specialgoods.info. + kak.hta + dir00000

rem: Ce sujet est long et ceux qui ne sont pas concernés par specialgoods.info peuvent directement aller voir aux posts ultérieurs au 28/9/2005.
--------------------------------------------------------------------------

Bonjour,

Toute l'histoire est racontée ci-dessous, mais en résumé: J'ai été atteint par ces ver/Adware. Je m'en suis partiellement débarrassé, grâce à vous (merci gchris), en supprimant param32.dll.

Il reste des problèmes.
Toute l'histoire (entre temps des choses se sont améliorées):


1. J'ai un Pentium III 500 (Toshiba Satellite 2710XDVD), avec Windows 98SE et Internet Explorer v. 5.00.2614.3500 ic, chiffrement 128 bits. J'utilise Outlook 2000.
Il est "protégé" par Norton Antivirus 2000, mis à jour jusqu'à il y a 6 mois quand Norton a arrêté de suivre ce produit. Norton System Doctor tourne en permanence.


2. Le 5/7/05, s'est installé un virus / spyware, qui remplacait toutes les icônes à côté de l'heure par une croix blanche dans un rond rouge, ouvrait une fenêtre pop=up

"Error #317 - Microsoft Windows Security Warning.
Your Windows is corrupted spyware virus.
You must patch your PC urgently to protect your system.
Private info is accessible by ports:
-8080
-3128
You can patch your PC for free now and delete all spyware viruses.
Click OK to choose and download free spyware removal using AntiSPY.
OK Annuler"

, et lancait Internet Explorer tous les 1/4 d'heure sur le site www.specialgoods.info/ad/ad0458/go.php

Le programme "PROGRAM FILES\website viewer" s'était également installé sans que je l'autorise, mais la surveillance d'installation de Norton avait permis de le supprimer.

Enfin, quelques raccourcis s'étaient installés tous seuls (dont un "air tickets..."

Je me suis immédiatement déconnecté, et le suis resté depuis !


3. Au démarrage du PC:
"Le programme MPREXE a été arrêté, provoque une défaillance de page dans le module KERNELL32.DLL"

Juste après:
"Le programme MJMMNDEJ.EXE va être arrêté: provoque une défaillance de page...


4. Du haut de mes notions de DOS d'il y a 20 ans, j'ai naïvement pensé qu'il
me suffirait de supprimer les programmes (tâches) qui s'étaient installés à l'heure où
le problème a surgi. Ce que j'ai fait. J'ai commencé par:
- C:\WINDOWS\SYSTEM\Newdial1.exe (icône: bobine de film avec image bleu, jaune, vert, rouge)
- C:\WINDOWS\SYSTEM\Newdial.exe
- Ms1.exe
- Nmstt.exe
- C:\124841.exe (icône: un visage de fille, jolie, d'ailleurs), mais il reviendra tout seul plus tard

Depuis, Word, Outlook, Explorateur Windows... ne veulent plus démarrer, se bloquent en cours de démarrage et ne répondent plus.


5. J'ai ensuite lancé Norton Antivirus (v. point 1 ci-dessus) qui a trouvé et supprimé:
- 1 virus dans C:\WINDOWS\SYSTEM32\init32.exe : Downloader.Trojan
- 4 virus dans C:\WINDOWS\Temporary Internet Files : 1 Downloader.trojan ; 3 Backdoor.Tofger
- 2 virus dans C:\RECYCLED\NPROTECT\00000095.JAR : Trojan.ByteVerify


6. J'ai encore supprimé (toujours sur base de l'heure de création):

- C:\WINDOWS\SYSTEM\Paytime.EXE et la clé HKEY_CURRENT_USER\Software\Windows\current version\RUN
- C:\WINDOWS\TEMP\3416745.EXE
- C:\WINDOWS\TEMP\XWXLOAD.EXE
- C:\WINDOWS\SYSTEM32\$$$_.log
- C:\WINDOWS\SYSTEM32\guninst.exe
- C:\WINDOWS\SYSTEM32\popup_bl.dll
- C:\WINDOWS\SYSTEM32\searchdll.dll
- C:\WINDOWS\SYSTEM32\airtickets.ico
- clé de la base de registres HKEY_LOC...\Internet Connection Update


7. La tentative d'utiliser un élément de Norton a généré le message:
"Nmain a été arrêté... a causé une défaillance de page dans MFC42.DLL"


8. Une alerte Antivirus: "Virus ou code malveillant. Le fichier C:\WINDOWS\SYSTEM\B88A7C20.hta est infecté par Wscript.Kakworm.dr".
J'ai choisi de le supprimer.
REM.: Les 2 dernières lignes de l'autoexec.bat lancent et suppriment respectivement le fichier C:\WINDOWS\Menu démarrer\Programmes\kak.hta ; j'ignore si c'est lié.


9. Message: "Image32 va être arrêté car il a effectué une opération non conforme: une instruction non valide dans le module <inconnu>"


10. Norton System Check:
- "Entrée activeX/Com incorrecte: clé manquante ou incorrecte: clé CLSID/... fait référence à un fichier manquant: C:\Windows\System32\Search~1.DLL". Qu'il a "réparé" par la suppression de l'entrée de reg. incorrecte
- "Fichier de démarrage de Windows manquant. Un ou plusieurs fichiers nécessaires au démarrage de Windows sont absent de la section Run du registre de Windows. Les applications du groupe démarrage risquent de ne pas s'effectuer. Fichier manquant: la clé: SOFTWARE\Microsoft\Windows\Current Version\Run fait référence à une valeur de registre: _Cat2 qui fait référence à C:\Windows\nmstt.exe, une commande de démarrage incorrecte. Il a "réparé" par la suppression de l'entrée de registre incorrecte.
- ...


11. J'ai supprimé et mis sur une disquette:
- C:\reboot.exe
- C:\WINDOWS\Menu démarrer\Programmes\kak.hta (voir point 8)


12. Spysweeper qui a trouvé et a supprimé environ 300 spyware.


13. J'ai trouvé sur les forums la manip consistant notamment a supprimer PARAM32.DLL, ce qui a résolu le pop-up "erreur #317" et la croix blanche dans le rond rouge.


14. re-spysweeper: trouve 3 adware: cws iesprt, hotoffers, specialgoods.info hijack . Je choisis de les supprimer.
re-spysweeper: specialgoods.info hijack est de nouveau là !


15. Il restait les symptômes suivants:
- Mes programmes sous windows ne tournent toujours pas, s'arrêtent en démarrant, ou ne répondent plus, notamment l'explorateur Windows
- Supprimer un fichier sous windows, que ce soit par clic droit ou glisser déposer dans ne fonctionne plus. Même "enregistrer sous" ne fonctionne plus, et essayer fait que le programme ne répond plus !
- Mon disque dur externe (iRIVER H340) n'est plus reconnu !
- les tentatives de recherche de fichier ne répondent pas et arrêtent active desktop !


15. Norton Disk Doctor trouve:
- des fichiers comportant des erreurs de réservation: \windows\temp\CSA4C3C5DA
- des entrées mélangées (fichiers ou répertoires partageant indûment le même espace du disque): \windows\temp\CS9EC13765,6,7,8... ; CSE40C1925,6,7,8...
- 7940 groupes perdus dans 546 chaînes.
Je n'ai PAS réparé.


16. Que puis-je faire ?

Un immense merci d'avance !

Bonjour.

Utilises-tu un pare-feu et si oui lequel ?

Si norton n'est plus à jour depuis 6 mois, il ne te sert à rien (surtout norton), désinstalle-le et installe un antivirus gratuit (Antivir), tu le mets à jour, scan ton pc et supprime tout ce qu'il trouve.

-Télécharge HijackThis: (lien sur l'image).
-Crée un dossier nommé HijackThis et place le dedans.
-Exécute le et clique sur Do a scan and save log file.
-Copie et colle ici ton rapport ouvert avec le bloc note. Sans rien faire d'autre.

D'abord, merci pour ta reponse.

Non, je n'ai pas de pare feu. Je téléchargerai Antivir asap.
En attendant:
-----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:55:46, on 07/08/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\THOTKEY.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\Monwow.exe
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\WRSSSDK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0458/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SpySweeper] "C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE" /startintray
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] c:\windows\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [THotkey] THotkey.Exe
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Program Files\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Norton System Doctor.lnk = C:\Program Files\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Program Files\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - https://www.ing.lu/multisecure/smartstart/retail/Win32/SmartStartSetup.cab

-----------------------------------
Merci d'avance

Il te faut mettre à jour windows, et surtout internet explorer qui ne l'est pas du tout.

HijackThis -> Do a system scan only -> coche ces lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0458/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - https://www.ing.lu/multisecure/smartstart/retail/Win32/SmartStartSetup.cab

Clique sur Fix Checked.
---

Redémarreton pc.
Internet explorer -> outils -> options internet -> onglet "Général" -> Remets ta page de démarrage.
Metsà jour windows.

Merci.

1. Voila, supprimees les vilaines lignes dans le rapport hijackthis !

2. Excuse-moi, mais comment puis-je mettre a jour Windows, et surtout internet explorer, vu que je ne peux connecter mon portable a internet, internet explorer lui-meme se plante ? Puis-je installer un autre navigateur, dont je dispose du CD ?

3. La tout premiere priorite pour moi serait de sauvegarder mes contacts outlook, emails, et aussi des documents. Ces mises a jours de Windows et internet explorer presentent-elles un risque de ce point de vue ? Le cas echeant, est-il possible de recuperer ne serait-ce que la connexion USB pour faire une sauvegarde sur mon iRIVER H340 ?

4. Une connaissance qui avait jete un oeil a mon pc avait modifier le demarrage pour qu'il se fasse avec le minimum de programmes. A la fin de son examen, il les a remises. Maintenant Spy Sweeper m'affiche la liste recopiee en fin de ce message. Dois-je garder tous ces programmes au demarrage ou puis-je en supprimer ?

Merci d'avance !
------------------------------------------------------
Alertes de Spy Sweeper:
Startup Shield:
Spy Sweeper has detected new programs that will start when Windows starts. If you just installed a program, including Windows Updates, you should not remove these items. To remove items added without your knowledge, select each item you do not want and click Remove. To keep items you added, select each item you want and click Keep.

(après le nom de chacun de ces programmes, il est précisé: --Assessment: Unknown).

CleanSweep Smart Sweep-Internet Swwep.lnk
Norton System Doctor.lnk
Microsoft Office.lnk
WindowsFS
Windows Media Player
Windows Startup
Win Init
MS Config Stream
Configuration Loading
Update
Windows Update Service
Norton Live Updater
System Loaderap
Mixer
Windows Explorer
Ms Task
Service Controller
Windows Loader
Windows Config Manager
Sound Loader
Configuration Loader
ConfiggLoader
System Loaderav
Config Loader for Microsoft Windows
Windows Communicator
MS Security Fix
Svhost Loader
Quicktime Pro 3.0
Office Startup
Config Loader2
Microsoft Windows Updater
Windows Backup Configuration
Microsoft Office Start
Microsoft Office
MS Config Loader
Registry Loader
Config Loader
NPROTECT
SymTray
CSINJECT.EXE
TCDPlay
TWBrowse
TWarmBay
TDockNUndock
TSPower
THotkey
Scheduling Agent
LoadPowerProfile

Fais une réparationde windows afin de pouvoir utiliser IE pour mettre à jour.

Une reparation de Windows, comment faire ? J'ai fait des recherches, mais sans trouver !

Télécharge avant (si tu le peux) le service pack que tu devras réinstaller après la réparation.

Tu mets le cd dans le lecteur, et tu redémarre ton pc.
Normalement il te sera proposé de presser une touche pour démarrer sur le cd (ce que tu fais). Si ce n'est pas le cas c'est qu'il faut aller dans le bios pour modifier l'ordre de boot et mettre en premier le lecteur de disquette puis le lecteur de cdrom, mais normalement c'est comme ça par défaut.
Quand le choix se présente, tu choisis Installer et non pas réparer.
A nouveau tu vas avoir le choix, cette fois tu choisis Réparer et tu suis le cours, c'est aussi long qu'une installation.

Il te faut réinstaller tes mises à jour et services pack.

J'ai trouvé un service pack pour Windows 98 SE, non officiel, car il n'en existe pas d'officiel, tu me confirmes que c'est bien ca ?

Si je comprend bien, il s'agit d'un ensemble de fichiers qui s'ajoutent a Windows, ou alors les remplacent-ils ? Dans la première hypothèse, ne penses-tu pas que puisque Windows fonctionnait bien avant, et que c'est depuis ce problème qu'il ne fonctionne plus, le problème réside dans les composants de Windows que j'ai. A moins que ceux du SP ne les remplacent, ou même les renouvelle dans le cas où je les aurais effacés ? Merci !

Tu me confirmes aussi que je ne vais pas perdre mes documents, et contacts et mails outlook en faisant ca ?

Mets juste windows à jour, et c'est bon, je dis ça surtout pour 2000 et xp.

Je n'ai pas encore mis Windows ni IE à jour, mais j'ai pas mal d'améliorations, précisément depuis que j'ai DESINSTALLE Norton AntiVirus Notamment, il reconnait mon Disque Dur externe H340, et j'ai pu sauver mes trucs importants.

Il reste qqes problèmes, que je souhaite résoudre AVANT de connecter ce portable au net.

1. au démarrage, il essaie de lancer kak.hta, mais il ne sait pas avec quoi l'ouvrir ! Ce qui est curieux, c'est que Norton avait détecté (et supprimé) wscript.kakworm.dr

2. au demarrage, il tente d'ouvrir une connection à distance

3. SpySweeper détecte toujours l'Adware "specialgoods.info hijack", mais après supression, la clé "HKU\.DEFAULT\software\microsoft\internet explorer\main\[[start page" revient d'elle même.

Merci d'avance !

installe un pare-feu

Merci beaucoup pour toute ton aide, tout va beaucoup mieux !
J'ai maintenant un pare-feu, (Zone Alarm), un antivirus (Antivir), et ose me reconnecter à internet !!

Il reste quand même quelques problèmes:

1. REPERTOIRES POUPEES RUSSES: avant j'avais environ 50.000 fichiers, j'en ai maintenant plus de 300.000, dont des répertoires qui s'appellent

C:\$ð_$_$à$.$($ qui ne sont "pas accessibles car ils ont été déplacés ou supprimés"

C:\ÜH$ÅÇ$!$.$G@ , qui contient lui-même toute une copie de C: et donc notamment un

C:\ÜH$ÅÇ$!$.$G@\ÜH$ÅÇ$!$.$G@ , qui contient lui-même toute une copie de C:\Üh$åç$!$.$g@ , , ... ,

et qu'il est "impossible de supprimer (erreur de fichier 1026)".


2. Il y a aussi des répertoires Dir00000, qui sont accessibles et apparemment vides), mais qu'il est "impossible de supprimer. Accès refusé, vérifiez que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas utilisé actuellement".
Non le disque n'est pas plein (4 Go sur 6 occupés).

3. Dans le log highjackthis, tu me recommandais:



Dans le premier R0, j'ai bien récupéré ma page de démarrage, mais les 2 autres sont toujours les mêmes, et si je les "fix", ils reviennent aussi vite !

Redémarre en mode sans échec (voir la faq) et supprime les répertoire de ce style.
---

Colle un nouveau rapport hijackthis