Avast, Adaware et Bitdefender enfonçés...

Avast, Adaware et Bitdefender enfonçés... - Sécurité - Windows & Software

Marsh Posté le 30-09-2006 à 15:41:36    

Bonjour,
 
Je tape ce message depuis le tabouret d'où je vais me jeter pour me pendre.
 
En effet, depuis ce matin, une petite ordure qui s'appelle, en autre, yom.htm me mène la vie dure. Mon PC marche comme un zombie sous tranxen et mon écran affiche un magnifique avertissement au sujet des infections virales.
 
J'ai épuisé ADware (on ne rie pas), Avast et Bitdefendre, plus d'autres petites cochoneries mais rien n'y fait...
 
 
Pourriez vous m'aider?
 
S'il vous plait...
 

Reply

Marsh Posté le 30-09-2006 à 15:41:36   

Reply

Marsh Posté le 30-09-2006 à 15:44:09    

Bonjour carnivore,
 
* Bienvenue sur HardWare *
 
 
Télécharge HijackThis ici:  
http://www.01net.com/telecharger/w [...] 29061.html  
 
Dézippe le dans un dossier prévu à cet effet.  
Par exemple C:\hijackthis < Enregistre le bien dans c : !  
Démo : (Merci a Balltrap34 pour cette réalisation)    
http://pageperso.aol.fr/balltrap34/Hijenr.gif  
 
Renomme HijackThis.exe en carnivore.exe
Lance le puis:  
clique sur "do a system scan and save logfile" (cf démo)  
faire un copier coller du log entier sur le forum
 
Démo : (Merci a Balltrap34 pour cette réalisation)    
http://pageperso.aol.fr/balltrap34/demohijack.htm


Message édité par CleanDows le 30-09-2006 à 15:45:33
Reply

Marsh Posté le 30-09-2006 à 17:29:31    

Merci beaucoup pour cette main tendue!
 
Logfile of HijackThis v1.99.1
Scan saved at 17:27:42, on 30/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sumsw32.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Documents and Settings\Fireball 5\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Program Files\LinkOptimizer\LinkOptimizer.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [egpo1.exe] C:\WINDOWS\TEMP\egpo1.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
O4 - Global Startup: E-Compagnon.lnk = C:\Program Files\ColiPoste\e-COMO\e-COMO.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/downloa [...] all_fr.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.c [...] acscom.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {7DD95801-9882-11CF-9FA9-00AA006C42C4} - http://www.plugin-access.com/active-x/264962.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C9006F0-DCD0-4ABB-AE61-CE16886E07AC}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0DC96F8-70B3-43B0-90E7-A694FB1CC643}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: JoG - Unknown owner - C:\:qZl.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)
 
 
 
 
Voila la fiche...

Reply

Marsh Posté le 30-09-2006 à 17:53:41    

Voilà Carnivore,
 
* Suis scrupuleusement cette procédure. Si tu as des questions, surtout, n'hésite pas à les poser ;                                                                   nous sommes là pour t'aider *
 
 
1) Crée un point de restauration du système : http://www.vulgarisation-informati [...] ration.php
 
 
2) Télécharge les programmes suivants (mets-le sur ton bureau) :
 
        * Cleanup de Steven Gould : http://www.stevengould.org/downloa [...] nUp452.exe
 
        * RegCleaner de Jouni Vuorio: http://pierre.szwarc.free.fr/Files/RegCleaner.exe
 
        * SmitfraudFix de S!Ri: http://siri.urz.free.fr/Fix/SmitfraudFix.zip
 
 
3) Redémarre ta machine en mode sans échec sur ta session : http://service1.symantec.com/suppo [...] 5112131924
 
 
4) Relance HijackThis et coche les lignes suivantes :
 
 
R3 - Default URLSearchHook is missing  
 
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)  
 
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Program Files\LinkOptimizer\LinkOptimizer.dll (file missing)  
 
O4 - HKLM\..\Run: [rock] rock.exe  
 
O4 - HKLM\..\Run: [egpo1.exe] C:\WINDOWS\TEMP\egpo1.exe    
 
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe  
 
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe  
 
O4 - Global Startup: E-Compagnon.lnk = C:\Program Files\ColiPoste\e-COMO\e-COMO.exe [Si tu n'utilises plus ce programme]
 
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/downloa [...] all_fr.cab  
 
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab  [Si ce n'est pas ton système de PC-Banking]
 
O16 - DPF: {7DD95801-9882-11CF-9FA9-00AA006C42C4} - http://www.plugin-access.com/active-x/264962.cab  
 
O23 - Service: JoG - Unknown owner - C:\:qZl.exe  
 
 
                                                          ------> Clique ensuite sur "Fix Checked"
 
 
5) Lance alors un scan complet avec "Avast" et supprime (ou mets en quarantaine) tout ce qu'il trouve...
 
 
6) Toujours en mode sans échec, installe et exécute "Cleanup"
 
 
7) Lance le programme et clique sur "Cleanup", puis sur "NON" pour rendre le nettoyage effectif
 
 
8) Redémarre l'ordinateur en mode normal
 
 
9) Exécute SmitFraudFix après l'avoir décompressé comme HijackThis, double-clique sur Smitfraudfix.cmd choisis l’option 1, il va générer un rapport
Copie-colle ce rapport ici...
 
 
10) Reposte également ici un log HijackThis...
 
 
       /*\ Comment se porte ton ordinateur ?
       /*\ As-tu encore des problèmes ?
 
 
                                             ------> Laisse-moi à nouveau te remercier pour ta confiance en ce forum...
 
   Bonne chance et bonne après-midi à toi !


Message édité par CleanDows le 30-09-2006 à 17:55:46
Reply

Marsh Posté le 30-09-2006 à 18:10:34    

Faudra aussi penser à installer le SP2 de Windows XP [:aloy]


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 30-09-2006 à 18:14:10    

C'est exactement ce que j'allais écrire... mais il faut que la machine soit désinfectée AVANT !   ;)

Reply

Marsh Posté le 30-09-2006 à 18:24:47    

Oui, enfin faut pas s'étonner de chopper des merdes avec une machine pas à jour :/


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 30-09-2006 à 22:56:50    

Bon... j'ai tout essayé et si le mode sans échec se lance bien (faut pas exagéré), finalement, il refuse de créer le point de réstauratiion.
 
Il m'annonce qu'il manque le composant rstrui.exe  et l'élément framedyn.dll
 
Que faire ?  :cry:  
 
 
Déjà, je suis agréablement surpris par la rapidité et l'élégance de votre aide.


---------------
Pas mal cette décapottable, monsieur Kennedy!
Reply

Marsh Posté le 01-10-2006 à 01:22:53    

Bonsoir Carnivore...
 
Je te réponds dans une heure...
@ très vite !    ;)

Reply

Marsh Posté le 01-10-2006 à 02:22:01    

CleanDows a écrit :

Bonsoir Carnivore...
 
Je te réponds dans une heure...
@ très vite !    ;)


 
Merci beaucoup...


---------------
Pas mal cette décapottable, monsieur Kennedy!
Reply

Marsh Posté le 01-10-2006 à 02:22:01   

Reply

Marsh Posté le 01-10-2006 à 02:47:16    

Bonsoir Carnivore,
 
*** Avant de commencer, vérifie que la restauration du système est bien activée ***
Clic-droit sur "Poste de travail" --> Propriétés :
http://www.libellules.ch/desactive_restauration1.gif --> La case doit être DECOCHEE !
 
 
1) Clique sur "démarrer", "exécuter" et tape "cmd" avant de valider avec ENTER.
 
Entre ensuite la commande suivante :

Citation :

copy %windir%\system32\dllcache\Framedyn.dll %windir%\system32\wbem\


 
 
2) Redémarre en mode sans échec sur ta session : http://service1.symantec.com/suppo [...] 5112131924
 
3) Assure-toi d'avoir accès aux fichiers cachés et système : http://perso.orange.fr/astwinds/as [...] aches.html
 
4) Clique avec le bouton droit sur le fichier "Windows\inf\sr.inf" ---> Windows te demandera probablement d'insérer le CD d'installation.
 
5) Choisis "Installer"
 
6) Redémarre en mode normal et applique le reste de la procédure...
 
 
Bonne nuit !

Reply

Marsh Posté le 01-10-2006 à 10:34:05    

Vous êtes vraiment adorable, et ne croyez pas que j'y mets de la mauvaise volonté... mais la case se refuse à âtre cochée... je le jure!
 
 
 :cry:  :cry:  :cry:  
 
 
Et si je réinstalle windows?


---------------
Pas mal cette décapottable, monsieur Kennedy!
Reply

Marsh Posté le 01-10-2006 à 13:39:23    

Et si tu essayes de recocher la case après les manipulations 1 à 5 ?

Reply

Marsh Posté le 02-10-2006 à 16:02:39    

CleanDows a écrit :

Et si tu essayes de recocher la case après les manipulations 1 à 5 ?


 
 
Bon... y'a eu de la purge...
 
Il se fait un peu tirer l'oreille pour accepter de cocher le safeboot.ini mais on y arrive... par contre... il lance les points de restauration, on a l'impression que tout se passe bien mais après redémarrage il dit que le point de restauration n'a pu être effectué....comme ça, sans raison.
 
Sinon, voila les deux rapports, celui de  smitfraud et celui de Hijack
 
Vous êtes vraiment super de m'aider comme ça!
 
C:\WINDOWS\adware-sheriff-box.gif supprimé
C:\WINDOWS\adware-sheriff-header.gif supprimé
C:\WINDOWS\alexaie.dll supprimé
C:\WINDOWS\alxie328.dll supprimé
C:\WINDOWS\alxtb1.dll supprimé
C:\WINDOWS\antispylab-logo.gif supprimé
C:\WINDOWS\bg_bg.gif supprimé
C:\WINDOWS\big_red_x.gif supprimé
C:\WINDOWS\blue-bg.gif supprimé
C:\WINDOWS\BTGrab.dll supprimé
C:\WINDOWS\buy_now.gif supprimé
C:\WINDOWS\buy-now-btn.gif supprimé
C:\WINDOWS\click_for_free_scan.gif supprimé
C:\WINDOWS\close_ico.gif supprimé
C:\WINDOWS\corner-left.gif supprimé
C:\WINDOWS\corner-right.gif supprimé
C:\WINDOWS\dlmax.dll supprimé
C:\WINDOWS\download.gif supprimé
C:\WINDOWS\download_product.gif supprimé
C:\WINDOWS\facts.gif supprimé
C:\WINDOWS\footer.gif supprimé
C:\WINDOWS\free_scan_red_btn.gif supprimé
C:\WINDOWS\free-scan-btn.gif supprimé
C:\WINDOWS\h-line-gradient.gif supprimé
C:\WINDOWS\header-bg.gif supprimé
C:\WINDOWS\icon_warning_big.gif supprimé
C:\WINDOWS\infected_top_bg.gif supprimé
C:\WINDOWS\info.gif supprimé
C:\WINDOWS\logo.gif supprimé
C:\WINDOWS\navibar_bg.gif supprimé
C:\WINDOWS\navibar_corner_left.gif supprimé
C:\WINDOWS\navibar_corner_right.gif supprimé
C:\WINDOWS\no-icon.gif supprimé
C:\WINDOWS\product_box.gif supprimé
C:\WINDOWS\Pynix.dll supprimé
C:\WINDOWS\red_warning_ico.gif supprimé
C:\WINDOWS\reg-freeze-box.gif supprimé
C:\WINDOWS\reg-freeze-header.gif supprimé
C:\WINDOWS\remove_spyware_header.gif supprimé
C:\WINDOWS\remove-spyware-btn.gif supprimé
C:\WINDOWS\safe_and_trusted.gif supprimé
C:\WINDOWS\spacer.gif supprimé
C:\WINDOWS\spacer.gif' supprimé
C:\WINDOWS\spyware_detected.gif supprimé
C:\WINDOWS\spyware-sheriff-header.gif supprimé
C:\WINDOWS\spyware-sheriff-box.gif supprimé
C:\WINDOWS\star-grey.gif supprimé
C:\WINDOWS\true-stories.gif supprimé
C:\WINDOWS\susp.exe supprimé
C:\WINDOWS\win-sec-center-logo.gif supprimé
C:\WINDOWS\windows-compatible.gif supprimé
C:\WINDOWS\yellow_warning_ico.gif supprimé
C:\WINDOWS\yes-icon.gif supprimé
C:\WINDOWS\ZServ.dll supprimé
C:\WINDOWS\system32\a.exe supprimé
C:\WINDOWS\system32\adobepnl.dll supprimé
C:\WINDOWS\system32\alxres.dll supprimé
C:\WINDOWS\system32\bridge.dll supprimé
C:\WINDOWS\system32\dailytoolbar.dll supprimé
C:\WINDOWS\system32\jao.dll supprimé
C:\WINDOWS\system32\questmod.dll supprimé
C:\WINDOWS\system32\runsrv32.dll supprimé
C:\WINDOWS\system32\runsrv32.exe supprimé
C:\WINDOWS\system32\tcpservice2.exe supprimé
C:\WINDOWS\system32\txfdb32.dll supprimé
C:\WINDOWS\system32\udpmod.dll supprimé
C:\WINDOWS\system32\winapi32.dll supprimé
C:\WINDOWS\system32\wstart.dll supprimé
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 15:55:18, on 02/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sumsw32.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Fireball 5\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.c [...] acscom.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0DC96F8-70B3-43B0-90E7-A694FB1CC643}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)
 

Reply

Marsh Posté le 02-10-2006 à 22:59:40    

Bonsoir Carnivore,
 
1) Appuie sur CTRL + ALT + DEL et arrête les processus suivants (si présents)
 
                       * sumsw32.exe
                       * runsrv32.exe  
                       * susp.exe
 
 
2) Relance HijackThis et fixe les lignes suivantes :
 
 
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)  
 
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe  
 
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe  
 
 
3) Si tu avais fixé les lignes avant, le fait qu'elles soient revenues pourrait laisser croire à une infection par rootkit...
 
