Se connecter / S'enregistrer
Votre question

spam et redémarrage intempestif ! à l'aide

Tags :
  • Spam
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Janvier 2007 21:03:41

[RESOLU]
Bonjour à tous !

Malgré spysweeper, ad-aware et cleaner, je suis tjrs envahit de spam, plus que des fenêtres internet qui s'ouvrent n'importe quand, mon pc redémarre tout seul, mes appli se blokent, etc.
Help ! voici un log récent de hijackthis, merci de m'aider à assainir mon vieux pc chéri :

Logfile of HijackThis v1.99.1
Scan saved at 19:01:16, on 15/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\urdvxc.exe
C:\dfndrff_162.exe
C:\WINDOWS\System32\msfile.exe
C:\WINDOWS\System32\winrvc.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\TEMP\VRT2.tmp

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [defender] C:\\dfndrff_162.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [Internet] msfile.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [Intec Services Driverrs] winrvc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [Internet] msfile.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [Intec Services Driverrs] winrvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Internet] msfile.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Intec Services Driverrs] winrvc.exe
O4 - HKCU\..\RunServices: [Intec Services Driverrs] winrvc.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EEC6FEF-802A-4A1A-AFBF-614603619051}: NameServer = 84.103.237.141 86.64.145.141
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Remote Reader Machine - Unknown owner - C:\WINDOWS\system32\ssmc.exe

C'est la première fois ke j'utilise HiJachThis, j'espère ne pas m'être plantée.
@+

Autres pages sur : spam redemarrage intempestif aide

a b 8 Sécurité
15 Janvier 2007 21:16:01

Bonsoir,

Bien infecté !

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

    &

  • Télécharge combofix.exe (par sUBs) sur ton Bureau
  • Double clique combofix.exe.
  • Tape sur la touche Y (Yes) pour démarrer le scan.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    &

    Installe le firewall Kerio :
    http://www.malekal.com/kerio_firewall.php


  • [/b]
    15 Janvier 2007 21:58:15

    combefix veut pas s'executer, voici déjà le rapport de SDFix, et merci de ton aide :


    SDFix: Version 1.58

    15/01/2007 - 21:49:12,68

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:

    Checking Services:

    Name:

    hwclock
    MicroSoft Media Tools
    MSDisk
    MSWindows
    Remote Reader Machine

    Path:

    C:\WINDOWS\System32\hwclock.exe
    "C:\WINDOWS\MSmedia.exe"
    "C:\WINDOWS\System32\irdvxc.exe" /service
    "C:\WINDOWS\System32\urdvxc.exe" /service
    "C:\WINDOWS\system32\ssmc.exe"

    hwclock Deleted
    MicroSoft Media Tools Deleted
    MSDisk Deleted
    MSWindows Deleted
    Remote Reader Machine Deleted

    Restoring Windows Registry Entries
    Restoring Default Hosts File

    Rebooting

    Normal Mode:

    Checking Files:


    Files will be copied to Backups folder then removed:

    C:\WINDOWS\drsmartload2.dat - Deleted
    C:\WINDOWS\system32\eraseme_81725.exe - Deleted
    C:\WINDOWS\system32\rdriv.sys - Deleted
    C:\WINDOWS\MSmedia.exe - Deleted
    C:\WINDOWS\system32\.exe - Deleted
    C:\WINDOWS\system32\csrs.exe - Deleted
    C:\WINDOWS\system32\hwclock.exe - Deleted
    C:\WINDOWS\system32\i - Deleted
    C:\WINDOWS\system32\irdvxc.exe - Deleted
    C:\WINDOWS\system32\mysvcc.exe - Deleted
    C:\WINDOWS\system32\o - Deleted
    C:\WINDOWS\system32\recsl.exe - Deleted
    C:\WINDOWS\system32\salvage.exe - Deleted
    C:\WINDOWS\system32\spoolsvc.exe - Deleted
    C:\WINDOWS\system32\ssmc.exe - Deleted
    C:\WINDOWS\system32\svcchost.exe - Deleted
    C:\WINDOWS\system32\TFTP3656 - Deleted
    C:\WINDOWS\system32\urdvxc.exe - Deleted



    Alternate Stream Check:

    C:\WINDOWS\system32
    No streams found.
    Final Check:

    Remaining Services:
    ------------------



    Remaining Files:
    ---------------

    Backups Folder: - C:\SDFix\backups\backups.zip

    Listing Files with hidden attributes:

    C:\NTDETECT.COM
    C:\WINDOWS\S2FyaW5l\asappsrv.dll
    C:\WINDOWS\system32\cdplayer.exe.manifest
    C:\WINDOWS\system32\logonui.exe.manifest
    C:\WINDOWS\system32\ijkdn.exe
    C:\WINDOWS\system32\Windowsupfixer.exe
    C:\WINDOWS\system32\Windowsfixsystem.exe
    C:\WINDOWS\system32\qnace.exe
    C:\WINDOWS\system32\msfile.exe
    C:\WINDOWS\system32\kfxpju.exe
    C:\WINDOWS\S2FyaW5l\command.exe
    C:\IO.SYS
    C:\MSDOS.SYS
    C:\pagefile.sys
    C:\hiberfil.sys

    Finished

    dis moi si je dois redémarrer en mode sans échec pour executerr comofix, merci
    Contenus similaires
    15 Janvier 2007 22:54:11

    Voici le rapport Combofix :

    "Karine" - 07-01-15 22:45:22 Service Pack 1
    ComboFix 07-01-15 - Running from: "C:\Documents and Settings\Karine\Bureau"

    ((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
    C:\WINDOWS\system32\cqyptsvc.dll
    C:\WINDOWS\system32\irmui.dll


    Granting SeDebugPrivilege to Administrateurs ... successful


    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\WINDOWS\system32\2.exe
    C:\WINDOWS\system32\e.exe
    C:\WINDOWS\system32\atmtd.dll
    C:\WINDOWS\system32\atmtd.dll._
    C:\WINDOWS\uninstall_nmon.vbs
    C:\WINDOWS\system32\2.exe
    C:\WINDOWS\system32\bk.exe
    C:\WINDOWS\system32\repair~1.dll
    C:\WINDOWS\system32\tsuninst.exe
    C:\DOCUME~1\LOCALS~1\Application Data\NetMon
    C:\Program Files\Deskbar
    C:\Program Files\network monitor
    C:\Program Files\Deskbar\Cache
    C:\Program Files\Network Monitor


    ((((((((((((((((((((((((((((((( Files Created from 2006-12-15 to 2007-01-15 ))))))))))))))))))))))))))))))))))


    2007-01-15 22:45 <REP> d-------- C:\WINDOWS\erdnt
    2007-01-15 22:02 <REP> d-------- C:\Program Files\Sunbelt Software
    2007-01-15 21:54 92,672 -r-hs---- C:\WINDOWS\system32\WinICS.exe
    2007-01-15 21:54 31,744 --a------ C:\WINDOWS\nircmd.exe
    2007-01-15 21:47 <REP> d--hs---- C:\WINDOWS\CSC
    2007-01-15 21:42 <REP> d-------- C:\SDFix
    2007-01-15 06:53 <REP> d-------- C:\Program Files\IZArc
    2007-01-15 00:19 <REP> d-------- C:\WINDOWS\system32\ActiveScan
    2007-01-15 00:16 <REP> d-------- C:\WINDOWS\AU_Temp
    2007-01-15 00:15 69,689 --a------ C:\WINDOWS\UNZIP.DLL
    2007-01-15 00:15 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
    2007-01-15 00:15 294,912 --a------ C:\WINDOWS\PATCH.EXE
    2007-01-15 00:15 <REP> d-------- C:\WINDOWS\AU_Log
    2007-01-14 23:32 <REP> d--hs---- C:\FOUND.003
    2007-01-14 23:18 <REP> d-------- C:\Program Files\AIDA32 - Personal System Information
    2007-01-14 23:08 103 --a------ C:\WINDOWS\system32\appmr.dll
    2007-01-14 22:47 <REP> d-------- C:\Program Files\Dusco
    2007-01-14 21:56 <REP> d-------- C:\Program Files\Mozilla Firefox
    2007-01-14 21:52 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Windows Genuine Advantage
    2007-01-14 21:22 159,744 --a------ C:\WINDOWS\system32\randomfile.exe
    2007-01-14 20:36 <REP> d-------- C:\Program Files\Winamp
    2007-01-14 20:29 94,005 -ra------ C:\WINDOWS\system32\msnnsg.exe
    2007-01-14 20:15 <REP> d-------- C:\DOCUME~1\Karine\Application Data\vlc
    2007-01-14 20:08 <REP> d-------- C:\Program Files\VideoLAN
    2007-01-14 20:04 64,020 --a------ C:\WINDOWS\system32\kage.exe
    2007-01-14 18:31 <REP> d--hs---- C:\FOUND.002
    2007-01-14 18:27 <REP> d-------- C:\Program Files\MSN Messenger
    2007-01-14 18:21 <REP> d-------- C:\Program Files\Webroot
    2007-01-14 18:21 <REP> d-------- C:\DOCUME~1\Karine\Application Data\Webroot
    2007-01-14 18:15 215,040 --a------ C:\WINDOWS\system32\winrvc.exe
    2007-01-14 18:00 <REP> d-------- C:\Program Files\CCleaner
    2007-01-14 17:41 99,840 -ra------ C:\WINDOWS\system32\msinnt.exe
    2007-01-14 17:41 99,840 -r-hs---- C:\WINDOWS\system32\kfxpju.exe
    2007-01-14 17:40 <REP> d--hs---- C:\FOUND.001
    2007-01-14 17:31 140,288 -r-hs---- C:\WINDOWS\system32\msfile.exe
    2007-01-14 17:16 <REP> d---s---- C:\DOCUME~1\Karine\UserData
    2007-01-14 17:02 450,560 --a------ C:\dfndrff_162.exe


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-01-14 21:56 -------- d-------- C:\Documents and Settings\Karine\Application Data\mozilla


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
    "Internet"="msfile.exe"
    "MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
    "Intec Services Driverrs"="winrvc.exe"
    "Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
    "Intec Services Driverrs"="winrvc.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "Internet"="msfile.exe"
    "Intec Services Driverrs"="winrvc.exe"
    "WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
    "Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
    "Internet"="msfile.exe"
    "Intec Services Driverrs"="winrvc.exe"
    "Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
    "Intec Services Driverrs"="winrvc.exe"

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
    "Intec Services Driverrs"="winrvc.exe"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "fiuo"="c:\\stub_113_4_0_4_0newer.exe"
    "Internet"="msfile.exe"
    "Intec Services Driverrs"="winrvc.exe"
    "Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
    "fiuo"="c:\\stub_113_4_0_4_0newer.exe"
    "Internet"="msfile.exe"
    "Intec Services Driverrs"="winrvc.exe"
    "Windows Firewall Internet Connection Sharing (ICS)"="WinICS.exe"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
    NetworkService REG_MULTI_SZ DnsCache\0\0
    rpcss REG_MULTI_SZ RpcSs\0\0
    imgsvc REG_MULTI_SZ StiSvc\0\0
    termsvcs REG_MULTI_SZ TermService\0\0


    Completion time: 07-01-15 22:48:40

    merci de me donner le reste de la marche à suivre, j'ai installé le pare feu.

    @+
    a b 8 Sécurité
    16 Janvier 2007 17:41:57

    Re,

    Une vérification avant de continuer.

    Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

    Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.
  • Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  • Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  • Coche Run this program as a task
  • Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  • Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  • Lorsque le scan termine, clique sur le bouton Remove L2M
  • Un message Done Scanning apparaîtra, clique OK.
  • Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  • Ton PC va maintenant s'éteindre.
  • Démarre ton PC normalement.
  • Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

    ** Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
    16 Janvier 2007 23:05:47

    Comme démandé voici les deux rapports hijackthis et Look2Me :

    Logfile of HijackThis v1.99.1
    Scan saved at 23:01:11, on 16/01/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\System32\msfile.exe
    C:\WINDOWS\System32\winrvc.exe
    C:\Program Files\Winamp\winampa.exe
    C:\WINDOWS\System32\WinICS.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\msfile.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\System32\winrvc.exe
    C:\WINDOWS\System32\WinICS.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Documents and Settings\Karine\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Internet] msfile.exe
    O4 - HKLM\..\Run: [Intec Services Driverrs] winrvc.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [Windows Firewall Internet Connection Sharing (ICS)] WinICS.exe
    O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\RunServices: [Internet] msfile.exe
    O4 - HKLM\..\RunServices: [Intec Services Driverrs] winrvc.exe
    O4 - HKLM\..\RunServices: [Windows Firewall Internet Connection Sharing (ICS)] WinICS.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Internet] msfile.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Intec Services Driverrs] winrvc.exe
    O4 - HKCU\..\Run: [Windows Firewall Internet Connection Sharing (ICS)] WinICS.exe
    O4 - HKCU\..\RunServices: [Intec Services Driverrs] winrvc.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe



    Look2Me-Destroyer V1.0.12

    Scanning for infected files.....
    Scan started at 16/01/2007 22:57:05

    Infected! C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018818.dll
    Infected! C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018819.dll

    Attempting to delete infected files...

    Attempting to delete: C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018818.dll
    C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018818.dll Deleted successfully!

    Attempting to delete: C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018819.dll
    C:\System Volume Information\_restore{7EF8DADC-8BB6-458E-8332-2A7E7803CEF6}\RP11\A0018819.dll Deleted successfully!

    Making registry repairs.


    Restoring Windows certificates.

    Replaced hosts file with default windows hosts file


    Restoring SeDebugPrivilege for Administrateurs - Succeeded


    Pour la config du firewall on verra plus tard ;p

    Merci de ton aide AngelDark !
    17 Janvier 2007 21:59:29

    C'est pas de la mauvaise volonté mais j'ai tenté d'installer successivement :
    - antivir
    - clam win ( trouvé sur framasoft)
    - norton internet securité

    Il a laissé un seul s'installer !
    Tu me diras : laisse tomber : format et basta
    Suis pas contre mais avais déjà tenté et je retrouvais tjrs les mêmes emmerdes
    Franchement jcommence à désespérer...

    17 Janvier 2007 22:00:17

    Il n'a pas laissé un seul s'installer pardon
    a b 8 Sécurité
    18 Janvier 2007 17:35:12

    On formate pas.
    Essaie avec Avast!.
    19 Janvier 2007 06:28:58

    Bonjour AngelDark !

    Avast ! a finalement pu s'installer. Malheureusement il a découvert un certain Win32:Mytob-U (saleté) qui s'était remarquablement bien installé, lui aussi, dans tout le système.
    Impossible de faire autrement que de formater, ce que j'ai fait.
    Mais cette fois-ci je me suis bardée côté sécurité, en espèrant que ça suffise...
    Merci encore beaucoup de ton aide et de tes "tuyaux" côté logiciels.

    Kériane
    19 Janvier 2007 10:31:21

    Bonjour,

    Il serrait interessant que tu nous repostes un nouveau rapport HijackThis car le formatage ne resoud pas tout.
    19 Janvier 2007 10:52:43

    Pas de problème, voici le dernier rapport HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 10:50:53, on 19/01/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\System32\wuauclt.exe
    S:\LOGICIELS\WXPR1286133279.exe
    C:\WINDOWS\system32\ntvdm.exe
    S:\LOGICIELS\FreeRAM XP Lite 1.03.exe
    C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Winamp\winamp.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    S:\LOGICIELS\Sécurité\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{75EE6864-6A93-4B8B-91C8-DD2A12F4A626}: NameServer = 84.103.237.141 86.64.145.141
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    En espérant que vous ne trouviez rien de suspect...
    a b 8 Sécurité
    19 Janvier 2007 12:04:37

    Re,

    Citation :
    - Assure toi d'avoir accès aux dossiers/fichiers cachés
    -> Démarrer
    -> Panneau de configuration
    -> Options des Dossiers, onglet Affichage :
    . Clique sur Afficher les dossiers cachés
    . Décoche Masquer les extensions des fichiers dont le type est connu
    . Décoche Masquer les fichiers protégés du système d'exploitation


    Va sur le site de VirusTotal
    Clique sur Parcourir... puis ouvre:

    C:\WINDOWS\inf\unregmp2.exe

    Clique ensuite sur Send
    Poste le rapport en fin d'analyse.

    Si tu vois ce message:
    " Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "
    Il te faudra patienter.
    22 Janvier 2007 06:40:47

    Désolée pour le temps de réponse, voici le résultat :

    Complete scanning result of "unregmp2.exe", received in VirusTotal at 01.22.2007, 06:28:35 (CET).

    Antivirus Version Update Result
    AntiVir 7.3.0.26 01.21.2007 no virus found
    Authentium 4.93.8 01.21.2007 no virus found
    Avast 4.7.936.0 01.18.2007 no virus found
    AVG 386 01.21.2007 no virus found
    BitDefender 7.2 01.22.2007 no virus found
    CAT-QuickHeal 9.00 01.20.2007 no virus found
    ClamAV devel-20060426 01.21.2007 no virus found
    DrWeb 4.33 01.21.2007 no virus found
    eSafe 7.0.14.0 01.21.2007 no virus found
    eTrust-InoculateIT 23.73.119 01.22.2007 no virus found
    eTrust-Vet 30.3.3343 01.22.2007 no virus found
    Ewido 4.0 01.21.2007 no virus found
    Fortinet 2.82.0.0 01.22.2007 no virus found
    F-Prot 3.16f 01.21.2007 no virus found
    F-Prot4 4.2.1.29 01.21.2007 no virus found
    Ikarus T3.1.0.27 01.09.2007 no virus found
    Kaspersky 4.0.2.24 01.22.2007 no virus found
    McAfee 4943 01.19.2007 no virus found
    Microsoft 1.1904 01.22.2007 no virus found
    NOD32v2 1995 01.21.2007 no virus found
    Norman 5.80.02 01.21.2007 no virus found
    Panda 9.0.0.4 01.21.2007 no virus found
    Prevx1 V2 01.22.2007 no virus found
    Sophos 4.13.0 01.20.2007 no virus found
    Sunbelt 2.2.907.0 01.12.2007 no virus found
    TheHacker 6.0.3.153 01.21.2007 no virus found
    UNA 1.83 01.19.2007 no virus found
    VBA32 3.11.2 01.22.2007 no virus found
    VirusBuster 4.3.19:9 01.21.2007 no virus found

    Aditional Information
    File size: 208896 bytes
    MD5: 1b73c9da6dd7b244e1ad7358609bb92c
    SHA1: e3074910037ae119f2a6daceeefa901c957e2383

    Problème enfin résolu, j'espère ...
    Merci AngelDark !
    a b 8 Sécurité
    22 Janvier 2007 18:09:35

    Tu n'as plus de problème ?
    22 Janvier 2007 19:43:48

    Plus aucun, pour l'instant, en espèrant que ça dure :) 
    Il est juste un peu lent mais c l'âge... et le manke de ram (512 c juste)
    Merci pour tout !
    @+
    a b 8 Sécurité
    22 Janvier 2007 20:38:30

    Il te manque surement de la RAM ;) 

    PS : Ton infection se nomme Look2me/Botnet

    Je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaie de rapporter ton infection :

    Faire bouger les choses :


    Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
    - Voir les règles de Malware-Complaints
    - Enregistre sur le forum à partir du bouton register en haut :
    Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
    Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

    Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

    Si le malware que tu as eu n'apparaît pas dans la liste, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10
    Pour poster un message, clique sur le bouton "Post Reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.
    Si tu ne connais pas le nom de ton infection, pose-moi la question ;) 

    AIDE : Consulter ce lien : http://www.malekal.com/malwarecomplaints.html.
    Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

    Comment se protéger des virus :


  • Tout ceci est résumé sur cette page : [#ff0000]Sécuriser son ordinateur et connaître les menaces.[/#f]
  • Je t'invite aussi à mettre à jour tous les composants de ton système. Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! Tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page : http://www.malekal.com/scan_vulnerabilite.php

    Bonne continuation :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS