ) 

Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte. 
* Clique sur l'onglet "rootkit", puis clique sur scan. 
* A la fin du scan, clique sur le bouton save. 
cela devrait te sauvegarder un fichier .log 
Enregistre-le sur le bureau. 
* Édite ce rapport dans ta prochaine réponse.

A+

verni29 · Answer

1) le rootkit est attaché à tous les protocoles de connexion internet ( TCP/IP, UDP ).
Comme je te le dis, il faut absolument installé un parefeu pour pouvoir le neutraliser.
Tu l'installes avant de passer à la suite.

Les manips suivantes sont à faire dans la foulée.

2) Menu Démarrer --> exécuter et tape : cmd puis clique sur OK.
Tape chacune de ces lignes en appuyant sur la touche entrée à chaque fois pour valider la commande :
Tu peux faire du copier coller. Il faut que tu recopies chaque ligne précisemment.
Copie une ligne --> dans la fenêtre cmd, click droit --> Coller la ligne puis valide en tapant sur Entrèe

gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Type 1"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Start 1"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@ErrorControl 0"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32@Imagepath"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glaide32\Security@Security"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@Type 1"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@Start 1"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@ErrorControl 0"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@ImagePath"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\glaide32@"
gmer -del service glaide32
gmer -del file "C:\WINDOWS\system32\drivers\glaide32.sys"
gmer -del file "C:\WINDOWS\system32\habxxiz.exe"
gmer -reboot 

3) Ouvre le bloc-notes et copie le texte en citation.
Enregistre le sur le bureau et nomme le fix.txt

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"h4bdha7"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*h4bdha7"=-

Renomme le en fix.reg ( click droit --> renommer )
Click droit sur ce fichier --> choisis Fusionner.

4) Supprime les deux lignes ( s'il le faut ) dans le rapport Hijackthis ( même manip que précedemment ).

Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKLM\..\RunOnce: [*h4bdha7] C:\WINDOWS\system32\habxxiz.exe
O4 - HKCU\..\Run: [h4bdha7] C:\WINDOWS\system32\habxxiz.exe

Tu choisis l'option " Fixchecked" en bas de la page.

Redémarre. Poste un nouveau rapport Hijackthis.

verni29 · Answer

C'est certain que dans ce cas le problème est réglé.
Dommage, j'aurais bien aimé voir ce que cela donnait avec gmer.

Sur ce bonne continuation et bon surf.

salut.

Infection

37 réponses

Votre réponse

Discussions similaires

Newsletters