Log HijackThis, virus en pagaille et antimalwares bloqués
Forum Sécurité - Virus : Log HijackThis, virus en pagaille et antimalwares bloqués
Bonjour,
je me manifeste ds un nouveau post car je suis très embétée.
Je tourne sous Xp pro. Je sais que MutechB, Elitbar et Mytob ont infecté mon Pc mais je n'arrive pas à m'en débarasser.
DarkAngel m'a déjà donné un début de réponse, mais là je pédale.
Merci à qui aura la gentillesse de me venir en aide,
Je colle dessous le log Hijack
Talanie
Logfile of HijackThis v1.99.1
Scan saved at 19:20:39, on 09/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nath\Mes documents\nath\tri\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/engli [...] nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 3729742864
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: a-squared Anti-Spam Service (A2AntiSpamService) - Unknown owner - C:\Program Files\a-squared Anti-Spam\A2AntiSpamSrv.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Moi je te conseille Microsoft-Anti spyware (il est encore en beta, mais il ne les plus concidere)
Fais :"run afull spyware scan" et il devrait te les montre (ne les mais pas en quarantaine, fais "remove".
Pour le telecharger va sur ce site: http://www.generation-nt.com/telec [...] ware-beta/ :-D
Bonjour,
en fait, je n'ai pas une clé authentique...
Merci X-Ray !
J'essaie encore, même s'il a bloqué ce matin
J'ai presque trouvé pour mutech !
Alors si tu as deja utilisé regedit, il faut que tu vires ca :
[HKLM\SYSTEM\CurrentControlSet\Services\NetPT]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPT]
[HKLM\SYSTEM\CurrentControlSet\Services\PerfFont]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PERFFONT]
[HKCR\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}\InprocServer32]
[HKLM\SOFTWARE\Classes\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}\
InprocServer32]
Puis, vire :
C:\WINDOWS\system32\perfont.exe
C:\WINDOWS\system32\wbem\wmiprvi.dl
C:\WINDOWS\system32\DRIVERS\netpt.sys
Pfiew :-o, ca m'a pris du temps ^^
Apres ca, plus de Mutech.B !
Je sais lancer Regedit mais je ne lis que des repertoires commençant par HKEY
Pour Elitbar, essaie http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip
Puis, demarre en mode sans echec (F8 au demarrage, avant le logo de win xp) et lance LQfix.bat (je sais pas si ca va marcher, mais y'a des chances)
Oops mais quel idiot :-?
J'ai oublié de virer les raccourcis ^^
HKLM = HKEY_LOCAL_MACHINE
HKCR = HKEY_CURRENT_USER
Je veux bien le croire que c'est dur, parce que moi je n'arrive pas à scratcher
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPT]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PERFFONT]
j'ai vidé l'intérieur
celle-ci est carrément introuvable :
[HKCR\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}\InprocServer32]
dans les trois derniers, je ne trouve que C:\WINDOWS\system32\wbem\wmiprvi.dl et pas possible de le supprimrer
les deux autres introuvables !
C:\WINDOWS\system32\perfont.exe
C:\WINDOWS\system32\DRIVERS\netpt.sys
le fixMytob bloque !
Là, je suis perdue..
X-Ray, merci beaucoup pour ton aide !
Je renonce pour ce soir (le PC va voler par la fenetre), mais j'aimerais beaucoup, si tu as du temps pour y réfléchir, que tu continues demain à me prêter main -forte.
Bonne soirée
Pour les fix, (comme mytob), essaie le mode sans echec !! :-)
bonjour !
fraiche et dispose, j'ai lancé en mode sans echec
le fix elitbar : nada
le fixMytob : nada
un scan complet ewido : rien non plus.
Je suis perplexe.
je colle mon log hijack
Logfile of HijackThis v1.99.1
Scan saved at 12:41:05, on 10/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nath\Mes documents\nath\tri\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/engli [...] nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 3729742864
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: a-squared Anti-Spam Service (A2AntiSpamService) - Unknown owner - C:\Program Files\a-squared Anti-Spam\A2AntiSpamSrv.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
| Citation : dans les trois derniers, je ne trouve que C:\WINDOWS\system32\wbem\wmiprvi.dl et pas possible de le supprimrer |
T'as essayé de virer ce fichier en mode sans echec ?
