ordi infecté par Virus.Win32.Virut.n

par **wackyfairy** » 22 Oct 2007, 04:51

Bonjour.

J'ai un gros problème avec mon ordi, infecté par un virus (enfin au moins un). J'ai essayé un certain nombre d'antivirus les uns après les autres, mais rien n'y fait.
Le virus se nomme "Virus.Win32.Virut.n". J'ai fait une analyse en ligne avec Kaspersky donc voici le rapport:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, October 21, 2007 4:55:43 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 21/10/2007
Enregistrements dans la base antivirus Kaspersky : 415061
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\

Statistiques de l'analyse:
Total d'objets analysés: 37342
Nombre de virus trouvés: 1
Nombre d'objets infectés: 4 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:36:01

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_564.dat L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Local Settings\Temp\Perflib_Perfdata_984.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Local Settings\Temp\JETB9B7.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Local Settings\Temp\~DF936A.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Menu Démarrer\Programmes\Démarrage\msn.exe Infecté : Virus.Win32.Virut.n ignoré
C:\Documents and Settings\Chloé\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Application Data\Creative\Media Database\PCML_1.dpm L'objet est verrouillé ignoré
C:\Documents and Settings\Chloé\Application Data\Creative\Media Database\PCML_1.ldb L'objet est verrouillé ignoré
C:\Program Files\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\Program Files\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré
C:\Program Files\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\msn.exe Infecté : Virus.Win32.Virut.n ignoré
D:\msn.exe Infecté : Virus.Win32.Virut.n ignoré
E:\msn.exe Infecté : Virus.Win32.Virut.n ignoré

Analyse terminée.

Voilà. Si vous avez la moindre idée de ce que je peux faire pour m'en débarasser n'hésitez pas à me le faire savoir!

Merci d'avance.

wackyfairy.

par **Marie** » 22 Oct 2007, 08:05

Bonjour wackyfairy et bienvenue

:ss)

Affiche les fichiers cachés de XP: Pour afficher les fichiers cachés

:ss)

Tous tes disques amovibles sont infectés.
Suis la procédure donnée sur le Blog d'Angel-Dark
Tu dois faire cette procédure sur tous tes disques amovibles:

Ceux présents dans le poste de travail mais aussi
Toutes tes clés USB
Tes lecteurs MP3
Tes disques durs externes ...

Fais bien attention de ne pas double-cliquer sur le disque dans le poste de travail (sinon tu relances l'infection). Il faut que tu fasses un clic droit comme indiqué dans le tuto.

:ss)

Arrête le processus MSN.exe de la façon suivante: <-- étape importante

Appuie simultanément sur les touches Ctrl + Alt + Suppr pour lancer le gestionnaire de tâches. Sélectionne l'onglet Processus.

Clique sur la colonne Nom de l'image pour ranger les processus par ordre alphabétique.
Recherche le processus suivant:
MSN.exe
Clique droit sur le processus et choisis Terminer le processus

Va dans Démarrer/Programmes/Démarrage et supprime le raccourci MSN.exe

Supprime ensuite les fichiers suivants:
C:\msn.exe
D:\msn.exe
E:\msn.exe

:ss)

Télécharge ComboFix de sUBs sur ton bureau.

Double-clique sur ComboFix.exe pour le lancer.
A la question qu'il te pose, tape sur la touche 1 pour démarrer le scan.
Patiente le temps que ComboFix travaille sans l'interrompre et sans rien toucher. (Ne clique pas dans la fenêtre de ComboFix quand il est en train de s'exècuter: Ca pourrait planter Windows)
A la fin du scan, un rapport va être généré: C:\ComboFix.txt
Poste ce rapport dans ta prochaine réponse.

Télécharge SDFix de AndyManchesta et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec. Pour démarrer en mode sans échec.
Tu choisis ton nom d'utilisateur pour ouvrir la session.
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie donc sur une touche.
Ton système sera plus long pour redémarrer que d'habitude car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Une fois les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Il faudra coller ce rapport dans ta prochaine réponse.

Poste aussi un log HijackThis

par **wackyfairy** » 22 Oct 2007, 14:39

Décidément ces trucs sont têtus!

J'ai suivi la procédure en ce qui concerne les fichiers cachés, et les disques amovibles (qui étaient effectivement tous contaminés) mais l'autorun continue à réapparaitre au bout de quelques secondes. J'ai quand même fini par le supprimer et éjecter les disques avant qu'il ne réapparaisse mais est ce que c'est bien normal tout ça??
L'autre problème c'est que je ne trouve pas msn.exe dans le gestionnaire de tâches dans les processus. J'ai des tas de .exe bizarres, mais pas de msn...
Que faire?

par **Marie** » 22 Oct 2007, 14:46

J'ai des tas de .exe bizarres, mais pas de msn...

Génère un log HijackThis comme indiqué dans ce topic et poste le dans ta prochaine réponse.

J'ai quand même fini par le supprimer et éjecter les disques avant qu'il ne réapparaisse mais est ce que c'est bien normal tout ça??

Non, ce n'est pas normal. Si le MSN.exe réapparait, ça veut dire que l'infection est régénérée.
:ss)

C'est quoi comme type de disques?
:ss)

Est ce que l'autorun sur ces disques existe encore?
J'ai peur que la désinfection des disques amovibles n'ait pas été complète.

par **wackyfairy** » 23 Oct 2007, 05:09

Bonjour

Alors tout d'abord voici le rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:02:20, on 23/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bar.baidu.com/sobar/defaultsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bar.baidu.com/sobar/defaultsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: msn.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D14A4980-3563-4272-951D-C29DE3C24BDD}: NameServer = 210.40.0.33
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StreamServe Reporter (Reporter) - Unknown owner - C:\Program Files\StreamServe\4.1.2\Reporter\bin\bootloader.exe (file missing)
O23 - Service: ServiceBroker - Unknown owner - C:\Program Files\StreamServe\4.1.2\Server\ServiceBroker.exe (file missing)

--
End of file - 7091 bytes

Ensuite pour répondre à ta question, les disques amovibles ce sont une clef usb et un appareil photo.
Et l'autorun est réapparu, donc effectivement je pense qu'il n'a pas été enlevé complètement.
De plus il y a aussi le fameux msn.exe sur ces disques!

par **Marie** » 23 Oct 2007, 13:34

Salut

On va utiliser un outil spécifique à ce genre d'infection:

:ss)

Télécharge Flash Desinfector de sUBs sur ton bureau.

Branche tous tes disques amovibles.
Double-clique sur Flash_Disinfector.exe pour le lancer.
Un message en anglais va t'expliquer que les icones sur ton bureau et que ta barre des tâches vont disparaitre.
Clique sur OK pour lancer l'outil.
Laisse le bosser et à la fin une petite boîte de dialogue (Done!) doit t'avertir que c'est fini.
Ouvre tes différents disques (amovibles ou pas) et à la racine tu dois voir un répertoire Autorun.inf. Ce répertoire contient un fichier .txt dont le contenu est "This Folder was ceated by Flash_Disinfector".
Ne supprime pas ce répertoire Autorun.inf. C'est un genre de vaccination.
Par contre, si tu vois le MSN.exe, tu le supprimes

Relance HijackThis et coche la ligne suivante:

O4 - Startup: msn.exe

Clique sur Fix Checked et confirme le message qui suit.

:ss)

Redémarre le PC et poste un nouveau log HijackThis.
Assure toi que les MSN.exe ne sont pas revenus sur tes disques durs et amovibles.

[Edit] C'est toi qui as installé la Baidu Bar?
Baidu=Moteur de recherche Chinois

par **wackyfairy** » 24 Oct 2007, 11:12

Salut!

J'imagine que tu vas finir par me détester, mais c'est dramatique, rien ne fonctionne. :-?

