DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 23 Nov 2024 à 15:36 FAQ | Rechercher | Membres | Groupes

Help ! infecté ou non par des virus ?


 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Windows
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
buti



Inscrit le: 30 Jan 2006
Messages: 3

MessagePosté le: 30 Jan 2006 à 2:44    Sujet du message: Help ! infecté ou non par des virus ? Répondre en citant

Bonjour

J'ai fait tourner "Silent Runners" sur mon PC et voici le resultat. Pouvez-vous m'aider à le comprendre ? Je suis nul en info ... :snif:

Merci
Buti

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"Microsoft Update Machine" = "xhavwl.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Watch" = "C:\PROGRA~1\MINITEL\Watch.exe" [null data]
"windows auto update" = "msblast.exe" [file not found]
"www.hidro.4t.com " = "enbiei.exe " [file not found]
"Windowsz" = "rwnt.exe" [file not found]
"Microsoft Update Machine" = "xhavwl.exe" [file not found]
"Client Server Runtime Process" = "C:\WINDOWS\System32\csrs.exe" [file not found]
"taskbar.exe" = "C:\dm.exe" [null data]
"ihost.exe" = "C:\taskmgrs.exe" [null data]
"MS DLL Library Manager" = "C:\WINDOWS\System32\dllsys64.exe" [null data]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1036\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{2F25CF20-C569-11D1-B94C-00608CB45480}" = "TextPad"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\TextPad 4\System\shellext.dll" ["Helios Software Solutions"]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\TextPad 4\System\shellext.dll" ["Helios Software Solutions"]
UltraEdit-32\(Default) = "{b5eedee0-c06e-11cf-8c56-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ULTRAE~1\ue32ctmn.dll" [empty string]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\root\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "root" & "All Users" startup folders:
------------------------------------------------------

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"WinZip Quick Pick" -> shortcut to: "C:\Program Files\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Norton Unerase Protection, NProtectService, "C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE" ["Symantec Corporation"]
sysmgr64, sysmgr64, ""C:\WINDOWS\sysmgr64.exe"" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 126 seconds, including 18 seconds for message boxes) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
3dmin
Administrateur


Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels

MessagePosté le: 30 Jan 2006 à 10:59    Sujet du message: Re: Help ! infecté ou non par des virus ? Répondre en citant

Selon moi, tu ne souffre pas d'une infection importante, enfin, c'est pas la mort, toutefois certaines entrées sont à vérifier plus en profondeur et à éffacer:

buti a écrit:

"Microsoft Update Machine" = "xhavwl.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Watch" = "C:\PROGRA~1\MINITEL\Watch.exe" [null data]
"windows auto update" = "msblast.exe" [file not found]
"www.hidro.4t.com " = "enbiei.exe " [file not found]
"Windowsz" = "rwnt.exe" [file not found]
"Microsoft Update Machine" = "xhavwl.exe" [file not found]
"Client Server Runtime Process" = "C:\WINDOWS\System32\csrs.exe" [file not found]
"taskbar.exe" = "C:\dm.exe" [null data]
"ihost.exe" = "C:\taskmgrs.exe" [null data]
"MS DLL Library Manager" = "C:\WINDOWS\System32\dllsys64.exe" [null data]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]


Toujours selon mon expérience, à part la ligne du programme de MiniTel, les autres correcpondes à des infection passées ou présentes mais +/- mal nétoyées...

Vérifie si ces fichiers existent bel et bien sur le disque et effaçe-les. Après tu pourra nétoyer les clés, avec HijackThis par exemple...
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
buti



Inscrit le: 30 Jan 2006
Messages: 3

MessagePosté le: 30 Jan 2006 à 13:32    Sujet du message: Répondre en citant

Merci

Buti 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
buti



Inscrit le: 30 Jan 2006
Messages: 3

MessagePosté le: 30 Jan 2006 à 13:56    Sujet du message: Répondre en citant

j'ai essayé d'effacer les fichiers .exe et puis j'ai lancé hijackthis. Si je comprend bien les elements que j'ai essayé de supprimer sont tj là. Coment faire pour vraiment les supprimer ?

