Bonjour bonjour

Je suis nouveau sur ce forum. Je poste car mon pc est infecté sans que je puisse rien y faire.

Pour l'histoire, j'ai un jour allumé mon pc, un écran noir me disait qu'il manquait un composant win32.
J'ai donc réinstallé tout windows.

Après installation, la vitesse du pc a été nettement diminué. Le pc plante régulièrement.
De plus, mon antivirus ( bitdefender ) signale régulièrement ( toutes les minutes ) des tentatives d'intrusions d'autres virus ou autre.

J'ai lancé succèssivement bitdefender, ccleaner, spybot, ad aware, a², Hijack, AVG anti spyware,... sans succès. Les merdes sont supprimés puis reviennent.


Help me !


Ps : j'ai aussi réessayé de remettre le SP2. Mais le pc n'en a pas voulu.

bonsoir
~ Télécharge HijackThis
http://www.merijn.org/files/hijackthis.zip ;
~Crée un "nouveau dossier" dédié à Hijackthis (c:\Hijackthis\),dézippe Hijackthis.exe dans ce répertoire
~Lance Hijackthis.exe "do a system scan & save log file",et fais un copier coller du rapport généré dans ton prochain post.

puis


~Télécharge. F-Secure Blacklight

https://europe.f-secure.com/exclude/blacklight/fsbl.exe


- Lance F-Secure Blacklight (fichier fsbl.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f- [...] Light.html

Rapport d'Hijack This :


Logfile of HijackThis v1.99.1
Scan saved at 22:19:39, on 27/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
D:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
D:\Documents and Settings\david\Bureau\hijackthis.exe.exe
D:\Program Files\Softwin\BitDefender10\vsserv.exe

O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - D:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - D:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - D:\WINDOWS\System32\winsvcmon.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Rapport de Fsbl :


05/27/07 22:22:05 [Info]: BlackLight Engine 1.0.61 initialized
05/27/07 22:22:05 [Info]: OS: 5.1 build 2600 (Service Pack 1)
05/27/07 22:22:06 [Note]: 7019 4
05/27/07 22:22:06 [Note]: 7005 0
05/27/07 22:22:14 [Note]: 7006 0
05/27/07 22:22:14 [Note]: 7011 1460
05/27/07 22:22:14 [Note]: 7026 0
05/27/07 22:22:14 [Note]: 7026 0
05/27/07 22:22:16 [Note]: FSRAW library version 1.7.1021
05/27/07 22:23:02 [Note]: 7007 0

ok
on commence:
tu peux faire ça avant:
~Fais un clic droit sur Hijackthis.exe et renomme-le en scanner.exe , puis
~Lance scanner.exe "do a system scan & save log file",et fais un copier coller du rapport généré dans ton prochain post.

je voudrais montrer quelque chose à un autre helper du forum.
merci

bon je te laisse la procédure, on verra après

Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

~Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com [...] /SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

~Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

~Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

~Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis

Voila le nouveau rapport !

Logfile of HijackThis v1.99.1
Scan saved at 22:31:50, on 27/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
D:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
D:\Program Files\Softwin\BitDefender10\vsserv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\david\Bureau\scanner.exe.exe

O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - D:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - D:\WINDOWS\System32\urdvxc.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - D:\WINDOWS\System32\winsvcmon.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

ok,
ma procédure est ci dessus

Oui je l'ai vu, je suis en train de dézipper le logiciel.

Repport de SDFix :



SDFix: Version 1.85

Run by Administrateur - 27/05/2007 - 22:44:19,67

Microsoft Windows XP [version 5.1.2600]

Running From: D:\SDFix

Safe Mode:
Checking Services:

Name:
MSDisk
MSWindows
winsvcmon

ImagePath:
"D:\WINDOWS\System32\irdvxc.exe" /service
"D:\WINDOWS\System32\urdvxc.exe" /service
D:\WINDOWS\System32\winsvcmon.exe

MSDisk - Deleted
MSWindows - Deleted
winsvcmon - Deleted


D:\WINDOWS\system32\Microsoft\backup.ftp Found...
D:\WINDOWS\system32\Microsoft\backup.tftp Found...

Checking files:

Genuine:

Dummy:
D:\WINDOWS\system32\Microsoft\backup.ftp
D:\WINDOWS\system32\Microsoft\backup.tftp
D:\WINDOWS\system32\ftp.exe
D:\WINDOWS\system32\tftp.exe
D:\WINDOWS\system32\dllcache\ftp.exe
D:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

Final Check:

Genuine:

Dummy:
D:\WINDOWS\system32\Microsoft\backup.ftp
D:\WINDOWS\system32\Microsoft\backup.tftp
D:\WINDOWS\system32\ftp.exe
D:\WINDOWS\system32\tftp.exe
D:\WINDOWS\system32\dllcache\ftp.exe
D:\WINDOWS\system32\dllcache\tftp.exe



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

D:\WINDOWS\system32\i - Deleted
D:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
D:\WINDOWS\system32\Microsoft\backup.tftp - Deleted
D:\WINDOWS\system32\o - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder
D:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
D:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Backups Folder: - D:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

D:\Documents and Settings\david\Local Settings\Application Data\Microsoft\Messenger\elodie_niezgoda@hotmail.com\Sharing Folders\eli7.t.r@hotmail.fr\Thumbs.db
D:\WINDOWS\system32\wxmmin.dll

Finished


Rapport de Hijack :


Logfile of HijackThis v1.99.1
Scan saved at 22:49:20, on 27/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
D:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
D:\Program Files\Softwin\BitDefender10\vsserv.exe
D:\WINDOWS\system32\notepad.exe
D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\david\Bureau\scanner.exe.exe

O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

très bien, SDFix a bien travaillé

~Télécharge CCleaner:

http://www.filehippo.com/download_ccleaner/

~Lors de l'installation décoche: "Ajouter la Barre d'Outils Yahoo! Ccleaner"
Clique sur le bouton chercher les erreurs, tu fais « réparer les erreurs »
Clique sur le bouton nettoyage, tu fais « lancer le nettoyage ».
Tuto de CCleaner: (merci à Malekal) .
http://www.malekal.com/tutorial_CCleaner.html

puis

~Télécharge AVG anti-spyware.
http://www.ewido.net/en/download/
~Mets le à jour.
Redémarre en mode sans échec. (f8 au démarrage)
http://www.malekal.com/modesansechec.php
~Dans l’onglet analyse, dans Paramètre, clique sur Actions recommandées : choisis Quarantaine.

~Clique sur Analyse puis Analyse complète du système pour commencer le scan.

~Une fois que le scan est terminé, clique sur Appliquer toutes les actions, pour supprimer tous les fichiers infectés trouvés par AVG Anti-Spyware.

~Une fois que la suppression des fichiers infectés a été faite, clique sur enregistrer le rapport et sauvegarde-le sur le bureau.
~Redémarre normalement
~Copie/Colle le rapport ici.
TutoAVG antispyware : (merci à Malekal) .
http://www.malekal.com/tutorial_AVG_AntiSpyware.html