J'ai lancé Flash Désinfector, mais après son passage, le seul autorun que je trouve c'est celui d'avant qui dit ça:

[autorun]
shellexecute=msn.exe
shell\open\Command=msn.exe
shell\explore\Command=msn.exe

J'ai effacé les msn.exe, qui sont réapparus aussitôt. J'ai quand même redémarré l'ordi, mais évidemment ils y sont tous encore sur les disques durs et amovibles.
Voici quand même le log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:30, on 24/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bar.baidu.com/sobar/defaultsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bar.baidu.com/sobar/defaultsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: msn.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D14A4980-3563-4272-951D-C29DE3C24BDD}: NameServer = 210.40.0.33
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StreamServe Reporter (Reporter) - Unknown owner - C:\Program Files\StreamServe\4.1.2\Reporter\bin\bootloader.exe (file missing)
O23 - Service: ServiceBroker - Unknown owner - C:\Program Files\StreamServe\4.1.2\Server\ServiceBroker.exe (file missing)

--
End of file - 7067 bytes

Est ce possible que le virus ne soit pas msn.exe mais un autre fichier, ce qui expliquerait pourquoi les msn reviennent en permanence quand je les supprime??

[/quote] [Edit] C'est toi qui as installé la Baidu Bar?
Baidu=Moteur de recherche Chinois

Non, le fait est que j'étudie en ce moment en Chine et que j'ai malencontreusement laissé ma clef USB trainer dans un cybercafé chinois, et.....voilà! :eek:

La Baidu Bar fonctionne un peu comme une pop-up j'ai l'impression. Elle est plus ou moins bloquée par spybot search and destroy qui la reconnait comme une modification du registre mais c'est pas le top...

En plus, avast (mon antivirus résident) m'avertit sans arrêt de la présence de troyens et autres adwares; Baidu, j'ai essayé de m'en débarasser mais il est tenace... et j'ai des pop-ups chinoises qui apparaissent à chaque nouvelle page internet...

Je commence à croire que mon cas est désespéré!

Est ce que le fait que j'ai en même temps avast, spybot search and destroy et AVG anti-spyware comme scan résident peut poser problème?

par **Marie** » 25 Oct 2007, 08:27

Salut

Est ce que le fait que j'ai en même temps avast, spybot search and destroy et AVG anti-spyware comme scan résident peut poser problème?

Oui, le bouclier résident de Spybot peut empêcher la désinfection de se faire correctement. Désactive pour le moment, tu le réactiveras lorsque ton PC sera désinfecté.

Non, le fait est que j'étudie en ce moment en Chine et que j'ai malencontreusement laissé ma clef USB trainer dans un cybercafé chinois, et.....voilà!

OK! On va supprimer la baidu Bar. Ce sera un soucis de moins.
C'est curieux que Kaspersky n'ait pas détecté la Baidu Bar.

Télécharge et exècute Combofix et SDFix comme je te l'ai indiqué dans ce message.
Relance ensuite Flash Disinfector, supprime tous les fichiers MSN.exe que tu rencontres et coche la ligne suivante dans HijackThis:
O4 - Startup: msn.exe
Redémarre le PC, poste tous les rapports + un nouveau rapport HijackThis.

par **wackyfairy** » 25 Oct 2007, 17:04

Salut!!

Bon... et ben ça marche toujours pas! J'ai vraiment décroché le gros lot sur ce coup là! J'espère que tu commences pas à trouver mon cas désespérant...

:ss)

Voici donc le rapport ComboFix:

ComboFix 07-10-23.1 - Chlo‚ 2007-10-25 16:15:14.1 - FAT32x86
Microsoft Windows XP ?dition familiale 5.1.2600.2.1252.1.1036.18.14 [GMT 2:00]
Running from: C:\Documents and Settings\Chlo‚\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\msn.exe
C:\WINDOWS\system32\iexp_log.txt
C:\WINDOWS\system32\mprmsgse.axz
D:\Autorun.inf
E:\Autorun.inf
E:\XCOPY.EXE

.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-25 to 2007-10-25 ))))))))))))))))))))))))))))))))))))
.

2007-10-24 11:09 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-10-23 06:01 <REP> d-------- C:\Program Files\Trend Micro
2007-10-21 15:49 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-21 11:36 <REP> C:\Documents and Settings\Chloé\Recent
2007-10-14 07:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-10-14 06:55 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-10-13 19:22 <REP> d--hs---- C:\FOUND.000
2007-10-13 19:15 <REP> d-------- C:\Documents and Settings\CHLO~1\LOCALS~1
2007-10-13 10:27 <REP> d-------- C:\WINDOWS\pss
2007-10-13 07:36 <REP> C:\Documents and Settings\Chloé\Application Data\Grisoft
2007-10-13 07:35 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-13 07:31 <REP> d-------- C:\Program Files\Lavasoft
2007-10-13 07:29 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-10-13 07:20 <REP> d-------- C:\Program Files\CCleaner
2007-10-10 08:56 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-09-27 05:24 <REP> dr------- C:\Documents and Settings\CHLO'\Favoris
2007-09-27 04:57 468,367 --a------ C:\WINDOWS\system32\dsgj.exe
2007-09-27 04:57 282,624 --a------ C:\WINDOWS\htmlpeek.dll
2007-09-27 04:57 27,607 --a------ C:\WINDOWS\system32\comrcinf.dat
2007-09-27 04:57 369 --a------ C:\WINDOWS\system32\cmbinfo.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-24 15:08 6,815,744 ---ha-w C:\Documents and Settings\Chloé\NTUSER.DAT
2007-10-13 05:55 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-10-13 05:55 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-22 13:13 96,768 ------w C:\WINDOWS\system32\dllcache\inseng.dll
2007-08-22 13:13 663,040 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-22 13:13 617,472 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-22 13:13 55,808 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-22 13:13 532,480 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-22 13:13 474,624 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-08-22 13:13 449,024 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-22 13:13 39,424 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-08-22 13:13 357,888 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-08-22 13:13 3,079,168 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-22 13:13 251,392 ------w C:\WINDOWS\system32\dllcache\iepeers.dll
2007-08-22 13:13 205,312 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-22 13:13 16,384 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-22 13:13 152,064 ------w C:\WINDOWS\system32\dllcache\cdfview.dll
2007-08-22 13:13 146,432 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-22 13:13 1,495,040 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-08-22 13:13 1,056,768 ----a-w C:\WINDOWS\system32\dllcache\danim.dll
2007-08-22 13:13 1,023,488 ------w C:\WINDOWS\system32\dllcache\browseui.dll
2007-08-21 10:30 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:17 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2004-10-11 17:46 205,312 ----a-w C:\Program Files\ltefx13n.dll
2004-01-19 12:31 153,600 ----a-w C:\Program Files\ltfil13n.DLL
2004-01-19 11:31 27,648 ----a-w C:\Program Files\lfiff13n.dll
2004-01-19 11:31 20,480 ----a-w C:\Program Files\lfCUT13n.dll
2004-01-19 10:31 453,120 ----a-w C:\Program Files\ltkrn13n.dll
2004-01-19 10:12 89,600 ----a-w C:\Program Files\Lfcgm13n.dll
2004-01-19 09:49 278,016 ----a-w C:\Program Files\LFJ2K13n.dll
2004-01-19 09:49 180,736 ----a-w C:\Program Files\Lfpng13n.dll
2004-01-19 09:47 76,800 ----a-w C:\Program Files\Lfwmf13n.dll
2004-01-19 09:47 509,440 ----a-w C:\Program Files\LFCMW13n.dll
2004-01-19 09:45 420,352 ----a-w C:\Program Files\LFCMP13n.DLL
2004-01-19 09:44 143,872 ----a-w C:\Program Files\lftif13n.dll
2004-01-19 09:36 65,536 ----a-w C:\Program Files\Lfpct13n.dll
2004-01-19 09:36 56,832 ----a-w C:\Program Files\lfpsd13n.dll
2004-01-19 09:36 26,624 ----a-w C:\Program Files\lfpcx13n.dll
2004-01-19 09:36 19,968 ----a-w C:\Program Files\lfpcd13n.dll
2004-01-19 09:36 18,944 ----a-w C:\Program Files\lfmsp13n.dll
2004-01-19 09:35 20,992 ----a-w C:\Program Files\lfimg13n.dll
2004-01-19 09:35 18,944 ----a-w C:\Program Files\lfmac13n.dll
2004-01-19 09:34 31,744 ----a-w C:\Program Files\lfclp13n.dll
2004-01-19 09:34 30,208 ----a-w C:\Program Files\lfbmp13n.dll
2004-01-19 09:33 444,928 ----a-w C:\Program Files\ltimg13n.dll
2004-01-19 09:32 265,216 ----a-w C:\Program Files\LTDIS13n.dll
2000-05-02 02:17 212,480 ----a-w C:\Program Files\PCDLIB32.DLL
1999-11-18 21:00 284,032 ----a-w C:\Program Files\XceedZip.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"VTTimer"="VTTimer.exe" [2003-05-07 16:32 C:\WINDOWS\system32\VTTimer.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-05-14 13:20 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-04-01 04:54 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2002-11-15 17:40]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-11-18 09:34]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE" [2003-08-22 12:07]
"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-04-06 10:28]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-07-04 10:34]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-06-12 14:32]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

C:\Documents and Settings\Chlo‚\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1996-12-17]
Microsoft Recherche acc‚l‚r‚e.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17]
msn.exe [2007-09-12 15:11:08]

R3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\system32\Drivers\DKbFltr.sys
R3 ZDPNDIS5;ZDPNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\System32\ZDPNDIS5.SYS
S3 Reporter;StreamServe Reporter;C:\Program Files\StreamServe\4.1.2\Reporter\bin\bootloader.exe
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS
S3 ServiceBroker;ServiceBroker;C:\Program Files\StreamServe\4.1.2\Server\ServiceBroker.exe
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{203dbea0-ddf0-11db-bd13-00c09f340d70}]
Auto\command - AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31f67231-8d0b-11db-bcbe-00c09f340d70}]
Auto\command - H:\AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6653ce80-32bb-11dc-bd85-00c09f340d70}]
Auto\command - AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66f56b50-1ee6-11db-bc5a-000e2e51e71a}]
Auto\command - AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9722cf0-1289-11dc-bd4a-00c09f340d70}]
AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd02e120-6e53-11db-bc98-00c09f340d70}]
Auto\command - G:\AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7dbf3a0-ffbf-11db-bd38-00c09f340d70}]
Auto\command - AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6f53fa0-d13a-11db-bd08-00c09f340d70}]
AutoRun\command - autorun.exe
Open\command - autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43e1990-ff9b-11da-bc3c-000e2e51e71a}]
Auto\command - G:\AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e96ef7a0-7c9d-11db-bca3-00c09f340d70}]
Auto\command - G:\AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-25 16:18:04
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

C:\Program Files\Internet Explorer\iexplore.exe [3468] 0xFF6E4A28
C:\WINDOWS\system32\cmd.exe [2576] 0xFF6D7020
C:\WINDOWS\System32\wbem\wmiprvse.exe [3696] 0xFCAA7328
C:\ComboFix\catchme.cfexe [3888] 0xFEEBADA0
C:\ComboFix\sed.cfexe [436] 0xFF5C5B70

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-25 16:18:44
.
--- E O F ---

:ss)

le rapport SDFix:

SDFix: Version 1.112

Run by Chlo‚ on 25/10/2007 at 16:43

Microsoft Windows XP [version 5.1.2600]

Running From: C:\Documents and Settings\Chlo‚\Bureau\SdFix\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Files with Hidden Attributes:

Mon 1 Sep 2003 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"
Mon 22 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\388e66e644283db0233c4a98f2fd08a0\BIT1.tmp"

Finished!

:ss)

Et enfin le rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:11, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.baidu.com/index.php?tn=dsgj_cb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: msn.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D14A4980-3563-4272-951D-C29DE3C24BDD}: NameServer = 210.40.0.33
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StreamServe Reporter (Reporter) - Unknown owner - C:\Program Files\StreamServe\4.1.2\Reporter\bin\bootloader.exe (file missing)
O23 - Service: ServiceBroker - Unknown owner - C:\Program Files\StreamServe\4.1.2\Server\ServiceBroker.exe (file missing)

--
End of file - 6588 bytes

Au final, je n'ai toujours pas réussi à obtenir un fichier autorun "this folder was created by Flash_Disinfector", c'est toujours le même autorun, et lui et msn.exe réapparaissent à chaque fois que je les suppriment sur tous mes disques... ::rrhh::

Je me pose une question: pourquoi le rapport Combofix dit: "Running from: C:\Documents and Settings\Chlo‚\Bureau\ComboFix.exe"? Le fichier dont il parle, 'Chlo,' à la base il s'appelait Chloé. Et un beau jour quand les virus ont commencé à pointer leur nez, sont apparus 2 nouveaux dossiers: 'Chlo, ' , et 'CHLO' avec un carré derrière mais je ne sais pas comment taper ça... Puis l'ordi m'a déplacé dans ces dossiers d'autres dossiers (Temp, Application Data, Temporary Internet Files....)

Si l'analyse de Combofix se fait à partir de ce dossier, c'est bizarre. Est ce qu'on ne peut pas avoir à faire à un petit malin que l'ordi ne reconnait pas comme un virus mais comme un dossier, ou un fichier du système?

Je pensais, si c'est vraiment impossible de s'en débarasser, reformater l'ordinateur ça donnerait quoi? Le problème étant que je ne peux reformater que le disque C et que le virus est partout...

Mais pourquoi rien ne fonctionne?

En tout cas merci pour ton aide sur tout ça!!

par **Marie** » 26 Oct 2007, 22:00

Salut

Je vois dans ton log que TeaTimer de Spybot est toujours actif.
J'ai bien peur que ce soit lui qui gêne la désinfection.
Si tu n'arrives pas à le désactiver, désinstalle Spybot Search & Destroy, tu le réinstalleras quand ton PC sera propre.

:ss)

Le log Combofix montre la présence du fichier AdobeR.exe qui appartient aussi à l'infection.
Ce fichier devrait être supprimé par l'outil Flash Disinfector.

Une fois que tu auras désinstallé Spybot

:ss)

Recommence la procédure avec Flash Disinfector indiquée dans ce message.

:ss)

Fais ensuite ce qui est indiqué sur le Blog d'Angel Dark (tous tes disques amovibles étant branchés).
Et n'oublie pas cela:

Si vous voyez Adober.exe, supprimez-le

Redémarre le PC, poste un nouveau log HijackThis et dis moi si cette fois les MSN.exe sont bien partis.

Je me pose une question: pourquoi le rapport Combofix dit: "Running from: C:\Documents and Settings\Chlo‚\Bureau\ComboFix.exe"? Le fichier dont il parle, 'Chlo,' à la base il s'appelait Chloé. Et un beau jour quand les virus ont commencé à pointer leur nez, sont apparus 2 nouveaux dossiers: 'Chlo, ' , et 'CHLO' avec un carré derrière mais je ne sais pas comment taper ça... Puis l'ordi m'a déplacé dans ces dossiers d'autres dossiers (Temp, Application Data, Temporary Internet Files....)

Le CLO. dans le rapport ComboFix peut venir du fait que les caractères accentués passent mal dans ce genre d'outils.
Par contre, ce que tu rajoutes derrière me semble inquiétant.

Quand tu vas dans Panneau de configuration/Comptes utilisateurs, combien as tu de comptes et quel est leur nom?
Quand tu entres en session au démarrage de ton PC, tu choisis bien ton compte habituel (celui que tu utilisais avant l'apparition des virus) ou celui ci aussi a changé de nom (avec le petit carré à la place du "é").

par **Marie** » 26 Oct 2007, 22:05

Puis j'ai oublié ... 8-)

Quand tu auras fait tout ce qui précède, fais analyser les fichiers suivants sur ce site et fais un copier coller du résultat dans le forum.

Fichiers à analyser:

C:\WINDOWS\system32\dsgj.exe
C:\WINDOWS\htmlpeek.dll
C:\WINDOWS\system32\comrcinf.dat
C:\WINDOWS\system32\cmbinfo.dat

Pour analyser un fichier, tu cliques sur le bouton Parcourir et tu recherches dans la fenêtre qui s'ouvre (arborescence de ton disque dur) le fichier en question. Ensuite tu cliques sur Submit et tu attends qu'il ait fini d'analyser le fichier. Puis tu copies-colles le résultat dans le forum.

par **wackyfairy** » 07 Nov 2007, 10:36

Salut

Désolée, ça fait un moment que je me suis pas reconnectée sur internet.

Alors, j'ai supprimé Spybot Search and Destroy puis j'ai suivi toute la procédure avec Flash Disinfector, puis celle sur le blog d'Angel Dark... et ça marche toujours pas :8)

Les msn.exe sont tous revenus sur les disques durs et amovibles, et les autorun.int ne sont toujours pas ceux de Flash Disinfector, mais ceux de msn.exe. Je les ai donc supprimés aussi, et eux aussi sont revenus. Et la Baidu bar est plus présente que jamais.

Il y aurait pas quelque chose au dessus qui empêche de les effacer, un fichier qui est responsable de ça?

:ss)

Voici quand même le dernier log HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:08:47, on 07/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.baidu.com/index.php?tn=dsgj_cb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: msn.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D14A4980-3563-4272-951D-C29DE3C24BDD}: NameServer = 210.40.0.33
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StreamServe Reporter (Reporter) - Unknown owner - C:\Program Files\StreamServe\4.1.2\Reporter\bin\bootloader.exe (file missing)
O23 - Service: ServiceBroker - Unknown owner - C:\Program Files\StreamServe\4.1.2\Server\ServiceBroker.exe (file missing)

--
End of file - 6378 bytes

:ss)

Ensuite, en ce qui concerne les comptes utilisateurs, dans le panneau de config j'ai mon compte normal Chloé (administrateur de l'ordinateur), un compte Invité qui est désactivé, et un compte ASP.NET Machine A... (Protégé par mot de passe).
C'est normal ce dernier compte??
Par contre en ce qui concerne les noms d'utilisateur quand j'allume l'ordi, c'est normal, je n'ai que mon compte habituel qui est proposé à savoir Chloé.

Je poste déjà ce message et ensuite je m'occupe des analyses de fichiers en ligne sur le site de visursscan parce que ca prend un moment.

par **wackyfairy** » 07 Nov 2007, 10:57

Re-bonjour!

Voici donc les analyse en ligne des fichiers:

:ss)

C:\WINDOWS\system32\dsgj.exe:

File: dsgj.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: bf3e4b364bb7e1ab1f642cbc6168d456
Packers detected: -
Bit9 reports: Not analyzed yet (more info)

Scanner results
Scan taken on 07 Nov 2007 09:41:52 (GMT)
A-Squared Found nothing
AntiVir Found DR/BaiduBar
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Adware.Baidubar.AC
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found Adware.Baidu
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing

:ss)

C:\WINDOWS\htmlpeek.dll:

File: htmlpeek.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: 368609259c9948772c9bc99e25cbffa6
Packers detected: -
Bit9 reports: File not found

Scanner results
Scan taken on 07 Nov 2007 09:47:50 (GMT)
A-Squared Found nothing
AntiVir Found ADSPY/VB.A.32
ArcaVir Found Riskware.Adtool.Vb.A
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found not-a-virus:AdTool.Win32.VB.a (6, 2, 615)
Fortinet Found Adware/VB
Kaspersky Anti-Virus Found not-a-virus:AdTool.Win32.VB.a
NOD32 Found Win32/Agent.NML
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing

:ss)

C:\WINDOWS\system32\comrcinf.dat :

File: comrcinf.dat
Status: OK
MD5: aa0da07aab21a0d886cb013348b4a3bf
Packers detected: -
Bit9 reports: File not found

Scanner results
Scan taken on 07 Nov 2007 09:52:10 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing

:ss)

C:\WINDOWS\system32\cmbinfo.dat

File: cmbinfo.dat
Status: OK
MD5: 4eec1cdcb766ca4f89daacffcac0ea1f
Packers detected: -
Bit9 reports: File not found

Scanner results
Scan taken on 07 Nov 2007 09:54:59 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing

Voilà.
Qu'en penses-tu?

par **Marie** » 07 Nov 2007, 18:37

Salut

Bon ... On va repartir à zéro avec un peu plus de méthode.

Pour désinfecter tes disques amovibles, on va s'inspirer du tuto de Gof sur Zebulon.

Je vais essayer de te donner une procédure très détaillée que tu devras suivre à la lettre.
L'ennui avec ce genre d'infection, c'est qu'un double-clic sur un lecteur infecté régénère l'infection sur tous les lecteurs. Donc il va falloir être méthodique:

1) Affiche les fichiers cachés et système de XP:

Pour afficher les fichiers cachés

2) Désactive l'autorun de Windows..
(Ceci empêchera l'infection de se réinstaller si tu double-cliques par mégarde sur un lecteur infecté)

Pour ça

On va télécharger et exécuter le fichier Autorun_off.reg de Gof
Fais un clic droit sur le lien suivant:Autorun_Off.reg et choisis enregistrer la cible sous ...
Enregistre le fichier sur ton bureau.
Double-clique sur le fichier Autorun_Off.reg et accepte la fusion dans le registre en cliquant sur OK.
Un message te prévenant que la fusion s'est bien passée doit s'afficher presque instantanément.
Redémarre le PC pour prendre en compte la modification du registre <-- Important

3 - Désinfection des lecteurs:

Branche tous les lecteurs infectés sur ton PC.
Télécharge Flash_Disinfector de sUBs sur ton bureau.
Exécute le
Fais un clic droit sur ta partition C: et choisis explorer.
Supprime les fichiers MSN.exe et AdobeR.exe si tu les trouves.
Fais un clic droit sur ta partition D: et choisis Explorer. Supprime les fichiers MSN.exe et AdobeR.exe si tu les trouves.
Fais un clic droit sur ta partition E: et choisis Explorer. Supprime les fichiers MSN.exe et AdobeR.exe si tu les trouves.
Télécharge VaccinUSB.exe de Gof sur ton bureau.
Pour chaque lecteur infecté:
- Clic droit sur le lecteur puis explorer.
- Supprime autorun.inf, adober.exe, msn.exe si présents.
- Si tu vois des dossiers AdobeR.exe et MSN.exe, supprime les aussi.
  Si tu vois des dossiers que tu ne connais pas, relève leur nom et donne les moi dans ta prochaine réponse.
- Copie-colle VaccinUSB.exe sur le lecteur.
- Double-clique sur Vaccin-USB.exe dans le lecteur pour l'exécuter.
- Crée un dossier MSN.exe à la racine du lecteur.
- Clique droit sur ce dossier et choisis Propriétés.
- Coche les cases Lecture seule (<-- important) et caché

4 - Vérification

Redémarre le PC.
Supprime ton ancienne version de ComboFix qui doit être obsolète.
Télécharge ComboFix de sUBs sur ton bureau.
- Double-clique sur ComboFix.exe pour le lancer.
- A la question qu'il te pose, tape sur la touche 1 pour démarrer le scan.
- Patiente le temps que ComboFix travaille sans l'interrompre et sans rien toucher. (Ne clique pas dans la fenêtre de ComboFix quand il est en train de s'exècuter: Ca pourrait planter Windows. Ne te sers pas de ton PC le temps du scan.)
- A la fin du scan, un rapport va être généré: C:\ComboFix.txt
  Poste ce rapport dans ta prochaine réponse.
Poste aussi un nouveau rapport HijackThis.
Je veux savoir quels sont les drivers lancés au démarrage du PC (Ca c'est pour l'infection BaiduBar).
Lance HijackThis en cliquant cette fois sur le bouton, None of the above, just start the program, clique sur Config puis Misc Tools. Coche les 2 cases à coté de Generate StartupListLog puis clique sur Generate StartupListLog.
Poste le rapport qui va être généré.

Voilà! Je pense n'avoir rien oublié.
Si tu as des questions n'hésite pas à les poser avant de commencer.
Si tu as de la difficulté à une étape (fichier msn.exe ou AdobeR.exe recréés par exemple), inutile de continuer la suite: dis le moi.

Bonne chance.

par **wackyfairy** » 08 Nov 2007, 04:57

Salut

Alors j'ai bien exécuté Autorun_off.reg, et j'ai retéléchargé et exécuté Flash Disinfector, mais ca ne marche toujours pas, quand j'efface msn.exe ils reviennent à chaque fois. Adober.exe je ne le vois nulle part.

Quand tu dis: "Fais un clic droit sur ta partition C: ", tu veux bien dire à partir du poste de travail? :pct:

Est ce que je continue quand même sur VaccinUSB.exe ou est ce qu'il vaut mieux que je m'arrête là?

Quand tu dis, plus loin, pour VaccinUSB.exe "crée un dossier à la racine du lecteur", c'est bien clic droit sur le lecteur, ouvrir, et c'est la première "étape" de l'arborescence?

ordi infecté par Virus.Win32.Virut.n

ordi infecté par Virus.Win32.Virut.n

Qui est en ligne