Et les deux autres, essaie d'activer les fichiers cachés, ptetre qu'ils sont cachés !
| Citation : le fix ..... : nada |
Ca veut dire que t'as rien trouvé ou que le fix n'a pas fonctionné?
le fix n'a rien trouvé
les fichiers cachés osnt affichés depuis le départ.
je viens de regarder en mode sans échec : le fichier system32\wbem\wmiprvi.dll n'est plus là.
je crois que je vais scanner un coup chez Kaspersky
Bonne idée :-)
j'ai trouvé le nom de ce petit saligaud de virus !
c'est Bayfraud
je colle le log de Kaspersky
:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\N7LJ790W\wbk152.tmp Infecté: Trojan-Spy.HTML.Bayfraud.hn ignoré
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\N7LJ790W\wbk154.tmp Infecté: Trojan-Spy.HTML.Bayfraud.in ignoré
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\OZ5FUMZX\wbk101.tmp Infecté: Trojan-Spy.HTML.Bayfraud.hn ignoré
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\OZ5FUMZX\wbkE9.tmp Infecté: Trojan-Spy.HTML.Bayfraud.hn ignoré
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\OZ5FUMZX\wbkED.tmp Infecté: Trojan-Spy.HTML.Bayfraud.hn ignoré
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\OZ5FUMZX\wbkFD.tmp Infecté: Trojan-Spy.HTML.Bayfraud.hn ignoré
C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\X3FJPXKE\wbk332.tmp Infecté: Trojan-Spy.HTML.Bayfraud.hn ignoré
Analyse terminée.
héhé, on cherchait les mauvais virus ;-)
Je vais me documenter sur celui la !
Edit : Il apparait que ce virus provient d'un faux email eBay (a surveiller, ne vas plus sur eBay a partir de maintenant tant que ton pc n'est pas clean !)
Reedit : Je n'ai trouvé aucune information concernant la suppression de ce virus, vu que c'est un truc de phishing, je pense qu'il n'a pas du laisser d'inscription dans ta base de registre !
Supprime les manuellement ;-)
Je reste perplexe aussi, ta machine doit etre pleine de virus :-?
Je comprends pas pourquoi on peut en detecter aussi peu ??
| Citation : Je veux bien le croire que c'est dur, parce que moi je n'arrive pas à scratcher
|
De ce coté, je pense que sans ces clés, le virus (je sais plus lequel c'est) concernant ces clés de registre ne peut plus s'initialiser, plus de pb donc pour celui la ?
Edit : Observes tu une activité anormale de ton pc ? (bande passante occupée, disque dur toujours en train de gratter, pubs incessantes, programmes inconnus... ?)
Installe Cleanup!
Lance l'application
Options-> Standard CleanUp!-> OK
Note: les fichiers se trouvant dans Mes fichiers recus seront supprimés
Ferme les fenetres internet
Clique sur Cleanup!
Quels virus ce programme regle-t-il ?
J'aimerais m'informer sur ces programmes qui sont une sorte de multifix pour les virus !
Ce virus se trouve dans une section ou sont stockes des fichiers temporaires.
Cleanup! vide ce dossier donc supprime le virus.
Ah en effet, c'est tout con ^^
J'ai lancé Cleanup qui m'a enlevé plein de trucs.
Que dois-je penser désormais ? Ai-je encore plein de cochonneries sur ma machine ?
Salut,
1/ Utilise l'Outil Ewido (je pense qu'il trouvera encore des bricoles)
Télécharge, installe et mets à jour ewido
Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".
http://www.infos-du-net.com/telech [...] Suite.html
Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.
Redémarre normalement et poste le rapport d'ewido
2/ Pour un autre avis fait un scan en ligne chez Panda et poste son rapport
http://www.pandasoftware.fr/Activescan/Activescan.html
je viens de tout vérifier avec ewido et le scan panda.
Rien que des broutilles
spyware:Cookie/Xiti
Je crois que ce n'est pas grand chose.
Merci à tous pour ce grand coup de main !
Il y a 2459 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
