méchant virus/spy : impossible à supprimer ! PC très instable

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : méchant virus/spy : impossible à supprimer ! PC très instable

ixtrem84

Bonsoir à tous.

Je viens de me chopper un bon virus/spy. :fou:
J'ai besoin de votre aide pour le virer. Je suis sous XP. Pas de SP, pas de maj, j'utilisais ce PC en attendant d'en recevoir un neuf. Oui je sais, c'est pas bien.
Le firewall très très basique de XP sans SP est activé quand même.

Certains symptomes faisaient penser à Sasser.
Mais j'ai beau faire le scan avec l'outil anti-sasser et anti-blaster de chez symantec et f-secure, rien de mieux.

Voici les symptômes :

processus lsass monopolisant 95% du CPU
apparition sur le bureau d'une icône dont je n'ai plus le nom (je la supprime et elle revient de temps en temps)
impossible de désactiver ces services (dès que je les supprimes, ils réapparaissent aussitôt. Même si je supprime la clé entière) :

ralentissements du PC aléatoires
souvent je n'ai plus accès au gestionnaire des taches (l'icone apparait en bas dans la barre des taches mais disparait aussitot.)

Bref, c'est le beau bordel tout ça. :fou:
J'ai lancé Avast, mis à jour et fais un scan, ca n'a rien donné.
Idem avec Ad-aware, mis à jour et scan, rien de concluant.

Comment rétablir l'ordre ? Merci beaucoup !

(avez-vous remarqué les noms bidons de softs dans la clé run ?)

Message édité par ixtrem84 le 08-06-2006 à 18:42:49

Publicité

Anthony10

Bonjour a tous.

1/Télécharger SmitfraudFix (de S!Ri, balltrap34 et moel31) : http://siri.urz.free.fr/Fix/SmitfraudFix.zip

2/ Dézipper la totalité de l'archive sur ton bureau.

3/ Déconnecte toi du net.

4/ Double cliquer sur smitfraudfix.cmd

5/ Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

6/ Sauvegarde le rapport et colle le ici.

ixtrem84

merci de ta réponse !

Voici le rapport :

Citation :

SmitFraudFix v2.56

Rapport fait à 10:54:49,95, 08/06/2006
Executé à partir de C:\Documents and Settings\Famille\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Famille\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

A noter qu'il y a l'air d'avoir une acalmie, mais par contre j'ai toujours ces services bidons qui reviennent dès que je les supprimes... (du genre winzip.exe alors que je n'ai jamais installé ni utilisé winzip sur ce PC)

Anthony10

Re

* Télécharge et installe F-Secure Blacklight

http://www.europe.f-secure.com/exc [...] blbeta.exe

Installe le a la racine de C:.

* Double clique sur le fichier blbeta.exe
Accepte la licence puis clique enfin sur Scan

* Copie le contenu du log qui sera généré.

Tu peux consulter en cas de problemes le tutorial venant de Malekal_Morte :

http://www.malekal.com/tutorial_f- [...] Light.html

ixtrem84

Voici le log. On dirait qu'il n'a rien trouvé.

Citation :

06/08/06 11:17:06 [Info]: BlackLight Engine 1.0.37 initialized
06/08/06 11:17:06 [Info]: OS: 5.1 build 2600 ()
06/08/06 11:17:07 [Note]: 7019 4
06/08/06 11:17:07 [Note]: 7005 0
06/08/06 11:17:10 [Note]: 7006 0
06/08/06 11:17:10 [Note]: 7011 1400
06/08/06 11:17:11 [Note]: 7026 0
06/08/06 11:17:12 [Note]: 7026 0
06/08/06 11:17:44 [Note]: FSRAW library version 1.7.1015
06/08/06 11:19:26 [Note]: 7007 0

Mon PC est utilisable pour l'instant, mais il risque de redevenir instable.
Et surtout, j'ai pas mal de processus que je vire et qui reveiennent du genre :
- tclock.exe
- peuptryo.exe
- mwrqvke.exe
- winzip.exe

C'est qu'il y a bien un truc qui cloche quelque part...
Mais pour l'instant le PC tourne pas trop mal, mais c'est sûr que si je pouvais virer ces saletés...

ixtrem84

up!

ixtrem84

C'est très instable par moments.

