[sunjihai]

De puis quelque jours mon Pc est totalement lent ,le gestionnaire des taches reste inactif ,je ne peut plus telecharger de fichiers sur le net,etc...
J'ai lancé plusieur fois mon antivirus ainsi Ad adware et spybot mais le probleme n'est toujours pas régler.
Stp aidé moi j'en deviens fou
Pour précision j'ai Pentium 4 3.07GHz et 448Mo de RAM avec XP pro .

je vous donne mon log hitjackthis:

[log supprimé par Laurent] 

[Lenouvdu44]

Bon, on va laisser un pro des logs te donner une analyse à suivre, mais juste entre toi et moi ...
Toute les lignes 01 correspond à des sites pornographiques, aussi bien hété que gay ... il ne faut, je ne pense pas, chercher bien loin pour trouver le problèmes ...

Je ne pourrais que te déconseiller d'aller sur ces sites, car ils ne font qu'installer des logiciels contre ton gréer, ou te foutre en l'air le PC.

Ausssi, ton system d'exploitation n'est pas à jour, et pour ta propre sécurité, tu te dois de le mettre à jour ... attend un peu que quelqu'un ait annalysé ton log, mais dès que c' fini, met le à jour !
_________________
L'nouv qui devient L'vieux 

[Goudie]

oui effectivement les sites pornographiques c'est jamais tres bon pour ton ordi !
_________________
> Goudie.biz
> Jeux pour Android
> Applications pour Android 

[!aur3n7]

Bonjour,

J'analyse tout ca un peu plus tard et te donnerais une procédure
Ce log revèle la présence de plusieurs cochonneries je te conseille donc d'éviter d'envoyer des mails ou des communiquation via MSN ou autre client de messagerie 

[mickael44]

Oui, évitez les sites pornographique, ce sont des nids à cochoneries.

Déjà, je crois que tous ce qui est host est à enlever nan ? Attend l'avis de Mister lolo : maitre caporal des rapports HijackThis ^^ 

[!aur3n7]

Me revoila (ma voiture avait besoin d'une petite vidange...)
on va donc essayer de faire pour le mieux

Pour commencer tu as des traces de plusieurs antivirus (fsecure, avast, norton..
Choisis en un et un seul et desinstalle les autres ne garde qu'un antivirus et un par feu actif sur ton pc



Télécharge:

the hoster

Décompresse le sur le bureau
lance the hoster et clique sur le bouton "restor original hosts"


Ad-aware
Son patch fr
Un tuto
Installation, mise a jour, scan supprime tout ce qu'il trouve

Spyboot search and destroy 1.4
Tutorial
Démonstration animée
installation, mise a jour, vaccination,scan et supprime tout ce qu'il trouve

Ccleaner
Cliquez sur download latest version en haut a droite pour le télécharger.

Installe le,
Dans erreur
Décocher la case devant Intégrité du registre et Intégrité des fichiers Ne l'utilise pas de suite


Regseeker
Un tuto Décompresse le dans un dossier (c:\regseeker) on l'utilisera à la fin aussi.

- Autorise l'affichage des fichiers et dossiers cachés

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements


Désactive la réstauration systeme

Redemarre en mode sans echec

- Relances Hijackthis clique sur le bouton Scanner seulement
- Coche la case devant ces lignes


O2 - BHO: (no name) - {43E6CF3F-45B5-46A5-86FB-654E5C76E0A5} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Command Line] wincmd.exe
O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
O4 - HKLM\..\Run: [Microsoft Media Manager] MedMan.exe
O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe
O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
O4 - HKLM\..\RunServices: [Microsoft Media Manager] MedMan.exe
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
O4 - HKCU\..\Run: [Microsoft Media Manager] MedMan.exe O4 - HKCU\..\RunServices: [Microsoft Media Manager] MedMan.exe
O13 - WWW Prefix:
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control)http://www.checkspy.com/fr/FlowScan.cab



- clique sur le bouton Fixer objet


Recherche et supprime ces fichiers en prenant garde à l'orthographe exacte

C:\WINDOWS\System32\wincmd.exe
C:\WINDOWS\System32\MSDNSD32.exe
C:\WINDOWS\System32\MedMan.exe
C:\WINDOWS\system32\winscntrl.exe
C:\WINDOWS\system32\task32w.exe

- Utilise Ccleaner pour parfaire le ménage sur ton disque dur

- Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers
- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage

- Utilise regseeker
nettoyage de la base de registre ok pour lancer le scan, une fois fini clique sur selectionner tout et choisis selectionner les elements verts , clique droit sur la selection et choisis supprimer les entrees

Redémarre en mode normal

fais un scan en ligne ici

Sauvegarde et fais un copier coller du rapport si besoin

refais un log hijackthis de controle 

[sunjihai]

J'ai tout ce qui à été dit et voila le nouveau rapport de hijacthis :

[log supprimé par Laurent] 

[!aur3n7]

en mode sans echec

Reste cette ligne a fixer

O4 - HKLM\..\Run: [Microsoft Media Manager] MedMan.exe

ce fichier a supprimer

C:\WINDOWS\System32\MedMan.exe

en mode normal

le scan et le rapport du scan panda pour terminer 

[sunjihai]

J'arrive pas a faire le scan en ligne avec l'activescan de panda car la page refuse obstinément de s'affiché mais voila le rapport :
[log supprimé par Laurent] 

[!aur3n7]

Il y a toujours un troyen

En mode sans echec

recherche ces fichiers

WINCMD.EXE
SMSG.HTML
EVLOG.DAT

et supprime les

lance Ccleaner suivi de Regseeker
et refais un log de controle 

[sunjihai]

J'ai bien trouvé et supprimer WINCMD.EXE mais SMSG.HTML et EVLOG.DAT sont introuvable... et voici le nouveau log

[log supprimé par Laurent] 

[!aur3n7]

Bon on va pas s'en sortir...

Les lignes reviennent a chaque fois
Il ne sagit pourtant que d'une variante Rbot qui ne devrait pas poser de souci.
Es tu certain de fixer les lignes en mode sans echec ?
sinon rebelotte en mode sans echec a fixer puis supprime les fichiers
tout ca suivi de Ccleaner puis Regseeker


O4 - HKLM\..\Run: [Microsoft Command Line] wincmd.exe
O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe
O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe


sinon télécharge et utilise l'utilitaire microsoft

Autre point important toutes ces infections exploitent une faille corrigée de windows (propagation via le canal IRC) donc une mise a jour ne devrait pas être de trop 

[sunjihai]

J'ai tout refait,ainsi que l'activescan et je crois que le probleme est réglé,mais pour en etre sur voile le rapport de panda et le nouveau log

activescan
Incident Statut Analyse
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Djamel\Cookies\djamel@bluestreak[2].txt

[log supprimé par Laurent] 

[!aur3n7]

tu as toujours cette ligne

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

qui est une cochonnerie http://www.sophos.com/virusinfo/analyses/w32rbotcmz.html
Mais c'est etrange que le scan panda ne le détecte pas

essaies se faire scanner ce fichier
C:\WINDOWS\System32\MSDNSD32.exe
sur ce site http://www.virustotal.com/flash/index_en.html
il suffit de faire un copier coller du chemin d'acces complet et de cliquer sur send
on aura ainsi l'avis de plusieurs antivirus et suivant le résultat garde ou vire.

Sinon pour le reste c'est OK 

[sunjihai]

je suis bien allé sur le site que tu m'as recommander mais voila le message qui apparait quand j'essaye de faire scan le fichier :

"File size can't be more than 10 Megabytes.
You can't try compressing it.
Thanks you."

Mais pour l'instant j'ai l'impression que le pc se porte bien ...donc je te remercie pour ton aide