Voici le log de HijackThis :

[color=green][Log supprimé][/color]



Merci
Buti 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
3dmin
Administrateur


Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels

MessagePosté le: 30 Jan 2006 à 14:24    Sujet du message: Répondre en citant

buti a écrit:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Quand on aura fini de nétoyer, tu me fera le plaisir de mettre ton système à jour, il temanque près de 3 ans de mises à jour, tu est vulnérable à des dizaines et des dizaines de failles... N'importequel noob pourrait te hacker en quelques minutes...



buti a écrit:
Running processes:
C:\WINDOWS\System32\w?nlogon.exe


J'aime pas cette ligne, nous verrons ça plus en dessous...





buti a écrit:
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exe


Emulateur Minitel je suppose, je virerais, sauf si explicitement besoin.

buti a écrit:
O4 - HKLM\..\Run: [windows auto update] msblast.exe


Un ver, allez encore une variante, ah non, c'est l'original,... vire-moi cette saloperie du dossier système

buti a écrit:
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe


Le même ver mais la variante G... donc aussi à virer du dossier système

buti a écrit:
O4 - HKLM\..\Run: [Windowsz] rwnt.exe


Ai pas fait de recherche, mais c'est à jeter aussi, j'en suis certain...


buti a écrit:
O4 - HKLM\..\Run: [Microsoft Update Machine] xhavwl.exe


Je connais pas, c'est pas un truc qui sonne bien, à virer du dossier système aussi...

buti a écrit:
O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe
O4 - HKLM\..\Run: [ihost.exe] C:\taskmgrs.exe


Il faut aller virer ces trucs là dans C:\

buti a écrit:
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] xhavwl.exe
O4 - HKCU\..\Run: [Ldji] C:\WINDOWS\System32\w?nlogon.exe


Encore des trucs à virer de C:\Windows\System32 (dossier système)...


buti a écrit:
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe


Cochonnerie à virer...


Voilà une fois que tu as cleaner tous les petits tprogrammes à la c0n, tu peux fixer les lignes sus-mentionnées...

Après tu redémarre, fait la mise à jour, et tu devrait être ok... si pas de mises à jour tu peu t'attendre à encore des infections... même soi-disant protègé...
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 30 Jan 2006 à 20:06    Sujet du message: Répondre en citant

Bonjour,

Pour completer la reponse de 3dmin


désactive la restauration systeme

en mode sans echec

coche puis fixe ces lignes avec hijackthis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] xhavwl.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe
O4 - HKLM\..\Run: [ihost.exe] C:\taskmgrs.exe
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] xhavwl.exe
O4 - HKCU\..\Run: [Ldji] C:\WINDOWS\System32\w?nlogon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Démarrer executer tape services.msc
recherche sysmgr64 double clique dessus et a type de demarrage choisis desactivé



- Autorise l'affichage des fichiers et dossiers cachés


- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements


Recherche et supprime ces fichiers

C:\WINDOWS\System32\w?nlogon.exe
C:\WINDOWS\System32\csrs.exe
C:\dm.exe
C:\taskmgrs.exe
C:\WINDOWS\System32\dllsys64.exe
C:\WINDOWS\sysmgr64.exe

ceux ci necessiteront une recherche sur le disque dur mais devraient être dans c:\windows ou c:\windows\system32

msblast.exe
enbiei.exe
rwnt.exe
xhavwl.exe

supprime ce dossier

C:\WINDOWS\web


Vide la corbeille

redemarre en mode normal et telecharge les utilitaires adequats (Regseeker, Ccleaner ou equivalent)
et fait un nettoyage des fichiers tempporaires ainsi ques des clés de registre obsolètes

Sans oublier de remettre un log de controle

Sur ce je vous laisse car je pars demain pour une dizaine de jours.

Bonne continuation 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
mickael44
Administrateur


Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine

MessagePosté le: 30 Jan 2006 à 20:58    Sujet du message: Répondre en citant

3dmin a écrit:

buti a écrit:
O4 - HKLM\..\Run: [windows auto update] msblast.exe


Un ver, allez encore une variante, ah non, c'est l'original,... vire-moi cette saloperie du dossier système


Ca me rappelle des bons souvenir tout ca ^^, ce virus est sortie la jour de ma première connexion Internet chez moi. Autant vous dire que j'étais pour le moins "refroidit" de voir les autorité NT (ils ont une police chez Crosoft?? ^^) lancer l'arret de mon pc via un compte a rebours..... C'était mes début, il faut pas m'en vouloir ^^

Maintenant c'est shutdown -s powaaaaaaa ^^ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
3dmin
Administrateur


Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels

MessagePosté le: 30 Jan 2006 à 22:06    Sujet du message: Répondre en citant

------- Parenthèse -------

J'avoue, je dois être plus précis, mais bon, je fait ce que je peux avec le temps qu'il m'est donné...

Grand merci encore une fois à Laurent pour ces réponses aussi complètes !

--- Fin de parenthèse ---
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur MSN Messenger
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Windows Toutes les heures sont au format GMT + 2 Heures
 
Page 1 sur 1 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum