Forum Clubic

Trojan.Spambot.4117 qui s'incruste , le bougre !

bonsoir à tous!

Je sollicite votre aide quant à un virus recalcitrant:

Dr Web m’a détecté un virus :

Processus en mémoire: C:\WINDOWS\system32\services.exe:584;;Trojan.Spambot.4117;Eradiqué.;

Il me le supprime et je suis …peinard …mais pour 2 à 3 jours seulement !! En effet il revient plus tard (bloquage d’internet et compte à rebour de 1 mn)

Mon antivirus ne le trouve pss ni le tres bon logiciel Malwarebytes.
Etrangement, Dr Web ne le trouve pas en mode sans echec mais uniquement sous windows XP.

Est ce un virus “volatile” qui s’incruste dans une memoire ?
Comment m’en debarasser une bonne fois pour toute ?

salut

poste un mlog hijackthis
www.trendsecure.com…

regarde générer un rapport
pagesperso-orange.fr…
telecharges malwarebytes
www.malwarebytes.org…
Fais une analyse compléte en MODE SANS ECHEC + SUPPRESSIONS des infections____poste le rapport
tuto
forum.telecharger.01net.com…

Salut

Il est revenu :pt1cable:

Envoie le chez MBAM uploads.malwarebytes.org… comme sa il vont pouvoir l’intégrer.

Desactive tes protection est essaye d’utiliser combofix (enregistre sur le bureau)

et oui guigui 14100, le revoila , je m’en croyais debarassé.

Voici le log cricri58:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:25:11, on 09/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
H:\ad aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
H:\unlocker\UnlockerAssistant.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
H:\FRAPS\FRAPS.EXE
H:\ad aware\Ad-Watch2007.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\lxdicoms.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
H:\emule\emule.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - H:\igraal\iGraal.dll
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {cc59e0f9-7e43-44fa-9faa-8377850bf205} - H:\Free Download Manager\iefdm2.dll
O3 - Toolbar: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - H:\igraal\iGraal.dll
O4 - HKLM…\Run: [StartCCC] “C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” MSRun
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM…\Run: [UnlockerAssistant] “H:\unlocker\UnlockerAssistant.exe”
O4 - HKLM…\Run: [Ad-Watch] H:\ad aware\Ad-Watch2007.exe
O4 - HKLM…\Run: [SoundMax] “C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” /tray
O4 - HKLM…\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [Fraps] H:\FRAPS\FRAPS.EXE
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: tout télécharger avec free download manager - [H:\Free…](file://H:\Free) Download Manager\dlall.htm
O8 - Extra context menu item: télécharger avec free download manager - [H:\Free…](file://H:\Free) Download Manager\dllink.htm
O8 - Extra context menu item: télécharger la sélection avec free download manager - [H:\Free…](file://H:\Free) Download Manager\dlselected.htm
O8 - Extra context menu item: télécharger la vidéo avec free download manager - [H:\Free…](file://H:\Free) Download Manager\dlfvideo.htm
O9 - Extra button: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - H:\igraal\iGraal.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - express.foto.com…
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - www.update.microsoft.com…
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O17 - HKLM\System\CCS\Services\Tcpip…{FB8AAE37-54C8-45CC-BA5B-9A48EE1B2753}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - H:\ad aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe


End of file - 6447 bytes

Sache que malwarebytes me trouve rien (je connais ce tres bon logiciel) .
J’ai viré le virus hier soir mais je sais qu’il reviendra tres bientot et ce uniquement au demarage de win XP.

:hello:

C’est bien parce que MBAM ne le détecte pas que Guigui te demande de l’envoyer ici: uploads.malwarebytes.org…

car si ils n’ont pas connaissance de l’infection comment veux-tu qu’ils l’intègrent dans une prochaine mise à jour ?

Comme ça tu participes toi aussi à la protection des autres donc à sa prochaine réapparition (il serait bon aussi de savoir pourquoi … :pt1cable: ) tu sais quoi faire :wink: .

N’oublie pas le lancer ComboFix :wink:

Vide tes fichier temp avec ATF Cleaner aussi url=http://guigui14100.web.officelive.com/atfcleaner.aspx
[/url]

le rapport du virus a bien été envoyé à Malwarebytes.

Lancer Combo fix maintenant ne servirai a rien puisque le virus a été eradiqué hier mais reviendra (comme toujours) d’ici 1 à 2 jours!!
Combofix peut il se lancer en mode sans echec? car ce virus me bloque tous le pc à son demarage!!

Quel genres de fichiers Temp vide AFT cleaner ? merci pour votre aide!

Re,

Pour ATF cleaner as-tu lu le tutorial de Guigui.

quant à Combo lance le toujours ce virus peut revenir à cause d’une autre merde présente dans ton ordi … au moins on sera fixé :wink:

merci à tous !! Depuis plus d’1 semaine mon pc n’est plus infecté . A part DR web , je n’ai rien fait de particulier…si changer de barettes memoire mais a priori il n’y a aucun rapport. Donc c’est clos!

Merci a tous pour votre aide.:wink: