Votre question

Re-infecté (wynsys... firewall.exe etc.)

Tags :
  • Pare-feu
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Février 2006 23:40:50

Bonjour, j'avais déjà posté ici et j'avais eu la chance d'avoir été bien aidé donc si quelqu'un pouvait me donner des réponses...!

J'ai fais l'erreur d'aller sur internet avec le SP1 sans firewall, depuis, même après avoir installé le SP2 (+ avast, + zone lab, + spybot, + adaware) je suis toujours en misère quand je vais sur internet, deconnexion au bout de quelques minutes...

J'ai remarqué aussi que je ne pouvais plus activer le firewall de windows...

Si quelqu'un pouvait me filer un coup de main.

Je poste mon rapport Hijackthis avant le fix checked

Logfile of HijackThis v1.99.1
Scan saved at 23:38:46, on 27/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\irpll7l.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\qijwjohv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\cllhost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\family\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\system32\firewall.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd11.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban11.exe
O4 - HKLM\..\Run: [gimmygames] C:\windows\gimmygames11.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\irpll7l.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [mstctd] C:\WINDOWS\system32\qijwjohv.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ihost.exe] C:\cllhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B61BFF94-2213-4DF3-8099-F4D3CEAA5D63}: NameServer = 80.118.196.42 80.118.192.112
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\mvr0l99m1.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

___________________________________________


Autres pages sur : infecte wynsys firewall exe

27 Février 2006 23:43:03

Humm, en fait j'ai pas fais l'option fix checked...

28 Février 2006 00:31:48

Bonsoir

1 Télécharge
CCleaner.

http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

Ewido
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Relance un scan HijackThis et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\system32\firewall.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd11.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban11.exe
O4 - HKLM\..\Run: [gimmygames] C:\windows\gimmygames11.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\irpll7l.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [mstctd] C:\WINDOWS\system32\qijwjohv.exe
O4 - HKLM\..\Run: [ihost.exe] C:\cllhost.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\mvr0l99m1.dll (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\firewall.exe
C:\WINDOWS\system32\qijwjohv.exe
C:\windows\winsysupd11.exe
C:\windows\winsysban11.exe
C:\windows\gimmygames11.exe
C:\irpll7l.exe
C:\cllhost.exe

6 Lance le nettoyage avec CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

7 Lance Ewido.
Fais un scan en mode complet.
Sauvegardes le rapport.

8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'Ewido.
28 Février 2006 16:17:12

Merci Chercheur pour ta réponse rapide!
je crois qu'il reste des trucs car toujours pas moyen de remettre le pare feu windows...

Voici le log d'ewido

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 15:48:46, 28/02/2006
+ Somme de contrôle: 4EA24F51

+ Résultats du scan:

HKU\S-1-5-21-823518204-1958367476-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6001CDF7-6F45-471B-A203-0225615E35A7} -> Adware.Generic : Nettoyer et sauvegarder
C:\Documents and Settings\family\Bureau\sam\program installer\winrar\WinRAR_v3.51_Crack.Patch.rar/Patch09c.exe -> Downloader.VB.ts : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PXV5TP3H\celsius_ts[1].exe -> Backdoor.Agent.tk : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PXV5TP3H\celsius_ts[2].exe -> Backdoor.Agent.tk : Nettoyer et sauvegarder
C:\microsoft32.exe -> Downloader.VB.ws : Nettoyer et sauvegarder
C:\system23.exe -> Downloader.VB.ws : Nettoyer et sauvegarder
C:\WINDOWS\gimmygames11.exe -> Downloader.Adload.u : Nettoyer et sauvegarder
C:\WINDOWS\gimmygames9.exe -> Downloader.VB.ww : Nettoyer et sauvegarder
C:\WINDOWS\system32\aygbq.exe -> Downloader.VB.ws : Nettoyer et sauvegarder
C:\WINDOWS\system32\bzackbox.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EBYPU9WP\winsysban9[1].exe -> Hijacker.VB.ld : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EBYPU9WP\winsysupd9[1].exe -> Downloader.VB.wy : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\SR6XSDCD\drsmartload[1].exe -> Downloader.VB.wr : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UH8HQXSX\gimmygames9[1].exe -> Downloader.VB.ww : Nettoyer et sauvegarder
C:\WINDOWS\system32\firewall.exe -> Backdoor.Rbot.apd : Nettoyer et sauvegarder
C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\irfosoft.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\j84o0ih3e84.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\pDutoenr.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\qijwjohv.exe -> Proxy.Daemonize.bx : Nettoyer et sauvegarder
C:\WINDOWS\system32\tgd32.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\wrbvw.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\wuigest.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\winsysban11.exe -> Hijacker.VB.li : Nettoyer et sauvegarder
C:\WINDOWS\winsysban9.exe -> Hijacker.VB.ld : Nettoyer et sauvegarder
C:\WINDOWS\winsysupd11.exe -> Trojan.VB.ajo : Nettoyer et sauvegarder
C:\WINDOWS\winsysupd9.exe -> Downloader.VB.wy : Nettoyer et sauvegarder


::Fin du rapport

28 Février 2006 16:19:22

et voici le log d'hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 16:19:01, on 28/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\family\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B61BFF94-2213-4DF3-8099-F4D3CEAA5D63}: NameServer = 80.118.196.41 80.118.192.111
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci encore de m'aider!
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS