Oxygène PC

de **nic** » Sam 22 Nov 2008 13:41

Bonjour

Je souhaiterais me débarrasser du virus "travallier plus" Mabraze.
J'ai déja installé hijackthis version 2 et j'ai le logfile.

Merci de votre aide

de **nic** » Sam 22 Nov 2008 17:10

Merci,

J'ai été infecté par un collègue qui l'avais sur sa machine.
Cela remonte à moins de une semaine.

ci-joint le logfile

Code: Tout sélectionner: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:24:34, on 22/11/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\AVENGINE.EXE C:\WINDOWS\system32\wscript.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe C:\Program Files\stickies\stickies.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\user\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer! R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WirelessSelector.lnk = ? O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe -- End of file - 5480 bytes

de **Sév** » Sam 22 Nov 2008 17:43

J'ai été infecté par un collègue qui l'avais sur sa machine.

Vraisemblablement par un support amovible, c'est une variante assez récente de vers VBS qui se propage de cette façon.
Si depuis la date de l'infection, tu as connecté une clé usb ou un disque dur externe, ils sont probablement infectés aussi, ce qu'on va vérifier et nettoyer dans la suite des différentes manipulations que je vais te demander.

> Etape 1:

Branche tous tes supports amovibles : Disque dur externe, clé USB, lecteur Flash, lecteur MP3...

Désactive ton antivirus et tes autres protections, tu les réactiveras ensuite.
Télécharge Flash Desinfector de sUBs à partir de ce lien :
http://www.techsupportforum.com/sectool ... fector.exe
Double clique dessus pour le lancer.
Un avertissement (en anglais) va t'être donné, te disant que ton écran va devenir blanc et va disparaître un instant, ne t'inquiète pas, c'est normal.
Quand la désinfection sera terminée, une fenêtre "Done" va apparaître, clique sur Ok. Tu pourras alors débrancher tes périphériques externes, ils sont maintenant vaccinés.

> Etape 2:
Désactivation de l'autorun de Windows :
Cette fonction est à l'origine de l'infection, si celle-ci n'est pas désactivée, tu risques une nouvelle infection lorsque tu brancheras un périphérique contaminé.
La différence pour toi, sera que tu ne verras plus Windows te proposer d'ouvrir un media ou un lecteur quand tu connecteras un périphérique. Il faudra te rendre dans le poste de travail et double cliquer sur la lettre correspondant au périphérique que tu viens de connecter pour l'ouvrir (si c'est une clé usb ou un disque externe par exemple).

Suis ce qui est écrit sur cette page et fusionne AutoRun (Off).reg à ta base de registre.

> Etape 3:
Télécharge combofix.exe, de sUBs, sur ton Bureau,
- Ferme toutes tes applications en cours, il peut y avoir un redémarrage du PC,
- Double clique combofix.exe,
- Tape sur la touche 1 (Yes) pour démarrer le scan,
  
  $/!\$ Ne clique pas dans la fenêtre de Combofix pendant qu'il effectue son scan, tu pourrais faire planter Windows.
- Lorsque le scan sera complété, un rapport apparaîtra.
- Poste l'intégralité du rapport sous forme de lien dans ta prochaine réponse
  NB : Le rapport se trouve également là : C:\Combofix.txt.
Réactive ton antivirus,
Poste un nouveau log HijackThis ensuite.

