Analyse de logs Panda et HiJackThis

[md]

Bonjour, ici c'est Maxime,

je suis en train de tourner en rond depuis longtemps maintenant sur la désinfection de mon PC. Je ne pense pas pouvoir m'amuser tout seul à supprimer n'importe comment les résultats des scans dans mon coin. Donc j'ai suivi les règles et fait tourner plusieurs fois Spybot et Ad-Aware, puis nettoyage de disque. Les résultats des scans Panda et HiJackThis sont toujours assez affolants, et je ne pense pas être capable de m'en sortir sans aide.

Il y a notamment deux problèmes qui sont survenus depuis que j'essaye de désinfecter :

- impression, le service spouleur d'impression ne fonctionne pas. Lorsque je fais exécuter puis services.msc et que j'active manuellement le service et les services dépendants Lexbce server (j'ai une Lexmark) et RPC cela ne change rien : tous se désactivent dès que j'essaye d'imprimer.

- tous les raccourcis du panneau de configuration donnent un message "Windows ne trouve pas C:\WINDOWS\system32\rundll32.exe", ce problème est survenu après avoir fait tourner SmitfraudFix (parmi les spywares repérés par Spybot il y avait smitfraud, qui réapparaissait à chaque fois).

Je commence un peu à avoir la FIEVRE. Pourtant j'avais été très très sage et j'avais installé le pare-feu et l'antivirus de l'université (Symantec Client), mais apparemment ce n'était pas suffisant... Bon, est-ce que vous pensez que vous pouvez m'aider ?

Mes logs:
Panda ----> http://cjoint.com/?bgp6jdYUZV
HiJackThis ----> http://cjoint.com/?bgqaWUYq1d

Merci !

[Angeldark]

Bonjour,

Tu es très infecté.
Commençons par Vundo et PurityScan.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
  
• Clique sur le bouton Scan for Vundo
  
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
  
• Upload le contenu du rapport situé dans C:\vundofix.txt

NB: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".
----------

• Télécharge Combofix.exe (par sUBs) sur ton Bureau
  
• Double clique combofix.exe.
  
• Tape sur la touche Y (Yes) pour démarrer le scan.
  
• Lorsque le scan sera complété, un rapport apparaîtra. Upload ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici :
C:\Combofix.txt
---------
+ un rapport Hijackthis :)

[md]

Salut, et merci pour ton aide (et ça m'épate que la réponse soit si rapide, je l'aime ce forum, moi),

conformément à tes instructions j'ai fait tourner vundofix et combofix, voici les rapports :

- vundofix ---> http://cjoint.com/?bhwRoUPTpL
- combofix ---> http://cjoint.com/?bhwRT6sQKn
- HiJackThis après avoir fait tourner les deux précédents ---> http://cjoint.com/?bhwVcekakF

Est-ce que tu aurais une solution pour les raccourcis panneau de configuration qui renvoient tous le message "Windows ne trouve pas C:\WINDOWS\system32\rundll32.exe" ?

Merci !

[jjcojax]

Bonsoir,

Pour C:\WINDOWS\system32\rundll32.exe

As-tu le CD de XP

Il devrait y avoir un fichiers X:\i386\RUNDLL32.EX_ (X est à remplacer par la lettre du lecteur CD)
si tu le trouves, on peut le décomprimer puis le remettre en place

Indique si ton CD est avec le SP2 car il existe une commande pour remettre tout les fichiers systèmes que Windows utilise en une ligne de commandes,

Si la version CD est ancienne, il faut refaire les mises à jour après la commande.

[md]

Salut, j'ai bien sûr un CD de windows, mais ce n'est pas le service pack 2.

Dans ce cas comment faire pour réinstaller les dll que windows utilise à partir de ce CD ?

Merci !

[Angeldark]

Re,

Pour les erreur de dll cela est du à Vundo.
On s'en occupera après.

Tu as un rootkit dans le tas de Klone (infection venant avec Vundo).

Télécharge Rustbfix (par ejvindh)
**Si le lien ne fonctionne pas, clique ici**

Sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer le PC. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Copie/Colle le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

[md]

Bonsoir, et vraiment j'apprécie ton aide,

j'ai téléchargé Rustbfix et fait tourner mais le scan n'a rien détecté. J'ai essayé à nouveau après un redémarrage, cela n'a rien changé. Voici donc :

- le pelog.txt ---> http://cjoint.com/?biu7h8WoqT
- le nouveau HiJackThis ---> http://cjoint.com/?biu7T5igKr

Merci encore pour ton aide !

[Angeldark]

Re,

Pourtant...

Ouvre HiJackThis, puis "Open the Misc Tools Section"
Clic sur Open ADS Spy
Décoche "Quick Scan"
Décoche "Ignore safe system info data streams"
Lance le scan à partir du bouton scan

Dans la liste, trouve chaque occurence de :

C:\WINDOWS\system32 : lzx32.sys (69616 bytes)
C:\WINDOWS\system32 : lzx32.sys (69616 bytes)

coche les

clic sur Remove selected.

Puis :
Ouvre HijakThis, puis "Open the Misc Tools Section"
Clic sur Open ADS Spy
Décoche "Quick Scan"
Décoche "Ignore safe system info data streams"
Lance le scan à partir du bouton scan et colle le rapport ici.

[md]

Bonsoir, merci de répondre à chaque fois aussi rapidement,

j'ai fait tourner la fonction ADS Spy de HiJackThis comme le disait ton dernier message. Bon, après quand je relance et que je fais save log au terme du scan la fenêtre HiJackThis se ferme et je ne récupère pas de log... Il doit y avoir quelque chose super simple à faire pour récupérer le scan mais je n'arrive pas à trouver quoi.

Mais essentiellement les deux seules occurences à des fichiers situés dans C:\WINDOWS sont :

- C:\WINDOWS\$NtServicePackUninstall$\batt.dll : SummaryInformation (88 bytes)
- C:\WINDOWS\$NtServicePackUninstall$\batt.dll : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d} (0 bytes)

Une précision supplémentaire : Symantec Antivirus m'a fait une analyse automatique ce soir, et j'ai l'impression que le log de HiJackThis est moins délirant qu'avant. Voici donc :

- le nouveau log de HiJackThis ---> http://cjoint.com/?bjb2vP54kN

Merci pour ton aide !

[Angeldark]

Re,

Tu as trouvé des lzx32.sys ?
Refais un scan Combofix maintenant.

[md]

Salut,

Je viens de faire un scan Combofix comme tu le conseilles.

Voici le rapport Combofix ---> http://cjoint.com/?bjs2IIEfmb

En particulier, pas de lzx32.sys... C'est une bonne chose, non ?

[Angeldark]

Plus présent

• Double-clique VundoFix.exe afin de le lancer
  
• NE clique PAS sur le bouton Scan for Vundo
  
• Clique Droit dans la fenêtre blanche, choisis Add more files ?
  
• Rajoute dans la première ligne :
  C:\WINDOWS\SYSTEM32\ddccd.dll
  Dans la deuxième :
  C:\WINDOWS\SYSTEM32\dccdd.*
  Dans la troisième :
  C:\WINDOWS\SYSTEM32\ipchtpjq.dll
  
• Clique sur Add Files.
  
  
• Clique Droit dans la fenêtre blanche, choisis Add more files ?
  
• Rajoute dans la première ligne :
  C:\WINDOWS\SYSTEM32\oebpnhfg.dll
  Dans la deuxième :
  C:\WINDOWS\SYSTEM32\tuvuttr.dll
  Dans la troisième :
  C:\WINDOWS\SYSTEM32\mljighi.dll
  
• Clique successivement sur :
  - Add Files
  - Close Windows
  - Remove Vundo
  
• Si l'outil te demande de redémarrer, accepte.
  
• Copie/Colle ensuite le rapport C:\vundofix.txt

Il restera quelques fichiers

[md]

Bonsoir,

c'est vraiment cool, depuis que je fréquente ce forum, mon ordi m'a l'air d'aller beaucoup mieux, je viens de faire tourner Vundofix pour supprimer les fichiers que tu avais indiqué dans ta réponse. Je pense que cela a bien fonctionné.

Voici le rapport Vundofix ---> http://cjoint.com/?bjxDIWXu6w

Merci encore pour ton aide !

[Angeldark]

Ca s'améliore

On continue !
Refais un scan Combofix stp.

[md]

Salut,

voici le scan Combofix que tu m'as demandé --> http://cjoint.com/?bknLWFyCMF

Entre temps l'imprimante ne marche plus (problème de spouleur, et une activation manuelle en allant dans services.msc ne change rien) et le réseau local non plus (sauf quand je lance en mode sans échec avec prise en charge réseau).

Y-a-t'il un moyen de réparer ces deux problèmes (j'ai récupéré un CD SP2 d'installation Windows mais je ne sais pas trop quelle commande utiliser) ?

Merci encore pour ton aide !