Votre question

Trojan Win32: OnlineGames-WK

Tags :
  • Avast
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Juillet 2007 23:26:15

Bonjour,

Je m'occupe de la maintenance d'un petit réseau (15 postes) de PC d'une association.

Tous les postes sont infectés par ce trojan depuis une semaine.

PC tous identiques équipés de XP pro, antivirus AVAST.

AVAST affiche un message indiquant que le fichier C:\Document & settings\nom d'utilisateur\Local settings\Temp\1.exe\[Upack] est infecté.

Toute tentative de suppression ou de mise en quarantaine par AVAST, génère un fichier 2.exe et ainsi de suite jusqu'à 14.exe., et ensuite alerte permanente d'avast.

Pour essayer d'éradiquer le trojan un PC a été isolé du réseau

Nous avons utilisé d'autres antivirus, sans succès.

Un scan avec Hijackthis indique la présence de Relive.dll en BHO, et qui apparaît également dans les scans HJT, des autres posts relatifs à ce trojan, sur ce forum.

J'ai trouvé cette information sur le site de Trendmicro.

http://www.trendmicro.com/vinfo/grayware/ve_graywareDet...

Nous avons commencé à suivre les recommendations d'éradication sur ce site, mais les résultats ne sont pas complètements concluants.

Deux points ont été constatés :

Si on suit la procédure, en supprimant les entrées dans le registre, l'alarme avast disparait.
Si on redémarre ensuite le PC,et que l'on démarre IE, AVAST détecte le trojan.

J'ai noté qu'il y a peu de messages sur le web au sujet de ce trojan ou alors ils sont en chinois !
Trendmicro indique que ce virus est surtout présent en Chine (voir les statistiques) et nous avons dans notre association quelques étudiants chinois qui visitent certainement des sites chinois ...


Voilà où nous en sommes, et toute recommendation d'un spécialiste sera la bienvenue, car pour le moment nous avons stoppé l'utilisation des PC.

Merci par avance.











Autres pages sur : trojan win32 onlinegames

17 Juillet 2007 23:29:15


Bonsoir , peux tu poster un log d'un PC infecté ?

Bonjour , telecharge Hijackthis <- ici sur ton Bureau

lance le programme , clique do a system scan and save a logfile

copie / colle le rapport généré dans ta reponse
17 Juillet 2007 23:35:50

Merci pour cette réactivité.
J'ai posté ce soir de mon domicile et je posterai demain le log HJT, à partir d'un PC de l'association.
Contenus similaires
17 Juillet 2007 23:37:47


En attendant , n'appliquez aucune procédure prise au hasard sur le Net sans un avis :) 
18 Juillet 2007 14:10:21

Bonjour,

comme promis voici le log de HJT:

Logfile of HijackThis v1.99.1
Scan saved at 14:02:31, on 18/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE
C:\Program Files\Microsoft Shared Computer Toolkit\bin\SCTThresholdMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\admin\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D3626E66-B13B-C628-ACDF-BDABCFA265E1} - C:\Program Files\Fichiers communs\Relive.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Vérifier Protection des disques Windows.lnk = C:\Program Files\Microsoft Shared Computer Toolkit\CheckWDP.hta
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Postit Renkar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SCTThresholdMonitor (SCTThresholdMon) - Unknown owner - C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WDPOperations - Unknown owner - C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE

18 Juillet 2007 21:12:06


Bonjour , on va essayer de faire quelque chose qui pourrait s'appliquer à tous les PC ( si ça veut bien l'éliminer ) , essayons déjà sur celui-ci :) 


Séléctionne l'encadré ci dessous en entier , puis clique droit , choisis Copier
@echo off
cd\
if exist "%systemdrive%\supp.txt" del "%systemdrive%\supp.txt"
process -k explorer.exe >>%systemdrive%\supp.txt
del /s /q "%systemdrive%\Documents and Settings\%username%\Local Settings\Temp\*.*" >>%systemdrive%\supp.txt
if exist "%systemdrive%\Program Files\Internet Explorer\msvcrt.dll" (
attrib -r -h -s "%systemdrive%\Program Files\Internet Explorer\msvcrt.dll"
del /s /q "%systemdrive%\Program Files\Internet Explorer\msvcrt.dll" >>%systemdrive%\supp.txt
)
if exist "%systemdrive%\Program Files\Internet Explorer\msvcrt.ebk" (
attrib -r -h -s "%systemdrive%\Program Files\Internet Explorer\msvcrt.ebk"
del /s /q "%systemdrive%\Program Files\Internet Explorer\msvcrt.ebk" >>%systemdrive%\supp.txt
)
if exist "%systemdrive%\Program Files\Internet Explorer\romdrivers.bak" (
attrib -r -h -s "%systemdrive%\Program Files\Internet Explorer\romdrivers.bak"
del /s /q "%systemdrive%\Program Files\Internet Explorer\romdrivers.bak" >>%systemdrive%\supp.txt
)
if exist "%systemdrive%\Program Files\Internet Explorer\romdrivers.dll" (
attrib -r -h -s "%systemdrive%\Program Files\Internet Explorer\romdrivers.dll"
del /s /q "%systemdrive%\Program Files\Internet Explorer\romdrivers.dll" >>%systemdrive%\supp.txt
)
if exist "%systemdrive%\Program Files\Fichiers communs\Relive.dll" (
attrib -r -h -s "%systemdrive%\Program Files\Fichiers communs\Relive.dll"
del /s /q "%systemdrive%\Program Files\Fichiers communs\Relive.dll" >>%systemdrive%\supp.txt
)
notepad %systemdrive%\supp.txt
shutdown -r -t 10
exit

Puis , menu Démarrer / Executer , tape cmd et valide par OK

Ferme toutes les fenêtres ( sans exeptions , y compris internet ) , sauf la fenêtre noire

fais un clique droit dans la fenêtre noire et choisis Coller

Un message t'annonçant que ton PC va redémarrer dans 10 secondes va s'afficher

Ne touche à rien et laisse le faire

après le redémarrage , poste le rapport ( C:\supp.txt )
18 Juillet 2007 23:15:17

Bonsoir,

Merci pour les infos. Je teste demain
19 Juillet 2007 22:08:22

Bonsoir,

Voici le rapport :

Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\1.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\10.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\11.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\12.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\13.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\14.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\2.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\3.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\4.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\5.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\6.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\7.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\8.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\9.exe
C:\Documents and Settings\admin\Local Settings\Temp\IEC2C.tmp
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\RootkitRevealer.exe
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\SSUPDATE.EXE
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\~DF1138.tmp
C:\Documents and Settings\admin\Local Settings\Temp\~DF287E.tmp
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\~DF2BB3.tmp
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\~DF9806.tmp
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\~DFA45.tmp
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\~DFB44D.tmp
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\~DFC1BB.tmp
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\~DFD3CE.tmp
Fichier supprim‚ - C:\Documents and Settings\admin\Local Settings\Temp\~DFD3E5.tmp
C:\Program Files\Internet Explorer\msvcrt.dll
Fichier supprim‚ - C:\Program Files\Internet Explorer\msvcrt.ebk
Fichier supprim‚ - C:\Program Files\Fichiers communs\Relive.dll





19 Juillet 2007 22:11:36

Pour info, j'ai toujours l'alarme avast après redémarrage.

A bientôt,

19 Juillet 2007 22:15:06


Visiblement , mon batch à éliminé pas mal de fichiers mis en cause :) 

Peux tu reposter un rapport Hijackthis
19 Juillet 2007 22:27:11

Voilà :


Logfile of HijackThis v1.99.1
Scan saved at 22:26:38, on 19/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE
C:\Program Files\Microsoft Shared Computer Toolkit\bin\SCTThresholdMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\admin\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D3626E66-B13B-C628-ACDF-BDABCFA265E1} - C:\Program Files\Fichiers communs\Relive.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: Vérifier Protection des disques Windows.lnk = C:\Program Files\Microsoft Shared Computer Toolkit\CheckWDP.hta
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Postit Renkar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O17 - HKLM\System\CCS\Services\Tcpip\..\{0540D478-725C-4B85-8803-5C7DF33E5478}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{0540D478-725C-4B85-8803-5C7DF33E5478}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SCTThresholdMonitor (SCTThresholdMon) - Unknown owner - C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WDPOperations - Unknown owner - C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE

19 Juillet 2007 22:34:18


Relance Hijackthis clique cette fois sur do a system scan only
coche dans les cases à gauche les lignes suivantes ( et uniquement celles-ci ) :

O2 - BHO: (no name) - {D3626E66-B13B-C628-ACDF-BDABCFA265E1} - C:\Program Files\Fichiers communs\Relive.dll (file missing)

et clique sur Fix checked ( en bas à gauche )

--------------------------------------------------------------

Télécharge ComboFix <- ici

Engegistre le sur ton Bureau

Double clique combofix.exe ( le .exe peut ne pas apparaitre )

Pour demarrer , tape 1 puis valide , attend la fin du scan

Un rapport est généré , Copie / Colle le dans ta réponse

Tu peux aussi trouver ce rapport ici : C:\Combofix.txt
19 Juillet 2007 22:53:32

OK j'ai fixé Relive.dll et voici le rapport combo :

"admin" - 2007-07-19 22:45:29 - ComboFix 07-07-14.6 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\admin\Bureau\internet.lnk
C:\Documents and Settings\admin\ravmonlog
C:\Program Files\Internet Explorer\msvcrt.bak
C:\Program Files\Internet Explorer\msvcrt.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NPF
-------\nm
-------\NPF


((((((((((((((((((((((((( Files Created from 2007-06-19 to 2007-07-19 )))))))))))))))))))))))))))))))


2007-07-19 22:45 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-19 21:42 32,768 --a------ C:\WINDOWS\system32\WooDial2000.dll
2007-07-19 21:41 743,136 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys
2007-07-19 21:41 53,168 --a------ C:\WINDOWS\system32\drivers\alcan5wn.sys
2007-07-19 21:41 5,607 --a------ C:\WINDOWS\system32\stci.dll
2007-07-19 21:41 5,312 --a------ C:\WINDOWS\system32\drivers\alcawh.sys
2007-07-19 21:41 4,000 --a------ C:\WINDOWS\system32\drivers\alcacr.sys
2007-07-19 21:41 <REP> d-------- C:\Program Files\Alcatel
2007-07-19 21:40 0 --a------ C:\WINDOWS\system32\rnaph.dll
2007-07-19 21:40 <REP> d-------- C:\Program Files\Messager Wanadoo
2007-07-19 21:39 <REP> d-------- C:\Program Files\Wanadoo
2007-07-17 16:49 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-07-16 17:11 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-07-16 17:11 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-07-16 17:11 267,845 --a------ C:\WINDOWS\tsc.exe
2007-07-16 17:11 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-07-16 17:11 <REP> d-------- C:\WINDOWS\report
2007-07-16 17:11 <REP> d-------- C:\WINDOWS\AU_Backup
2007-07-16 17:04 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-07-16 17:04 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-07-16 17:04 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-07-16 17:04 <REP> d-------- C:\WINDOWS\AU_Temp
2007-07-16 17:04 <REP> d-------- C:\WINDOWS\AU_Log
2007-07-16 13:38 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-07-16 13:35 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
2007-07-16 13:31 <REP> d-------- C:\Program Files\Yahoo!
2007-07-16 13:31 <REP> d-------- C:\Program Files\CCleaner
2007-07-16 12:31 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2007-07-16 12:31 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\SUPERAntiSpyware.com
2007-07-16 12:31 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\SUPERAntiSpyware.com
2007-07-16 12:26 <REP> d-------- C:\WINDOWS\CSC
2007-07-13 11:46 <REP> d-------- C:\Program Files\Lavasoft
2007-07-13 11:46 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-07-13 11:42 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-07-12 16:58 <REP> d--h----- C:\WINDOWS\PIF
2007-07-12 16:53 <REP> d-------- C:\WINDOWS\pss
2007-07-12 15:56 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2007-07-12 15:56 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2007-07-12 15:56 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2007-07-12 15:56 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2007-07-12 15:56 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2007-07-12 15:56 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2007-07-02 17:57 <REP> d-------- C:\Program Files\PC Inspector File Recovery
2007-07-02 16:58 <REP> d-------- C:\Program Files\MsoSetup
2007-06-29 17:07 <REP> d-------- C:\DOCUME~1\Users\APPLIC~1\FastStone
2007-06-25 17:30 <REP> d-------- C:\DOCUME~1\Profs\APPLIC~1\Help
2007-06-25 16:31 <REP> d-------- C:\SWSetup
2007-06-25 14:09 3,840 --a------ C:\WINDOWS\system32\drivers\BANTExt.sys
2007-06-25 14:09 <REP> d-------- C:\Program Files\Belarc


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-19 20:08:22 48,856 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-07-19 20:08:22 368,076 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-07-19 19:41:10 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-02 15:56:48 -------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-06-18 15:39:53 -------- d-----w C:\Program Files\Microsoft Shared Computer Toolkit
2007-06-11 12:15:25 -------- d-----w C:\DOCUME~1\admin\APPLIC~1\FastStone
2007-06-11 12:15:23 -------- d-----w C:\Program Files\FastStone Capture
2007-06-11 12:08:31 -------- d-----w C:\Program Files\ScreenshotCaptor
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-05-21 10:34:20 58 ----a-w C:\WINDOWS\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
2006-10-26 10:28 440384 --a------ C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 20:38 63128 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 01:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57]
"DrvLsnr"="C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 11:34]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-07-05 16:52]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-07-05 17:11]
"WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2003-05-23 08:46]
"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-04 16:47]
"SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 11:15]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2003-05-23 08:46]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2003-05-23 08:46]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" []
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}"="C:\Program Files\Internet Explorer\msvcrt.dll" [2007-07-19 22:04]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"="C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 12:55]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##source#membresCised]
Auto\command- M:\Ghost.pif
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d438dca-22fc-11dc-9422-000bcd4a81c2}]
Auto\command- AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d438dcc-22fc-11dc-9422-000bcd4a81c2}]
Auto\command- G:\Ghost.pif
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{154e4cd6-8b52-11db-b05e-000bcd4a81c2}]
AutoRun\command- ie.exe
explore\Command- ie.exe
open\Command- ie.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28654c1e-b430-11db-b08a-000bcd4a81c2}]
AutoRun\command- G:\start.exe
FramaKey\command- G:\start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6391d8d4-55df-11bd-9425-000bcd4a81c2}]
Auto\command- G:\Ghost.pif
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6434d4c8-d7ab-11db-b0a6-000bcd4a81c2}]
Auto\command- G:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6bbadd60-1d93-11dc-941f-000bcd4a81c2}]
Auto\command- G:\Ghost.pif
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6cc4f825-1815-11dc-9410-000bcd4a81c2}]
Auto\command- G:\Ghost.pif
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6cc4f826-1815-11dc-9410-000bcd4a81c2}]
Auto\command- G:\Ghost.pif
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6cc4f827-1815-11dc-9410-000bcd4a81c2}]
Auto\command- AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72ac7f10-91bf-11db-b06c-000bcd4a81c2}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e108940-6d81-11db-b03f-000bcd4a81c2}]
Auto\command- G:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95cc5414-07b9-11dc-9401-000bcd4a81c2}]
Auto\command- AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be5952d1-53af-11db-b026-000bcd4a81c2}]
Auto\command- G:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da9e3e84-0905-11dc-9403-000bcd4a81c2}]
AutoRun\command- ie.exe
explore\Command- ie.exe
open\Command- ie.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de0237a2-2e11-11dc-9432-000bcd4a81c2}]
Auto\command- G:\Ghost.pif
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa2d2418-6298-11db-b038-000bcd4a81c2}]
AutoRun\command- G:\autorun.exe