       ---> Télécharge BlackLight ici : https://europe.f-secure.com/blacklight/try.shtml
       ---> Double-clique sur blbeta.exe et accepte la licence ; laisse [X] scan through Windows Explorer activé ; clique sur Scan puis Next
 
       ---> Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log   (les xxxxxxx sont des chiffres).  
 
       ---> Copie et colle le contenu de ce rapport dans ta prochaine réponse  
 
 
4) Télécharge enfin Combofix http://download.bleepingcomputer.com/sUBs/combofix.exe
 
       ---> Lorsque le scan sera complété, un rapport apparaîtra.  
       ---> Copie/colle ce rapport dans ta prochaine réponse.  
 
 
5) Remets-nous également un rapport HijackThis...
 
 
Bonne soirée à toi !


Message édité par CleanDows le 03-10-2006 à 00:22:00
Reply

Marsh Posté le 02-10-2006 à 23:40:40    

merci pour lui .
 
j'ai l'impression que ce virus/spyware est dévastateur. il a du déja serieusement lui bouffer une partie de son windows.

Reply

Marsh Posté le 03-10-2006 à 00:55:29    

Déjà, premier rapport Hijack...
 
C'est la fête mais la p....n de ligne 02-BHO: Class arrête pas de revenir...
 
Bon, je lance le reste...
 
Logfile of HijackThis v1.99.1
Scan saved at 00:50:20, on 03/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Multimedia\main\launchpd.exe
C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Fireball 5\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.c [...] acscom.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0DC96F8-70B3-43B0-90E7-A694FB1CC643}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)
 


---------------
Pas mal cette décapottable, monsieur Kennedy!
Reply

Marsh Posté le 03-10-2006 à 00:58:26    

Quelque chose m'empêche de lancer Blacklight...
 
Selon ses propres termes:
 
FSBL could not acquire necessary privileges (sedebug privileges)
 
-Your computer setting may prevent acquiriing these privileges
-a malicious programm might have disabled these privileges.
 
 
(Je vais fouiller la question du SeDebugPrivileges)


---------------
Pas mal cette décapottable, monsieur Kennedy!
Reply

Marsh Posté le 03-10-2006 à 18:40:37    

Bonsoir Carnivore,
 
*-*- Qu'en est-il de Combofix ? -*-*
*-*- Désactive la restauration du système (après avoir sauvé TOUTES tes données-*-*)
 
 
1) Télécharge ceci : "Debug-Restore"   http://download.bleepingcomputer.c [...] estore.exe  
 
                         --> Exécute "SeDebug-Restore.exe"
                         --> Attends jusqu'à la fin  
                         --> Presse une touche
                         --> Redémarre le PC
                         --> Relance blacklight  
 
 
2) Linkoptimizer est l'un des pires rootkits du moment [C.F.R. AngelDark, très reconnu dans le "milieu", d'après lui, il n'y a pour l'instant aucune autre solution que le formatage]. Effectivement, tout le monde en parle dans les forums cachés internationnaux...
 
 
3) On va quand même essayer ceci :
 
   ---> Télécharge FixLinkopt.exe à partir de : http://securityresponse.symantec.c [...] nkopt.exe.  
   ---> Enregistre-le à un endroit où tu vas le retrouver...
   ---> Ferme tous les programmes en cours
   ---> Déconnecte-toi COMPLETEMENT du net
   ---> Exécute FixLinkopt.exe
   ---> Appuie sur "Start" pour lancer la désinfection
   ---> NOTE: Si certains problèmes apparaissent, redémarre l'ordinateur en mode sans échec et repasse l'outil...
   ---> Redémarre l'ordinateur  
   ---> Relance le fix pour t'assurer que ta machine est nettoyée...
 
 
4) En mode sans échec, clique sur "démarrer", "exécuter", tape "regedit" et valide avec ENTER
 
   ---> L'éditeur de registre s'ouvre alors...
   ---> Clique sur "Edition", "rechercher" et copie-colle "DA39029C-D291-A968-3FF4-D0990D5CB5FC" (sans les guillemets)
   ---> Supprime tout ce qu'il trouve, et préviens-moi s'il en reste... on utilisera l'artillerie lourde !   :)
 
 
5) Reposte un rapport BlackLight, HijackThis, Combofix...
 
Bonne chance !


Message édité par CleanDows le 04-10-2006 à 16:07:14
Reply

Marsh Posté le 19-12-2006 à 11:26:22    

En fait, tout mes problèmes se sont résolus avec votre aide! Ouf.
 
Merci beaucoup (J'ai mis du temps à retrouver le sujet)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed