Ai-je bien nettoyé ma machine ?
Résolu
Vincentimedemi
Messages postés
11
Statut
Membre
-
Vincentimedemi Messages postés 11 Statut Membre -
Vincentimedemi Messages postés 11 Statut Membre -
Bonjour,
Après avoir prêté mon appart pendant les vacances, j'ai retrouvé mon ordi copieusement vérolé (merci les "copains" utilisateurs de MSN et autres Yahoo toolbar !!!). Il y avait entre autre joyeusetés un trojan downloader.
Comme cure j'ai appliqué un scan complet de Panda antivirus, suivi d'un passage de AdAware puis, last but not least, un toilletage par Malwarebytes.
Pour finir, j'ai fait un scan HijackThis histoire de vous soumettre le résultat pour que vous me disiez si le nettoyage vous semble satisfaisant et si jamais j'ai oublié quelque chose.
Je vous préciserai si tout est rentré dans l'ordre concernant le fonctionnement de mon ordi.
En tout cas, merci beaucoup par avance a ceux qui voudront bien m'éclairer.
Le log HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:21:14, on 31/08/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\essspk.exe
C:\Program Files\Hewlett-Packard\HP Display Settings\hpdisply.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\HPONE-~1\OneTouch.EXE
C:\Program Files\Panda Software\Panda Antivirus 6.0\APVXDWIN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\HDD Health\hddhealth.exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\HPConfig.exe
C:\Program Files\Panda Software\Panda Antivirus 6.0\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus 6.0\AVENGINE.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://press.hp.com/us/en.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {26C3B50E-0CB8-49D9-A50F-52985B181422} - C:\WINDOWS\System32\credu.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [Paramètres d'affichage HP] C:\Program Files\Hewlett-Packard\HP Display Settings\hpdisply.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 6.0\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ScanInicio] "C:\Program Files\Panda Software\Panda Antivirus 6.0\Inicio.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [HDDHealth] C:\Program Files\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=https://press.hp.com/us/en.html
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\System32\HPConfig.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus 6.0\Pavsrv51.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Après avoir prêté mon appart pendant les vacances, j'ai retrouvé mon ordi copieusement vérolé (merci les "copains" utilisateurs de MSN et autres Yahoo toolbar !!!). Il y avait entre autre joyeusetés un trojan downloader.
Comme cure j'ai appliqué un scan complet de Panda antivirus, suivi d'un passage de AdAware puis, last but not least, un toilletage par Malwarebytes.
Pour finir, j'ai fait un scan HijackThis histoire de vous soumettre le résultat pour que vous me disiez si le nettoyage vous semble satisfaisant et si jamais j'ai oublié quelque chose.
Je vous préciserai si tout est rentré dans l'ordre concernant le fonctionnement de mon ordi.
En tout cas, merci beaucoup par avance a ceux qui voudront bien m'éclairer.
Le log HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:21:14, on 31/08/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\essspk.exe
C:\Program Files\Hewlett-Packard\HP Display Settings\hpdisply.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\HPONE-~1\OneTouch.EXE
C:\Program Files\Panda Software\Panda Antivirus 6.0\APVXDWIN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\HDD Health\hddhealth.exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\HPConfig.exe
C:\Program Files\Panda Software\Panda Antivirus 6.0\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus 6.0\AVENGINE.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://press.hp.com/us/en.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {26C3B50E-0CB8-49D9-A50F-52985B181422} - C:\WINDOWS\System32\credu.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [Paramètres d'affichage HP] C:\Program Files\Hewlett-Packard\HP Display Settings\hpdisply.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 6.0\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ScanInicio] "C:\Program Files\Panda Software\Panda Antivirus 6.0\Inicio.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [HDDHealth] C:\Program Files\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=https://press.hp.com/us/en.html
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\System32\HPConfig.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus 6.0\Pavsrv51.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A voir également:
- Ai-je bien nettoyé ma machine ?
- Machine virtuelle windows - Guide
- Carte bancaire machine à laver ✓ - Forum Matériel & Système
- Time machine - Guide
- Press any key to reboot the machine - Forum Windows
- Vérifier que le serveur freebox est bien connecté à internet - Forum Freebox
4 réponses
Bonjour
ça a l'air propre mais tu n'es pas du tout à jour
XP sans SP (on est au SP3)
Adobe et java, pas à jour non plus...
ça a l'air propre mais tu n'es pas du tout à jour
XP sans SP (on est au SP3)
Adobe et java, pas à jour non plus...
telecharge 1 antivirus Kapersky 2009 puis il apparaitra a cote de l heure clic droit sur le K de Kapersky "effectuer analyse complete de l ordinateur"et OK
SLT
SLT
n'importe quoi... il a deja pendan !
pas 2 antivirus !!!
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)
(coche toutes les cases à chaque fois) :
https://www.eset.com/
à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm
pas 2 antivirus !!!
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)
(coche toutes les cases à chaque fois) :
https://www.eset.com/
à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm
Bon, décidément le scan est vraiment très long (je suis encore loin de la moitié) et là je dois vraiment aller me coucher. Etant donné que je ne souhaite pas laisser allumé l'ordi toute la nuit, je relancerai le scan demain a une heure décente et je posterai le résultat dans la foulée.
Merci pour tout, bonne nuit et bon lundi :-)
Merci pour tout, bonne nuit et bon lundi :-)
Ca y est le scan est fini. Je l'ai relancé hier mais il a mis près de 9h30 !
Pour tout dire le résultat est assez stupéfiant et j'ai bien peur que le remède ait été pire que le mal. Il m'a supprimé plus de 5000 fichiers infectés (selon lui), mais le TRES GROS problème est que maintenant 95 % de mes applications sont HS. Il semblerait que je ne puisse même plus accéder au différents outils du panneau de configuration.
Je ne peux même pas poster le log du scan car Word, Notepad et open Office ont tous les trois été rayés de la carte !!!
Firefox est, par miracle, un des très rares programme qui fonctionne encore.
Bref je suis assez désespéré : y a-t-il un moyen de récupérer les données de bases de windows sans formater et installer à nouveau (notamment les DLL, je ne sais pas trop ce que c'est mais il semble qu'il y ait un problème à ce niveau).
Ce résultat est il normal après une infection (+ de 5000 fichiers !!!) ou y a-t-il eu un problème ?
:-((
Pour tout dire le résultat est assez stupéfiant et j'ai bien peur que le remède ait été pire que le mal. Il m'a supprimé plus de 5000 fichiers infectés (selon lui), mais le TRES GROS problème est que maintenant 95 % de mes applications sont HS. Il semblerait que je ne puisse même plus accéder au différents outils du panneau de configuration.
Je ne peux même pas poster le log du scan car Word, Notepad et open Office ont tous les trois été rayés de la carte !!!
Firefox est, par miracle, un des très rares programme qui fonctionne encore.
Bref je suis assez désespéré : y a-t-il un moyen de récupérer les données de bases de windows sans formater et installer à nouveau (notamment les DLL, je ne sais pas trop ce que c'est mais il semble qu'il y ait un problème à ce niveau).
Ce résultat est il normal après une infection (+ de 5000 fichiers !!!) ou y a-t-il eu un problème ?
:-((
non c'est normal, infection virut qui infecte tout les .exe !!
Le plus simple est generalement de formatter, puisque aucune application ne fontionne plus d'infos ici :
https://fr.wikipedia.org/wiki/Virut
Le plus simple est generalement de formatter, puisque aucune application ne fontionne plus d'infos ici :
https://fr.wikipedia.org/wiki/Virut
Eh bien, pour ma première rencontre avec le sieur "virut", ce fut fracassant !
Le formatage, c'est ce que je viens de faire pendant une bonne partie de cette exaltante journée, à moi les joies de la réinstallation :-((
Merci en tous cas pour tous ces conseils, même si à la fin, la vilaine bébête a gagné.
Le formatage, c'est ce que je viens de faire pendant une bonne partie de cette exaltante journée, à moi les joies de la réinstallation :-((
Merci en tous cas pour tous ces conseils, même si à la fin, la vilaine bébête a gagné.
C'est vrai que je suis resté bloqué au SP1, mais dans une autre vie j'étais passé au SP2 et cela m'avait posé pas mal de problèmes de conflits (avec le Firewall si je me souviens bien) et de blocages... étant donné que mes capacités informatiques sont plutôt limitées, j'avais préféré revenir au SP1, ce qui ne m'avait jamais posé trop de problèmes jusqu'à maintenant (tant que quelqu'un d'autre ne s'amuse pas à faire n'importe quoi sur mon ordi). Java pas à jour découle directement de ça : il plafonne tant que je reste au SP1.
Sinon, j'ai comme l'impression que cette multi infection a causé des dégâts. Par exemple, lorsque j'essaye d'installer la dernière version de ZoneAlarm, ce message d'erreur apparait immédiatement :
Impossible de charger la bibliorhèque DLL
C:\DOCUME~2\Mouton\LOCALS~1\Temp\083108193755\vsutil.dll
(WSEDbgPrint). La procédure spécifiée est introuvable.
Que pensez-vous que ce soit ? Y a-t-il moyen de restaurer cela?
En tout cas merci toptibal de t'être penché sur mon cas.