Sondage :

Publicité




Partenaires




Jmax-Hardware

mxdev.net

feedburner
donate.gif


123 visiteur(s) en ligne
Forums d'entraide informatique - Les forums de PCW
[Résolu] Hum...Win32:Lineage-518 ? Un chieur quand même.. - Version imprimable

+- Forums d'entraide informatique - Les forums de PCW (http://forum.pcinfo-web.com)
+-- Forum : Forum Informatique (/forumdisplay.php?fid=39)
+--- Forum : Sécurité Informatique (/forumdisplay.php?fid=2)
+--- Discussion : [Résolu] Hum...Win32:Lineage-518 ? Un chieur quand même.. (/showthread.php?tid=1062)

Pages : 1 2 3 4


[Résolu]Hum...Win32:Lineage-518 ? Un chieur quand même.. - Eikichi - 14-03-2007 10:21 AM

Bonjour à tous chers PcInfo-Webistes :mrgreen:
Celà faisait un tit temps que je n'avais pas trouvé de tites bébêtes ou plutôt que je n'étais pas arrivé à m'en débarrasser..d'où ce post, cet "appayl à l'ayde" xD
Plus sérieusement, en quelques mots, je procède a un petit nettoyage de printemps: EasyCleaner, Ccleaner, Spybot, Ad-aware, A². Et une fois débarrassé des tites merdes superflues, je passe à Avast, le tout, en mode sans echec. Celui-ci me trouve alors un tit trojan du nom de "Win32: Lineage-518[Trj]" qu'il est impossible de supprimer.
Info sup' et pas forcemment utile, son emplacement: " C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1" :|
Je poste un log HiJackThis pour que vous m'aidiez à voir plus clair. Le voici:

Logfile of HijackThis v1.99.1
Scan saved at 11:18:31, on 14/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\podXP\podXP.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: cals.com http://www.discreetshippedmeds.com http://www.greatpharmacueticals.com greatpharmacueticals.com => sites inconnus et suspect nan?
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Vistadrv] C:\Documents and Settings\Steven\Local Settings\Temp\Rar$EX02.547\Vista Drive\vsdrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Startup: Raccourci vers RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe
O4 - Global Startup: podXP.lnk = C:\Program Files\podXP\podXP.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


Sont affichées en rouge les lignes que je propose de "réparer".. Wink
@+ €iki.



- Troll - 14-03-2007 18:46 PM

Salut Eikichi, bon tout d'abord on va s'occuper de ton fichier infecté, contrairement à ce que tu pense, c'est utile de savoir où il est :

    :arrow: Télécharge Pocket KillBox :arrow: >>ICI<<

    :arrow: Tu sélectionnes ce texte en bleu :

    C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1

    :arrow: Clic droit >> Copier

    :arrow: Lance KillBox.exe

    :arrow: Clic sur Tools >> Delete a Temp Files

    :arrow: Clic sur Delete selected Temp Files

    :arrow: Une fois fini, clic sur Exit (Save Settings)

    :arrow: Sélectionne "Delete on Reboot"

    :arrow: Clic sur "All Files"

    :arrow: Clic sur "File" >> "Past from clip board"

    :arrow: Tu clic sur le bouton rouge avec une croix blanche

    :arrow: Tu auras le message suivant : "File with be deleted on next reboot, Process and Reboot now ?" tu clic sur "Yes"

    :arrow: Et laisse redémarrer le pc

    Si le PC ne redémarre pas automatiquement, clic sur Options >> Shutdown >> Forced Reboot >> tu acceptes et ton PC redémarre


----------------------------------------

Après redémarrage, supprime le dossier C:\!Killbox<-- en faisant Shift+suppr


Ensuite, passes un coup de avg antispyware en mode sans echec (donc en ayant fait les maj avant en mode normal...)(il y a un tuto disponible en tutoriaux Wink ) et postes nous rapport de scan.

Tu peux supprimer les lignes en rouges, on en giclera d'ailleurs d'autres après Wink


- Eikichi - 14-03-2007 21:00 PM

Oki, je fais ça, seulement, il ne manquerait pas une étape?
Est-ce que je ne dois pas, à un moment donné, coller la ligne que j'ai copier? (c'est têtre une question con mais je préfère demander..)



- Troll - 14-03-2007 21:29 PM

€ikichi a écrit :Oki, je fais ça, seulement, il ne manquerait pas une étape?
Est-ce que je ne dois pas, à un moment donné, coller la ligne que j'ai copier? (c'est têtre une question con mais je préfère demander..)

"Past from clipboard" prends ce qui est dans ton "clipboard", ou ton "presse-papier", donc quand tu fais "past from clipboard" normalement ca colle ce que tu as copié Smile


- Eikichi - 14-03-2007 21:50 PM

Mouai..bon bah c'est pas le cas alors je le fais manuellement Wink


- Troll - 14-03-2007 21:57 PM

€ikichi a écrit :Mouai..bon bah c'est pas le cas alors je le fais manuellement Wink

Damn !
Il y a visiblement un bug avec killbox maintenant, peut-être une maj de xp qui l'empêche de fonctionner...il faudra qu'on change d'outil Undecided


- Eikichi - 14-03-2007 22:04 PM

Et encore, même manuellement, rien ne se colle. Je l'ai donc coller dans ma barre google et l'ai copier à partir d'ici..et ça marche xD Qu'est-ce qui faut pas faire Confused
Bon, je viens de redémarrer, impec, par contre, pour la suite, je vais devoir remettre ça à demain, en espérant te revoir lol
Bonne soirée et merci Wink



- Zarnergun - 14-03-2007 22:15 PM

€ikichi a écrit :Et encore, même manuellement, rien ne se colle. Je l'ai donc coller dans ma barre google et l'ai copier à partir d'ici..et ça marche xD Qu'est-ce qui faut pas faire Confused
Bon, je viens de redémarrer, impec, par contre, pour la suite, je vais devoir remettre ça à demain, en espérant te revoir lol
Bonne soirée et merci Wink


C'est pas parce que je l'ai wh###ser qui va mourir, quel bande de paranos ! Big Grin

Xplosé de rire troll ! je crois que je m'ennuirais sans toua ! Big Grin


- Troll - 14-03-2007 22:18 PM

tiens j'avais loupé cette phrase...xD


- Eikichi - 15-03-2007 12:47 PM

Tadaaam! I'm back :lol:
Bon, j'ai passé AVG, il m'a trouvé 3 merdes que j'ai supprimé.
Je post néanmoins le rapport, comme prévu:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 12:48:41 15/03/2007

+ Résultat de l'analyse:



:mozilla.26:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.34:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.Com : Aucune action entreprise.
:mozilla.43:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.


Fin du rapport
---------------------------------------

Maintenant, je m'occupe du log HiJackThis, je fixe les lignes en rouge et j'attends tes suggestions Wink