[Kyle]

Bonjour à vous tous;
voilà, depuis que j'ai installé ma freebox en wifi, c'est la crise totale sur mon ordi. même ce dernier formaté, il ne faut que quelques jours pour que fleurissent bon nombre de problèmes.

avast me détecte un nombre énorme de virus, trojan, vers,..par jours, de même qu'avg et spybot me trouvent des dizaines de spyware même si je les lancent à 10 minutes d'intervalle. Je précise aussi qu'avg me signale qu'il a bloqué un programme environ 3 à 4 fois par minute.

ne icôné windows dans la barre des tâches m'affiche "your computer is infected"; si je clique sur l'icône, un logiciel se télécharge (registry cleaner), trouve un certain CTPMON trojan, et me demande de payer la license pour le "fixer".

dernière information, Free vient de me passer un mail me disant que mon ordi envoyait des spams et menace de fermer ma connexion si je ne résoud pas le problème.

côté firewall, j'ai softperfect personnal firewall (peut être mal configuré), je ne peut pas installer zone alarm car celui-ci me dit qu'il est déjà installé (mais ce n'est pas le cas).

je ne sais vraiment plus quoi faire, en cherchant sur les forums j'ai vu qu'il fallait faire un rapport d'erreurs avec divers logiciels, mais je ne sais pas les interpréter. Si quelqu'un pouvait m'aider, je le remercie par avance! 

[!aur3n7]

Bonjour Kyle et bienvenue sur DTPC,

On va essayer de t'aider à faire le ménage la dedans pas de souci.

Pour commencer aux vues des symptomes enoncés on va faire un scan avec Smitfraudfix

=> Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.exe
-- Place le à la racine de ton disque dur (c:\)
* lance smitfraudfix.exe et choisis l'option 1 puis valide par la touche [Entrée]
* Un rapport sera généré sauvegarde le
Note :
- process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus.

Post ce rapport s'il te plait 

[Kyle]

Merci, je poste le rapport



Log supprimé 

[!aur3n7]

Bonsoir,

D'après ce que je vois tu as une belle infection par un rootkit que l'on va traiter tout de suite
à cela s'ajoutera une autre manipulation avec Smitfraudfix afin de nettoyer ce qu'il a trouvé.


Télécharge rustbfix.exe (ejvindh]) http://www.uploads.ejvindh.net/rustbfix.exe
...met sur ton Bureau.

Double clique rustbfix.exe pour le lancer
Si l'infection est confirmée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordinateur.
Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages se succèdent. (ca se fera automatiquement)

Une fois terminé 2 rapports s'afficheront : (c:\avenger.txt et c:\rustbfix\pelog.txt).

=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]
-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

Note :
-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.
-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.


=> Lance smitfraudfix
* choisis l'option 2 puis valide par la touche [entrée]
-- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) pour supprimer les clés de démarrage de l'infection.
* Le fix déterminera si le fichier wininet.dll est infecté.
-- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu.
-- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.
-- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

Note:
-- Cette étape élimine les fichiers infectieux détectés à l'étape #1
-- Important : l'option 2 de l'outil supprime le fond d'écran !

=> Redémarre ton PC en mode normal

Post tout ces rapports s'il te plait ainsi qu'un nouveau log Hijackthis fais après le passage de ces outils. 

[Kyle]

bien; je n'ai pas pu démarrer en mode sans echec car celui-ci ne démarre pas. j'ai eu 2 rapports, l'un après rustbfix et l'autre après smitfraud fix:

"//////////////////////////////////////////
Log supprimé."

et le second:

"Log supprimé

"

et le rapport de hijack:

"Log supprimé
" 

[!aur3n7]

Re,

Et bien on a encore du boulot

=> Télécharge SDFix.exe (AndyManchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
-- Met le sur ton bureau

* Lance SDFix.exe
-- Choisis Install pour extraire les fichiers



=> Redémarre en mode sans echec (si possible)


=> Lance SDFIX
-- Rend toi dans le dossier sdfix
* Lance le fichier RunThis.bat
-- Tape Y pour lancer le scan
* Un message s'affichera lorsque le scan sera terminé, Appuies sur une touche pour rédémarrer

* Au redémarrage cet utilitaire effectuera encore quelques opérations.
-- Il affichera ce message Finished, press any key to end the script and load your desktop icons.
-- Le rapport s'affichera. Ce rapport est sauvegardé par défaut dans le dossier SDFIX et sera nommé Report.txt.
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse.


Refais ensuite un log Hijackthis mais auparavant renomme le (clique droit> renommer > met scanner au lieu d'hijackthis)

post cle résultat de SDFIX ainsi que ce log Hijackthis (Scanner.exe) 

[Kyle]

ce coup ci le mode sans echec a fonctionné.

voici le rapport de sdfix:


SDFix: Version 1.61

22/01/2007 - 22:25:19,13

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
Install Driver Table Manager
MsaSvc
wsmv

Path:
"C:\WINDOWS\wpablan.exe"
C:\WINDOWS\System32\msasvc.exe
"C:\WINDOWS\system32\wmsv.exe"

Install Driver Table Manager Deleted
MsaSvc Deleted
wsmv Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File

Killing PID 748 'smss.exe'
Killing PID 840 'winlogon.exe'

Rebooting...

Normal Mode:
Checking Files:

Files will be copied to Backups folder and removed:

C:\WINDOWS\lsass.exe - Deleted
C:\WINDOWS\system32\autosys.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\kernels1118.exe - Deleted
C:\WINDOWS\system32\msasvc.exe - Deleted
C:\WINDOWS\system32\rpcc.dll - Deleted
C:\WINDOWS\system32\setup_25563.exe - Deleted
C:\WINDOWS\system32\setup_33264.exe - Deleted
C:\WINDOWS\system32\setup_35468.exe - Deleted
C:\WINDOWS\system32\setup_26860.exe - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted
C:\WINDOWS\userinit.exe - Deleted
C:\WINDOWS\wpablan.exe - Deleted



Alternate Streams Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------

Rootkit PE386 Found!

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"c:\\windows\\system32\\kernelex0.exe"="c:\\windows\\system32\\kernelex0.exe:*:Enabled:kernelex0"
"c:\\windows\\system32\\panelq3.exe"="c:\\windows\\system32\\panelq3.exe:*:Enabled:panelq3"
"C:\\WINDOWS\\TEMP\\inch.exe"="C:\\WINDOWS\\TEMP\\inch.exe:*:Enabled:Enabled"
"c:\\windows\\lsass.exe"="c:\\windows\\lsass.exe:*:Enabled:lsass"
"c:\\windows\\system32\\restorea7.exe"="c:\\windows\\system32\\restorea7.exe:*:Enabled:restorea7"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\WINDOWS\system32\fcccywu.dll
C:\WINDOWS\system32\qommkii.dll
C:\WINDOWS\system32\ljjgfcy.dll
C:\WINDOWS\system32\oppqr.dll
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\hiberfil.sys
C:\WINDOWS\system32\rqppo.tmp

Finished

et le nouveau rapport de hijack que j'ai renommé en scanner:

Log supprimé - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - c:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe 

[!aur3n7]

Re bonjour,

On avance mais je dis bien avouer qu'un cas aussi vérolé n'est pas chose courante à laquelle j'ai du faire face.
A priori le Rootkit PE386 est revenu aussi.


On continue

- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4


* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
--le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK
* Démarre ton ordinateur
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

Post ce log dans ta prochaine réponse

ensuite je vais te redemandé un log Hijackthis afin de faire un point et reposer le problème pour reprendre sereinement

Merci pour ta patience. 

[Kyle]

c'est plutôt à moi de te remercier pour ta patience!
en fait, dans le pire des cas, je peut toujours reformater; mais ce que je crains, c'est que tout revienne encore dès lors. c'est étrange, dans mon précédent appartement, connecté par freebox aussi mais par le biais d'un réseau local en courant porteur, je n'avais aucun problème; j'aimerais comprendre...
mais voici donc le fichier retrouvé après vundo:


Log supprimé 

[Kyle]

et le nouveau hijack:

Log supprimé - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - c:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe 

[!aur3n7]

Bon je vais essayer de prendre un peu de temps pour faire un point complet.

Pour ton cas je dirais que tu as plusieurs facteurs risque assez conséquent comme par exemple
Windows qui n'est pas à jour,
et aussi des traces de 2 par feu (PC-cillin PersonalFirewall et SoftPerfect Personal Firewall)
2 par feu peuvent engendrer des conflits. De plus tu as avoué, ce qui est très bien, au début que tu ne maitrisais pas la configuration ce qui est assez embetant. Rien ne sert d'avoir le meilleur antivirus ou parfeu du monde si on ne sais pas l'utiliser, sachant qu'une configuration par défaut ne représente pas forcement la meilleure protection. Il serait donc beaucoup plus sur de choisir un par feu facile d'utilisation que tu pourras configurer efficacement.

Pour ces quelques soucis on les traitera après la première chose étant de nettoyer tout ca.

Bon je refais un point et te donne la suite un peu plus tard. 

[!aur3n7]

Re,
Bon on va donc procéder à un nettoyage plus "généraliste" si je puis dire en procédant par étape.

Dans un premier temps on va voir pour ce problème de parfeu afin d'éviter que l'infection ne revienne.
Après avoir effectué quelques recherches il semblerait que l'efficacité de SoftPerfect Personal Firewall ne soit pas au rendez vous par conséquent si tu le souhaite je vais t'en proposer un autre qui je l'espère sera plus facile à configurer à savoir Outpost.
Tu trouveras sur ce lien un tutoriel pour l'explication en image avec les liens pour le télécharger. http://www.malekal.com/tutorial_outpost.php

Attention à faire avec méthode

1- Téléchargement
2- Déconnexion
3- désintallation de SoftPerfect ET PCcillin (si présent via ajout/suppression de programme)
4- Installation de Outpost
5- Connexion et configuration si besoin.

Ensuite pour traiter ton problème d'infection nous allons procéder à un nettoyage

Dans la mesure ou tu ne pouras te connecer durant la seconde partie en mode sans echec je te conseille d'imprimer ou enregistrer cette page (Fichier, enregistrer sous en choisissant le type page web complete)
de façon à retrouver aisément la procédure.


=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec


=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.
- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php


=> Met à jour AVG AntiSpyware .
* Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
-- menu analyse onglet paramètres
---- dans la catégorie Rapports coche les cases
[X] Générer un rapport après chaque analyse
[X] Uniquement en cas de menace
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
* Quitte AVG anti-spyware



=> Redémarre ton PC en mode sans échec
Ce mode permettra d'améliorer l'efficacité des différents nettoyage et surtout évitera d'être géné par Spybot et son Teatimer


=> Service
Clique sur Démarrer >> Executer et tape (ou fais un copier coller)
SC delete HID_Input_Service_WIN32
puis valide et recommence avec
SC delete PCCPFW


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes (si présentes)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {09F9FFD2-7232-4158-B29B-648FE4E9C85C} - C:\WINDOWS\System32\fcccywu.dll (file missing)
O2 - BHO: (no name) - {226D567D-F961-44FF-83E2-877E8C3584B0} - C:\WINDOWS\System32\oppqr.dll (file missing)
O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\System32\imtqodk.dll (file missing)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\khjcxple.dll (file missing)
O4 - HKLM\..\Run: [SoftPerfect Personal Firewall] C:\Program Files\security\SoftPerfect Personal Firewall\fw.exe
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\LocalService\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKLM\..\Run: [ctpmon] ctpmon.exe
O4 - HKCU\..\Run: [ctpmon] ctpmon.exe


---- Clique sur Fix cheked
-- Quitte Hijackthis


=> Autorise l'affichage des fichiers et dossiers cachés

* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre


=> Recherche et supprime ce(s) fichiers(s)

[Kyle]

re!
j'ai donc essayé de faire tout ce qu'il fallait.
je peut poster les rapports de avg et de hijack.
en revanche, pour le scan en ligne de kaspersky, mon explorer (6) ne marche plus! j'ai essayé d'installer ie7, mais on me dit qu'il faut que j'installe sp2 (et je garde de mauvais souvenirs des dernières fois où j'ai tenté de l'installer).
en tout cas, l'ordi semble aller beaucoup mieux (plus de fenêtres dll manquants au démarrage, plus de messages d'alerte, et outpost semble faire son travail).

---------------------------------------------------------
Log supprimé

et

Log supprimé - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe 

[!aur3n7]

Bonjour,

C'est déja nettement mieux comme ca

- Le SP2 serait pourtant un indéniable atout pour la protection de ton ordinateur. Pourrais tu m'en dire plus sur les problèmes rencontrés lors du premier essai. (Incompatibilité matérielle, souci divers ?)
Bien que beaucoup de problème pouvait apparaitre au début ce n'est plus trop le cas actuellement la grande partie des Bugs ayant été corrigés. Certaines machines de configuration relativement faible et pas très récente arrive à le supporter sans souci particulier.

Attention toutefois il faut attendre que le système soit propre et stable avant d'envisager une telle mise à jour


Reste quelques points à traiter et:ou à vérifier :
- Une ligne encore présente dans le log Hijackthis
- Le rootkit pe386 détecté par SDFIX (c'est probablement lui qui est la source du SPAM envoyé par ton ordinateur)
- Je vais aussi te proposer un autre scan en ligne car aux vues des infections et la présence de ce rootkit qui a la fâcheuse habitude de télécharger d'autre malware en tout genre ca me semble beaucoup plus prudent.
- Pour ce qui est des infections détectées dans la restauration et à priori nettoyée (mises en quarantaine) je t'expliquerais en fin de procédure seulement comment faire pour les supprimer et créer un nouveau point. (c'est une porte de sortie qu'il vaut mieux ne pas supprimer trop vite)


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes (si présentes)


O4 - HKCU\..\Run: [ctpmon] ctpmon.exe


---- Clique sur Fix cheked
-- Quitte Hijackthis

=> Contrôle que ce fichier soit bien absent (si présent supprime le, si il résiste indique le et on avisera

[Kyle]

merci!
je n'ai pas beaucoup de temps en ce moment mais je m'en occupe le plus rapidement possible!