de **nic** » Dim 23 Nov 2008 00:01

Encore merci

je vais essayer et vous renvoi le logfile

A plus

de **nic** » Dim 23 Nov 2008 13:22

Bonjour,

Ci-joint le rapport de combofix.exe

A plus

Code: Tout sélectionner: ComboFix 08-11-22.02 - user 2008-11-23 12:16:22.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.397 [GMT 0:00] Lancé depuis: c:\documents and settings\user\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\d nico\Partenariat\Archives programmes\Appui Porteurs projets\Goutte de lait\_desktop.ini . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-23 au 2008-11-23 )))))))))))))))))))))))))))))))))))) . 2008-11-21 21:53 . 2008-11-21 22:32 <REP> d-------- c:\program files\UsbFix 2008-11-21 16:18 . 1996-08-20 20:37 15,840 --a------ c:\windows\system32\Machnm1.exe 2008-11-21 16:18 . 2005-09-25 16:37 5,632 --a------ c:\windows\system32\Machnm64.sys 2008-11-21 16:18 . 2008-11-21 16:18 3,120 --a------ c:\windows\system32\118290.54 2008-11-21 16:18 . 2008-11-21 16:18 3,120 --a------ c:\windows\118294.78 2008-11-21 16:18 . 2003-08-13 00:27 2,304 --a------ c:\windows\system32\Machnm32.sys 2008-11-21 14:05 . 2008-11-21 14:05 <REP> d-------- c:\program files\Trend Micro 2008-11-20 16:04 . 2008-11-20 16:04 <REP> d-------- c:\documents and settings\user\Application Data\InstallShield 2008-11-20 13:54 . 2008-11-22 16:40 8,627 --a------ c:\windows\system32\PAV_FOG.OPC 2008-11-20 13:29 . 2008-11-20 13:29 <REP> d-------- c:\windows\system32\PAV 2008-11-20 13:29 . 2008-11-21 08:49 <REP> d-------- c:\program files\Panda Security 2008-11-20 13:29 . 2008-11-20 13:29 <REP> d-------- c:\documents and settings\user\Application Data\Panda Security 2008-11-20 13:29 . 2008-11-20 13:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Panda Security 2008-11-20 13:29 . 2008-06-18 18:03 520,448 --a------ c:\windows\system32\PavSHook.dll 2008-11-20 13:29 . 2003-10-22 18:23 446,464 --a------ c:\windows\system32\HHActiveX.dll 2008-11-20 13:29 . 2008-06-24 14:48 193,280 --a------ c:\windows\system32\TpUtil.dll 2008-11-20 13:29 . 2007-02-08 11:53 107,568 --a------ c:\windows\system32\SYSTOOLS.DLL 2008-11-20 13:29 . 2008-06-18 18:03 87,296 --a------ c:\windows\system32\PavLspHook.dll 2008-11-20 13:29 . 2008-04-28 17:35 84,024 --a------ c:\windows\system32\drivers\pavdrv51.sys 2008-11-20 13:29 . 2008-03-18 16:58 58,672 --a------ c:\windows\system32\avldr.dll 2008-11-20 13:29 . 2008-06-18 18:03 55,552 --a------ c:\windows\system32\pavipc.dll 2008-11-20 13:29 . 2007-03-15 19:38 54,832 --a------ c:\windows\system32\pavcpl.cpl 2008-11-20 13:29 . 2008-11-20 13:29 249 --a------ c:\windows\system32\PavCPL.dat 2008-11-20 13:27 . 2008-11-20 13:27 <REP> d-------- c:\program files\Fichiers communs\Panda Security 2008-11-20 13:27 . 2008-02-07 12:03 179,640 --a------ c:\windows\system32\drivers\PavProc.sys 2008-11-20 13:27 . 2008-03-04 15:59 41,144 --a------ c:\windows\system32\drivers\ShlDrv51.sys 2008-11-20 13:27 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2008-11-20 13:25 . 2008-11-20 13:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Avg7 2008-11-20 12:03 . 2008-11-20 12:03 388 --a------ c:\windows\AvDetected.ini 2008-11-19 11:47 . 2008-11-19 11:48 <REP> d-------- C:\D Nico 2008-11-19 10:05 . 2008-11-19 10:05 13,036 --a------ c:\windows\system32\antinul.vbe 2008-11-13 16:10 . 2008-09-04 17:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll 2008-11-13 16:07 . 2008-10-24 11:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys 2008-10-30 09:03 . 2008-10-30 09:03 <REP> d-------- c:\windows\system32\fr-fr 2008-10-30 09:03 . 2008-10-30 09:03 <REP> d-------- c:\windows\system32\fr 2008-10-30 09:03 . 2008-10-30 09:03 <REP> d-------- c:\windows\system32\bits 2008-10-30 09:03 . 2008-10-30 09:03 <REP> d-------- c:\windows\l2schemas 2008-10-30 09:00 . 2008-10-30 09:00 <REP> d-------- c:\windows\ServicePackFiles 2008-10-26 11:43 . 2008-10-26 11:44 <REP> d-------- c:\program files\Paint Shop Pro 6 2008-10-26 11:43 . 1999-08-13 06:00 317,952 --a------ c:\windows\system32\Roboex32.dll 2008-10-26 11:43 . 1999-08-13 06:00 54,272 --a------ c:\windows\system32\Serial.ocx 2008-10-26 11:43 . 1999-08-13 06:00 53,760 --a------ c:\windows\system32\Infrared.ocx 2008-10-26 11:43 . 1999-08-13 06:00 51,712 --a------ c:\windows\system32\USB.ocx 2008-10-26 11:43 . 1999-08-13 06:00 47,104 --a------ c:\windows\system32\Wh2Robo.dll 2008-10-23 16:11 . 2008-10-15 16:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-21 17:59 --------- d--h--w c:\program files\InstallShield Installation Information 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-15 15:26 1,846,528 ------w c:\windows\system32\dllcache\win32k.sys 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll 2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys 2008-09-05 23:30 952,360 ------w c:\windows\system32\dllcache\WgaTray.exe 2008-09-05 23:30 267,304 ------w c:\windows\system32\dllcache\wgaLogon.dll 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 864256] "TouchPadHotKey"="c:\program files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe" [2007-08-13 364544] "APVXDWIN"="c:\program files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" [2008-10-22 869632] "SCANINICIO"="c:\program files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe" [2008-07-07 50432] "RTHDCPL"="RTHDCPL.EXE" [2007-08-10 c:\windows\RTHDCPL.EXE] "SiSPower"="SiSPower.dll" [2007-08-03 c:\windows\system32\SiSPower.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\user\Menu D‚marrer\Programmes\D‚marrage\ Stickies.lnk - c:\program files\stickies\stickies.exe [2006-03-29 348160] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696] WirelessSelector.lnk - c:\program files\FSC\Wireless Utility\WirelessSelector.exe [2008-07-16 650752] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr] 2008-03-18 16:58 58672 c:\windows\system32\avldr.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP2014MC.EXE"= "c:\\Program Files\\stickies\\stickies.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundTimestampRequest"= 1 (0x1) "AllowInboundMaskRequest"= 1 (0x1) "AllowInboundRouterRequest"= 1 (0x1) "AllowOutboundDestinationUnreachable"= 1 (0x1) "AllowOutboundSourceQuench"= 1 (0x1) "AllowOutboundParameterProblem"= 1 (0x1) "AllowOutboundTimeExceeded"= 1 (0x1) "AllowRedirect"= 1 (0x1) "AllowOutboundPacketTooBig"= 1 (0x1) R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [2008-11-20 28544] R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\DRIVERS\ShlDrv51.sys [2008-11-20 41144] R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k Panda [] R2 PavProc;Panda Process Protection Driver;\??\c:\windows\system32\DRIVERS\PavProc.sys [2008-11-20 179640] R2 PskSvcRetail;Panda PSK service;"c:\program files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe" [2008-11-20 28928] R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys [] S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2008-07-31 61504] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] panda REG_MULTI_SZ Gwmsrv *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-23 12:17:24 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(736) c:\windows\SYSTEM32\avldr.dll c:\windows\SYSTEM32\WgaLogon.dll . Heure de fin: 2008-11-23 12:18:02 ComboFix-quarantined-files.txt 2008-11-23 12:18:00 Avant-CF: 99 620 093 952 octets libres Après-CF: 99,739,504,640 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect 152 --- E O F --- 2008-11-22 15:14:56

de **Sév** » Dim 23 Nov 2008 13:49

Bonjour,

Les étapes se sont déroulées correctement ?

J'aimerai voir un nouveau log HijackThis avant de continuer. ;-)

de **nic** » Lun 24 Nov 2008 10:06

Bonjour,

Toute c'est bien déroulé, auncuns soucis.
Le texte a disparu de la barre Internet Explorer et le virus n'apparaît plus.

Ci-joint le nouveau log de Hijakcthis
En suis je débarrassé ?

Merci

Code: Tout sélectionner: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:02:31, on 24/11/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe C:\Program Files\stickies\stickies.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2009\AVENGINE.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Internet Explorer\iexplore.exe C:\D Nico\Logiciels\antivirus et mises à jour\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WirelessSelector.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe -- End of file - 5343 bytes

de **Sév** » Lun 24 Nov 2008 19:53

Bonsoir,

nic a écrit:Le texte a disparu de la barre Internet Explorer et le virus n'apparaît plus.

Ravie que tu te sois débarassé de ce vers, cependant il y a des choses qui m'interpellent et qui m'amènent à te poser cette question : Tu as suivi une autre procédure de désinfection que celle que je t'ai donnée :?:

Sur ton premier log HijackThis :

Code: Tout sélectionner: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer! F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe

Ces lignes n'apparaissent plus dans le second log et ce n'est pas Combofix qui les a dégagées car si le fichier antinul.vbe est bien présent sur le rapport de Combofix, il ne fait pas partie des éléments supprimés...

De plus, la première fois tu lances HijackThis à partir de ton Bureau (c'est bien) et la seconde fois à partir du répertoire C:\D Nico\Logiciels\antivirus et mises à jour\ (pas bien) Pourquoi ? :confus:

@+

de **nic** » Mar 25 Nov 2008 16:58

Bonjour,

Je ne savais pas qu'il fallait laisser Hijackthis sur le bureau, j'ai simplement fait du rangement.
Faut-il que je le refasse à partir du bureau, qu'elle est la différence ?

Concernant la première question un ami m'avais conseillé usbfix pour fixer des lignes, que j'ai essayé mais sans succès car le texte était toujours présent. C'est peut-être lui qui la supprimé.
Pour éviter de continuer ce "bricolage" je me suis tourné vers le forum pour avoir une démarche plus claire.
Cependant ces actions ont été menées avant que je fasse la manipulation que vous avez proposé.

Y a t'il des conséquences ?

Merci encore de vos efforts.

de **Sév** » Mer 26 Nov 2008 13:13

Bonjour,

nic a écrit:Je ne savais pas qu'il fallait laisser Hijackthis sur le bureau, j'ai simplement fait du rangement.
Faut-il que je le refasse à partir du bureau, qu'elle est la différence ?

La différence est que si tu corriges des lignes avec HijackThis, et qu'on a besoin de les restaurer on ne sait plus quel est le bon dossier de quarantaine. Tu dois toujours le lancer du même endroit, peu importe que ce soit le Bureau ou un autre dossier, du moment que ce n'est pas un répertoire temporaire.

nic a écrit:Concernant la première question un ami m'avais conseillé usbfix pour fixer des lignes, que j'ai essayé mais sans succès car le texte était toujours présent. C'est peut-être lui qui la supprimé.

Je ne crois pas non.

nic a écrit:Pour éviter de continuer ce "bricolage" je me suis tourné vers le forum pour avoir une démarche plus claire.
Cependant ces actions ont été menées avant que je fasse la manipulation que vous avez proposé.

Y a t'il des conséquences ?

Disons que j'aime bien savoir précisément ce qui a été fait auparavant, ça fait gagner du temps à tout le monde, et on sait mieux où on va. ;-)

Pour en revenir à l'infection, vérifie (en affichant les fichiers cachés) que le fichier C:\WINDOWS\system32\antinul.vbe n'est plus sur ta machine. Si tu le trouves supprime-le.

Autre chose, je te conseille d'installer la version 7 de Internet Explorer, qui comblera plusieurs failles de sécurité. A lire, pour info.

++

Oxygène PC

nettoyer virus mabraze travailler plus

nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Re: nettoyer virus mabraze travailler plus

Qui est en ligne