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-19 22:48:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-19 22:49:16 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-19 22:49

--- E O F ---
19 Juillet 2007 23:00:34


Le rapport montre une autre infection : AdobeR.exe

On verra après ;) 

Toujours les alertes ?
19 Juillet 2007 23:13:06

A priori, plus d'alerte Avast ! Je commence à être optimiste, après plusieurs jours de recherche....
Pour mon information, quelle infection spécifique a été éradiquée par combofix ?
19 Juillet 2007 23:24:16

Citation :
quelle infection spécifique a été éradiquée par combofix ?

Ce que mon Batch n'a pas réussi à supprimer , il faut que je revois ma copie :lol: 
Citation :
C:\Program Files\Internet Explorer\msvcrt.bak
C:\Program Files\Internet Explorer\msvcrt.dll

Et aussi d'autres choses

---------------------------------------------

On va quand même continuer , il reste des trucs ;) 

Télécharge SDFix <~ Clique ici

Enregistre le sur ton Bureau

Double clique sur SDFix.exe ( le .exe peut ne pas apparaitre )
Choisis Install pour l'extraire sur ton Bureau

Redémarre en mode sans échec ( demarrer / redemarrer / tapotte sur F8 jusqu'a l'apparition du menu / monte avec les fleches sur mode sans echec / choisis ta session )


Double clic sur le dossier SDFix
puis double clique sur RunThis.bat ( le .bat peut ne pas apparaitre )
Appuie sur Y pour le lancer , laisse le s'éxécuter

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est possible que le redémarrage soit plus long que d'habitude
Une fois ton Bureau chargé ,il affichera Finished

Appuie sur une touche pour finir l'exécution et charger les icônes de ton Bureau

Un rapport est généré , Copie / colle le dans ta réponse
tu trouveras aussi ce rapport dans le dossier SDFix ( Report.txt )
et un nouveau rapport Hijackthis
19 Juillet 2007 23:55:20

Voilà :


SDFix: Version 1.92

Run by admin on 19/07/2007 at 23:46

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\RNAPH.DLL - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Internet Explorer\msvcrt.dll
C:\_OTMoveIt\MovedFiles\Program Files\Fichiers communs\Relive.dll
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

Finished


Pour HJT :

Logfile of HijackThis v1.99.1
Scan saved at 23:54:18, on 19/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE
C:\Program Files\Microsoft Shared Computer Toolkit\bin\SCTThresholdMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\admin\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: Vérifier Protection des disques Windows.lnk = C:\Program Files\Microsoft Shared Computer Toolkit\CheckWDP.hta
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Postit Renkar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O17 - HKLM\System\CCS\Services\Tcpip\..\{0540D478-725C-4B85-8803-5C7DF33E5478}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{0540D478-725C-4B85-8803-5C7DF33E5478}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SCTThresholdMonitor (SCTThresholdMon) - Unknown owner - C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WDPOperations - Unknown owner - C:\Program Files\Microsoft Shared Computer Toolkit\bin\SRVANY.EXE







20 Juillet 2007 00:02:17

Il commence à se faire tard.
J'ai plusieurs questions sur le nettoyage du réseau, et surtout sur la procédure à mettre en place pour "filtrer" les étudiants et désinfecter leur clé USB, avant tout usage des PC qui sont tous en libre service !

Je posterai quelquechose demain.

En tout cas un grand merci pour ton dépannage efficace.

20 Juillet 2007 16:48:56

Bonjour,

Je confirme qu'il n'y a plus d'alarmes Avast relatives à Onlinegames-WK.
Si on peut traiter AdobeR cela serait parfait. Je pourrai ensuite mettre l'indication Résolu.

Voici quelques questions, qui me permettront de nettoyer le réseau et de mettre en place une procédure de protection pour les clés USB

(je ne souhaite pas "polluer", la rubrique virus de ce forum,merci de m'indiquer si je dois poser ces questions ailleurs dans le forum)

En examinant le rapport combo, j'ai noté qu'il y avait plusieurs lignes avec Autorun G:\Ghost.pif ou AdobeR.

1-En sachant que G: apparait lorsque l'on utilise une clé USB, cela confirme-t-il que l'infection a au moins pour origine une clé USB ?

2-Pour nettoyer les autres PC, faut il répéter toute la procédure que tu m'a indiquée(batch+combo+sdfix) ?

3- En ce qui concerne le nettoyage des clés USB, faut il appliquer la même procédure ? Sinon il y a le formattage, mais qui détruira toutes les données.....





20 Juillet 2007 19:55:18


Bonjour :) 
Citation :
cela confirme-t-il que l'infection a au moins pour origine une clé USB ?

adobeR se propage par les clés USB en utilisant le fichier autorun.inf

Combofix a trouvé des clés de registre , si le fichier associé n'est pas présent elles n'ont aucun effet :) 

Si tu veux voir si ils sont présents :

Clique sur le menu Demarrer / Panneau de configuration / Options des dossiers / puis dans l'onglet Affichage
- coche Afficher les fichiers et dossiers cachés
- decoche Masquer les extensions des fichiers dont le type est connu
- decoche Masquer les fichiers protégés du système d'exploitation
( ne tiens pas compte de l'avertissement )
clique sur Appliquer

Ouvre le Poste de travail
Fais un clique droit sur tes disques amovibles ( Surtout pas de double clique )
Dans le menu , choisis Ouvrir
Cherche le fichier autorun.inf
Fais un clique droit dessus et choisis Supprimer
Si tu vois adober.exe , Ghost.pif supprime les

L'opération est à répéter sur tous les lecteurs du Poste de travail

----------------------------------------------------------
Citation :
Pour nettoyer les autres PC, faut il répéter toute la procédure que tu m'a indiquée(batch+combo+sdfix) ?

Les logiciels sont à utiliser avec précaution

Tous les PC sont identiques ?
Peux tu poster un Hijackthis d'un autre PC ?

----------------------------------------------------------
Citation :
En ce qui concerne le nettoyage des clés USB, faut il appliquer la même procédure ?

Télécharge Flash Disinfector <- ici sur ton Bureau

Connecte tous les périfériques externes ( DD , USB , ..... )

Double clique sur Flash Disinfector et laisse toi guider

Télécharge clean <- ici

décompresse-le sur ton bureau ( extraire tous les fichiers) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd ( le .cmd peut ne pas apparaitre )

choisis l'option 1 puis patiente

un rapport est généré , poste ce rapport
20 Juillet 2007 23:08:43

Bonsoir,

Merci pour ces informations. :

En fait, l'association où je suis bénévole pour la maintenance informatique, suit le calendrier universitaire et a fermé aujourd'hui, jusqu'à la rentrée de septembre.

J'avais emporté chez moi, un des PC du réseau pour valider toutes les manips qui ont permis de nettoyer ce PC.
La majorité des PC du réseau sont identiques (compaq) avec le même OS (XP pro), sauf 2 Dell avec XP home, mais ils sont probablement tous infectés.
Ils sont tous équipés avec AVAST, et nous avons fermé les salles informatiques quand nous avons constaté que plusieurs PC étaient infectés par le même Trojan, détecté par AVAST.


Les possesseurs de clé USB étant étudiants, on ne les reverra que début Septembre au plus tôt.

Je pourrai cependant accéder aux autres PC, début Août, et je propose de poster un rapport HJT, pour 2/3 PC à ce moment là.



20 Juillet 2007 23:12:44


Ok , tu peux poster quand tu veux :) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS