[Résolu] Hum...Win32:Lineage-518 ? Un chieur quand même..

[Eikichi]

Bonjour à tous chers PcInfo-Webistes
Celà faisait un tit temps que je n'avais pas trouvé de tites bébêtes ou plutôt que je n'étais pas arrivé à m'en débarrasser..d'où ce post, cet "appayl à l'ayde" xD
Plus sérieusement, en quelques mots, je procède a un petit nettoyage de printemps: EasyCleaner, Ccleaner, Spybot, Ad-aware, A². Et une fois débarrassé des tites merdes superflues, je passe à Avast, le tout, en mode sans echec. Celui-ci me trouve alors un tit trojan du nom de "Win32: Lineage-518[Trj]" qu'il est impossible de supprimer.
Info sup' et pas forcemment utile, son emplacement: " C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1" :|
Je poste un log HiJackThis pour que vous m'aidiez à voir plus clair. Le voici:

Logfile of HijackThis v1.99.1
Scan saved at 11:18:31, on 14/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\podXP\podXP.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: cals.com http://www.discreetshippedmeds.com http://www.greatpharmacueticals.com greatpharmacueticals.com => sites inconnus et suspect nan?
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Vistadrv] C:\Documents and Settings\Steven\Local Settings\Temp\Rar$EX02.547\Vista Drive\vsdrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Startup: Raccourci vers RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe
O4 - Global Startup: podXP.lnk = C:\Program Files\podXP\podXP.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIn...6.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


Sont affichées en rouge les lignes que je propose de "réparer"..
@+ €iki.

[Troll]

Salut Eikichi, bon tout d'abord on va s'occuper de ton fichier infecté, contrairement à ce que tu pense, c'est utile de savoir où il est :

Télécharge Pocket KillBox >>ICI<<

Tu sélectionnes ce texte en bleu :

C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1

Clic droit >> Copier

Lance KillBox.exe

Clic sur Tools >> Delete a Temp Files

Clic sur Delete selected Temp Files

Une fois fini, clic sur Exit (Save Settings)

Sélectionne "Delete on Reboot"

Clic sur "All Files"

Clic sur "File" >> "Past from clip board"

Tu clic sur le bouton rouge avec une croix blanche

Tu auras le message suivant : "File with be deleted on next reboot, Process and Reboot now ?" tu clic sur "Yes"

Et laisse redémarrer le pc

Si le PC ne redémarre pas automatiquement, clic sur Options >> Shutdown >> Forced Reboot >> tu acceptes et ton PC redémarre

----------------------------------------

Après redémarrage, supprime le dossier C:\!Killbox<-- en faisant Shift+suppr


Ensuite, passes un coup de avg antispyware en mode sans echec (donc en ayant fait les maj avant en mode normal...)(il y a un tuto disponible en tutoriaux ) et postes nous rapport de scan.

Tu peux supprimer les lignes en rouges, on en giclera d'ailleurs d'autres après

[Eikichi]

Oki, je fais ça, seulement, il ne manquerait pas une étape?
Est-ce que je ne dois pas, à un moment donné, coller la ligne que j'ai copier? (c'est têtre une question con mais je préfère demander..)

[Troll]

€ikichi a écrit :Oki, je fais ça, seulement, il ne manquerait pas une étape?
Est-ce que je ne dois pas, à un moment donné, coller la ligne que j'ai copier? (c'est têtre une question con mais je préfère demander..)

"Past from clipboard" prends ce qui est dans ton "clipboard", ou ton "presse-papier", donc quand tu fais "past from clipboard" normalement ca colle ce que tu as copié