Des processus se rajoutent encore :
- sql-dgm.exe
- chkntfs.exe
- type.exe
- anregw~1.exe

et tous me bouffent du CPU. Là pour l'instant c'est le dernier qui me bouffe entre 50 et 95 %.

SVP Aidez-moi !!

ixtrem84

Il y a des pubs qui s'affichent aléatoirement.
là c'était pour meetic...

Help me please !

med365

Scan en ligne avec bitdefender (http://www.bitdefender.fr/), télécharge HijakThis (http://merijn.org/) et met nous un log.

ixtrem84

avec bitdefender il n'a rien trouvé.

J'ai refait un scan avec Spybot, il m'a trouvé 2/3 spywares, mais sans résultat.

J'ai encore plein de processus qui se lancent (à ajouter aux autres) :
- readme.exe
- ezdihcf.exe
- autoit3.exe
- readfkoe.exe
- wgimmysmileysB.exe
- whipertrm.exe

C'est le bordel complet, c'est à la limite de l'utilisable, je ne sais même pas encore comment je fais pour écrire ce post.

Message édité par ixtrem84 le 08-06-2006 à 23:13:44

Publicité

ixtrem84

Voici le log hijackthis. comme vous pouvez le voir, y a plein de processus bidons qui ré-apparaissent dès qu'ils sont supprimés.

Même les valeurs dans les clés de la base de registre concernant le démarrage (run) réapparaissent instantanément quand je les supprimes. :ouch:

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 22:00:31, on 08/06/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\winzip.exe
C:\WINDOWS\System32\mwrqvke.exe
C:\WINDOWS\System32\peuptryo.exe
C:\WINDOWS\System32\icrbkah.exe
C:\WINDOWS\System32\jfmgufn.exe
C:\WINDOWS\sql-dgm.exe
C:\PROGRA~1\STEM~1\chkntfs.exe
C:\WINDOWS\PPATCH~1\ANREGW~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TClock\TClock.exe
C:\Program Files\InetGet2\wgimmysmileysB.exe
C:\Documents and Settings\Famille\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF0F0D67-BEF2-E500-F7BA-E62C861A5C9A} - C:\WINDOWS\System32\wwc.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\winsock\csrss.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\winsock\csrss.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {EF0F0D67-BEF2-E500-F7BA-E62C861A5C9A} - C:\WINDOWS\System32\wwc.dll
O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe
O4 - HKLM\..\Run: [Microsoft Anti-Spy] mwrqvke.exe
O4 - HKLM\..\Run: [Realtek Sound Managers] peuptryo.exe
O4 - HKLM\..\Run: [DRam prosesor] icrbkah.exe
O4 - HKLM\..\Run: [Registry Value Name] jfmgufn.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows TCP/IP Socket Driver] C:\WINDOWS\winsock\csrss.exe
O4 - HKLM\..\RunServices: [Microsoft Anti-Spy] mwrqvke.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe
O4 - HKLM\..\RunServices: [Realtek Sound Managers] peuptryo.exe
O4 - HKLM\..\RunServices: [DRam prosesor] icrbkah.exe
O4 - HKLM\..\RunServices: [Registry Value Name] jfmgufn.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Program Files\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Bcod] "C:\PROGRA~1\STEM~1\chkntfs.exe" -vt tzt
O4 - HKCU\..\Run: [Sdnw] C:\WINDOWS\PPATCH~1\ANREGW~1.EXE
O4 - HKCU\..\Run: [DNS] C:\Program Files\Fichiers communs\mc-110-12-0000133.exe
O8 - Extra context menu item: &MyToolBar Search - res://C:\Program Files\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\winword.dll
O23 - Service: SQLDGM - Unknown owner - C:\WINDOWS\sql-dgm.exe
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)

Si je résume, j'ai scanné avec :
- SmitfraudFix
- F-Secure Blacklight
- l'anti-Sasser
- l'anti-blaster
- ad-aware
- spybot
- Avast
- Bit defender online
- hijackthis

Et même si les antispy ont trouvé 2/3 trucs, ça n'arrange rien :cry:
J'en ai profité pour installer Kerio aussi.

Bref, il est vérolé de partout, je ne sais plus où chercher, je crois que j'ai tout fait, et je commence à me dire que le formatage serait la meilleure solution.
Please HELP ME ! C'est le gros bordel ici !

Message édité par ixtrem84 le 08-06-2006 à 22:13:41

med365

éssaies ewido

ixtrem84

scan en cours avec ewido, mais je ne pense pas que ca changera grand chose...

ixtrem84

Et quand on regarde le log hijackthis, c'est bizarre...

Je n'ai jamais installé Word sur ce PC, ni Microsoft anti-spyware, ni adobe reader, ni Realteck Sound Manager, ni tclock...

Par moment, un message comme quoi je n'ai plus assez de mémoire virtuelle s'affiche.

Pourri jusqu'a la moelle, c'est pas possible !

Message édité par ixtrem84 le 08-06-2006 à 23:22:48

med365

Oui... Poste le log HijackThis, je pense que ton PC est infecté par "Worm IRCBot Gen", je suis entrain d'éssayer de trouver un prog pour le virer ou au pire de faire un petit script pour le virer (j'aime bien le batch ). Sinon éssaies NOD32 (http://eset-nod32.fr)

Message édité par med365 le 08-06-2006 à 22:48:17

ixtrem84

J'ai déja posté le log hijackthis plus haut.

voici le log d'ewido :

Citation :

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 23:09:54, 08/06/2006
+ Somme de contrôle: 117C9CB6

+ Résultats du scan:

HKU\S-1-5-21-329068152-789336058-1708537768-1003\Software\DNS -> Adware.Shorty : Nettoyer sans sauvegarder
:mozilla.10:C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\iw01dpdq.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer sans sauvegarder
:mozilla.11:C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\iw01dpdq.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer sans sauvegarder
:mozilla.12:C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\iw01dpdq.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer sans sauvegarder
:mozilla.13:C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\iw01dpdq.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@ads0.revenue[1].txt -> TrackingCookie.Revenue : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@com[1].txt -> TrackingCookie.Com : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@install.bestoffersnetworks[2].txt -> TrackingCookie.Bestoffersnetworks : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@revenue[1].txt -> TrackingCookie.Revenue : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@tacoda[1].txt -> TrackingCookie.Tacoda : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer sans sauvegarder
C:\Documents and Settings\Famille\Cookies\famille@zedo[2].txt -> TrackingCookie.Zedo : Nettoyer sans sauvegarder
C:\Program Files\Fichiers communs\services.exe -> Adware.Maxifiles : Nettoyer sans sauvegarder
C:\WINDOWS\system32\fcvo.exe -> Dropper.Paradrop.a : Nettoyer sans sauvegarder
C:\WINDOWS\system32\Isass.exe -> Backdoor.PoeBot.c : Nettoyer sans sauvegarder
C:\WINDOWS\system32\remon.sys -> Rootkit.Agent.ab : Nettoyer sans sauvegarder

::Fin du rapport

ixtrem84

Les choses semblent s'être calmés après un passage d'ewido alors que ni spybot ni ad-aware n'ont rien fait de probant.

Le PC reste utilisable et je pense qu'un reformatage complet ne pourra que faire du bien. Il doit rester quelques spys encore et je voudrais avoir un système sain.

Mais merci de m'avoir fait découvrir ewido !

Message édité par ixtrem84 le 08-06-2006 à 23:24:41

Anthony10

Bonjour.

* Repost un nouveau log Hijackthis stp.

ixtrem84

Voici un nouveau log d'hijackthis.

Comme vous pouvez le voir, j'ai décider de garder ewido en résident car c'est le seul qui à réussi à m'éradiquer presque toutes ces cochonneries. Et encore ce matin, quand j'ai démarré mon PC, il m'a trouvé un autre spy.
Pourtant je ne connaissais pas ewido. Pour moi, les 2 plus connus sont Spybot et ad-aware.

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 10:35:18, on 09/06/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Opera\Opera.exe
C:\DOCUME~1\Famille\LOCALS~1\Temp\Rar$EX00.527\HijackT

his.exe

O23 - Service: ewido security suite control - ewido networks -

C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks -

C:\Program Files\ewido anti-malware\ewidoguard.exe

Anthony10

Re.

* Le log n'est pas entier, veuillez en mettre un entier svp.

ixtrem84

il est entier... J'ai fait un CTRL+A du rapport hijackthis.log et je l'ai collé ici

Anthony10

Re.

C'est impossible, refais stp.

ixtrem84

je viens de le refaire à l'instant.

Pour être sur, je l'ai re-téléchargé sur le site officiel, je l'ai lancé et sauver le rapport dans le fichier hijackthis.log et j'ai copier-coller tout le contenu ici.

Je peut t'assurer qu'il est entier, je peut même te faire des captures d'écrans si tu doute encore.

Y'a encore un problème avec cet ordi ? Parce que là, il tourne pas trop mal on va dire.

Anthony10

Re.

Tu parles bien du log posté le 09-06-2006 à 10:38:11 ??

Message cité 1 fois

ixtrem84

Anthony10 a écrit :

Re.

Tu parles bien du log posté le 09-06-2006 à 10:38:11 ??

Tout à fait, il est bel et bien entier celui-là.

J'ai scanner plusieurs fois et ca ne change rien...
Je peut te faire des caps si tu doute.

Anthony10

Re.

Bizarre car quand on compare celui la avec celui posté le 08-06-2006 à 22:10:03, il y a une grande difference.

Je veux juste nettoyer ton Pc car il a l'air assez infecte.

Message cité 1 fois

ixtrem84

Anthony10 a écrit :

Re.

Bizarre car quand on compare celui la avec celui posté le 08-06-2006 à 22:10:03, il y a une grande difference.

Je veux juste nettoyer ton Pc car il a l'air assez infecte.

Oui, c'est vrai c'est bizarre. Mais je n'ai gardé que ewido au démarrage, je n'ai rien d'autre qui se lance au démarrage, comme d'habitude.
C'est vrai que part rapport à l'ancien log, c'est étonnant.

Mais quand on y regarde de plus près, grâce aux passages de spybot, de ad-aware et enfin d'ewido (surtout celui-là), ça s'est grandement amélioré !

Donc en fait ça va mieux pour l'instant mais je surveille. Je vous tiens au courrant sur ce topic si ca recommence.

Mais je te remercie de ton aide quand-même.

Anthony10

Re.

* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm

Tutorial a suivre ( provenant du site a Malekal_Morte ) :

http://www.malekal.com/scan_Av_en_ [...] ocId237368

* Apres, colle le rapport ici.

med365

Ne poste pass ton log HijackThis en Mode sans échec Essaies panda comme t'a di Anthony10.

Citation :

C:\Program Files\Fichiers communs\services.exe -> Adware.Maxifiles : Nettoyer sans sauvegarder
C:\WINDOWS\system32\fcvo.exe -> Dropper.Paradrop.a : Nettoyer sans sauvegarder
C:\WINDOWS\system32\Isass.exe -> Backdoor.PoeBot.c : Nettoyer sans sauvegarder
C:\WINDOWS\system32\remon.sys -> Rootkit.Agent.ab : Nettoyer sans sauvegarder

Les rootkits c'est pas le boulot de Blacklight la ?

Message cité 1 fois

med365

télécharge RootkitRevealer

ixtrem84

med365 a écrit :

Ne poste pass ton log HijackThis en Mode sans échec

Je ne l'ai pas fait en mode sans échec...

J'étais en mode normal quand j'ai fait les scans HijackThis

Merci de vos conseils, je vais essayer ce que vous avez dit, mais comme je vous l'ai dit apparament ça s'est calmé grâce à ewido.

med365

on va vérifier la présence de rootkits grace à RootkitRevealer, mai en effet, ewido semble avoir tout viré

Publicité

FORUM HardWare.fr

Windows & Software

Sécurité

méchant virus/spy : impossible à supprimer ! PC très instable

Sujets relatifs
Virus Kamikaze - Ecrasement partition système - Ecran noir au boot	Impossible d afficher la page
Impossible de télécharger une dll sur un serveur IIS.	Supprimer BdD avec PhpMyAdmin (Free)
[RESOLU]Norton Ghost 10 : Comment supprimer des sauvegardes	algsec.exe : virus ?
Connexion wifi avec Freebox impossible	comment supprimer le KB892130
connexion impossible	[Résolu] Impossible de supprimer cmdow.exe
Plus de sujets relatifs à : méchant virus/spy : impossible à supprimer ! PC très instable

Page générée en 0.080 secondes