Trojan sur chkdsk.dll

Trojan sur chkdsk.dll - Sécurité - Windows & Software

Marsh Posté le 14-06-2006 à 13:11:18    

Bonjour à tous!
 
Depuis peu avast! détecte sur mon ordinateur un trojan dans le fichier chkdsk.dll, situé dans System32. A quoi sert ce fichier? Puis-je l'effacer sans risque avec Hyjackthis?

Reply

Marsh Posté le 14-06-2006 à 13:11:18   

Reply

Marsh Posté le 14-06-2006 à 13:12:47    

Reply

Marsh Posté le 14-06-2006 à 13:15:38    

Bonjour a tous,
 
* Télécharge et installe HijackThis :
 
http://www.merijn.org/files/hijackthis.zip
 
* Ferme toutes les applications en cours sauf Hijackthis.
 
* Lance Hijackthis [ le logo avec la dynamite ]
 
* Choisir Do a system scan and save logfile
 
* Le bloc - note s'ouvrira puis fais un copier - coller de tout le contenu du bloc note ici.

Reply

Marsh Posté le 14-06-2006 à 13:45:46    

Voici le log donné par Hyjackthis :

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 13:45:11, on 14/06/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\MessengerPlus!\MsgPlus.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\DOBE~1\wowexec.exe
C:\Documents and Settings\Lupin\Mes documents\??curity\r?ndll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\mIRC\mirc.exe
C:\Documents and Settings\Lupin\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp9923.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus!\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Oamt] "C:\WINDOWS\System32\DOBE~1\wowexec.exe" -vt ndrv
O4 - HKCU\..\Run: [Npcydu] C:\Documents and Settings\Lupin\Mes documents\??curity\r?ndll32.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ [...] 1.1.74.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/Yaz [...] refid=1123
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {AA33C66F-71DB-43E9-B559-3CBE4398E9A9} (BugsGameStarts Class) - http://au.bugsgames.net/game/GBugsGameStart.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{915F04A4-A72B-45A0-B71A-A6FEFCB7C947}: NameServer = 192.168.254.254
O20 - AppInit_DLLs: msgplusloader.dll c:\progra~1\google\google~1\goec62~1.dll chkdsk.dll
O20 - Winlogon Notify: wintqv32 - wintqv32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache\Apache.exe" --ntservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
 

Reply

Marsh Posté le 14-06-2006 à 20:25:35    

Fixe :
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp9923.tmp  
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx  
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"  
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ [...] 1.1.74.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/Yaz [...] refid=1123
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {AA33C66F-71DB-43E9-B559-3CBE4398E9A9} (BugsGameStarts Class) - http://au.bugsgames.net/game/GBugsGameStart.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O20 - AppInit_DLLs: msgplusloader.dll c:\progra~1\google\google~1\goec62~1.dll chkdsk.dll  
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe  
 
___________________________________________________________________________________
 
Ton PC est un serveur Web ?
 
O23 - Service: wampapache - Unknown owner - c:\wamp\apache\Apache.exe" --ntservice (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe  
 
si tu n'as pas installé wamp fix ces lignes
 
____________________________________________________________________________________
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{915F04A4-A72B-45A0-B71A-A6FEFCB7C947}: NameServer = 192.168.254.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{915F04A4-A72B-45A0-B71A-A6FEFCB7C947}: NameServer = 192.168.254.254
 
C'est le domaine de ton entreprise/réseau domestique ? C'est une adresse de réseau local donc je pense que c'est légitime. ne la fixe pas
 
_____________________________________________________________________________________
 
Supprime tes fichiers internet temporaire et vides les dossiers temporaires (utilises ccleaner), vides le dossier prefetch (il contien des copies des derniers progs utilisés), supprime tout le contenu du dossier c:\windows\temp qui a tendance a etre oublié par ccleaner, supprime aussi le contenu du dossier c:\document and settings\tonom\local settings\temp. Effectue aussi une correction du registre avec CCleaner, reclique sur "rechercher les erreurs" jusqu'à ce qu'il n'en trouve plus, en corrigeant à chaque fois toutes les erreurs détectées.
 
Bonne chance ;)


Message édité par med365 le 14-06-2006 à 20:33:21
Reply

Marsh Posté le 14-06-2006 à 21:28:14    

Après nettoyage, faudra penser à upgrader en SP2.

Reply

Marsh Posté le 14-06-2006 à 21:38:13    

Ouah merci pour tous ces conseils je testerai demain!
 
Oui en effet j'ai installé wamp sur mon pc pour un serveur local de test.

Reply

Marsh Posté le 14-06-2006 à 21:47:13    

bonjour a tous,
 
désole de l'intrusion mais:
 

Citation :

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx  
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"  
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"  
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"  
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ [...] 1.1.74.cab  
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {AA33C66F-71DB-43E9-B559-3CBE4398E9A9} (BugsGameStarts Class) - http://au.bugsgames.net/game/GBugsGameStart.cab  
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab  
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O20 - AppInit_DLLs: msgplusloader.dll c:\progra~1\google\google~1\goec62~1.dll chkdsk.dll  
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe  
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe  


 
ces lignes si dessus ne sont pas a fixer, les 04 concerne l'antivirus.
les 016 pour la plupart elles concernent MSN
la 020 elle concerne MessengerPlus
les 023 concernent l'antivirus et le firewall.
 
Il manque des lignes a fixer, de plus il est infecté par une bestiole qui est dans la lignée de
smitfraud, donc faudra utiliser smitfraudfix de plus il possede deux antivirus..etc
 
Faeddil, attend la reponse d'anthony#10  :hello: avant de faire quoi que se soit.
 
med365, en esperant que tu ne le prennens pas mal, ce n'est pas contre toi.
 
@+

Message cité 1 fois
Message édité par the bruce lee le 14-06-2006 à 21:48:36
Reply

Marsh Posté le 15-06-2006 à 11:59:31    

Bonjour a tous.
 
1/Télécharger SmitfraudFix (de S!Ri, balltrap34 et moel31) : http://siri.urz.free.fr/Fix/SmitfraudFix.zip
 
2/ Dézipper la totalité de l'archive sur ton bureau.
 
3/ Déconnecte toi du net.
 
4/ Double cliquer sur smitfraudfix.cmd
 
5/ Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
 
6/ Sauvegarde le rapport.
 
7/ Démarre en Mode sans Echec : http://www.sosordi.net/Faq/Faq.2.html
 
8/* Double cliquer sur smitfraudfix.cmd
 
* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.
 
* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)
 
9/ Sauvegarde le rapport puis colle le dans ta prochaine reponse.
 
 
 
 
PS : Message a l'egard de med365, quand je commence un travail, j'aime bien le finir.
 
Salut Bruce.


Message édité par Anthony10 le 15-06-2006 à 12:00:22
Reply

Marsh Posté le 15-06-2006 à 17:50:06    

the bruce lee a écrit :

bonjour a tous,
 
désole de l'intrusion mais:
 

Citation :

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx  
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"  
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"  
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"  
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ [...] 1.1.74.cab  
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O16 - DPF: {AA33C66F-71DB-43E9-B559-3CBE4398E9A9} (BugsGameStarts Class) - http://au.bugsgames.net/game/GBugsGameStart.cab  
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab  
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b31267.cab  
O20 - AppInit_DLLs: msgplusloader.dll c:\progra~1\google\google~1\goec62~1.dll chkdsk.dll  
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe  
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe  


 
ces lignes si dessus ne sont pas a fixer, les 04 concerne l'antivirus.
les 016 pour la plupart elles concernent MSN
la 020 elle concerne MessengerPlus
les 023 concernent l'antivirus et le firewall.
 
Il manque des lignes a fixer, de plus il est infecté par une bestiole qui est dans la lignée de
smitfraud, donc faudra utiliser smitfraudfix de plus il possede deux antivirus..etc
 
Faeddil, attend la reponse d'anthony#10  :hello: avant de faire quoi que se soit.
 
med365, en esperant que tu ne le prennens pas mal, ce n'est pas contre toi.
 
@+


 
 
Non il n'y a pas de problème, je vais juste éclairecir un peu les choses
 
Pour les 016, ce sont des objets ActivX, les supprimer fera la même chose que de vider le cache d'IE, les supprimer ne changera rien.  
 
La 020 => tu as raison, la il ne faudrait meiux pas la fixer, le seul truc qui m'intrigue est ce "chkdsk.dll", alors Faeddil, éssai de voir si le sponsor de messenger plus n'est pas installé, c'est un spy (lop, swizzor ou je ne sai quelle bestiole).
 
04 et 023 antivirus ==> Trend Micro 2002 :sweat:, je pense que comme il a Avast ce sont des traces d'une désinstallation icomplète, si tu as gardé le parfeux de TM 2002 franchement je te conseil de le virer et de mettre kerio à la place :D
 
la 03 ==> Je ne sais pas trop en fait, peut etre une conséquence du sponsor de Messenger plus si installé, passe smitfraudfix et voi pour le sponsor, si elle y est encore, ne fixe pas.  
 
De toutes facon il y a toujours une backup des clés virées en cas d'erreur
 
Voila, merci the bruce lee ;)

Reply

Marsh Posté le 15-06-2006 à 17:50:06   

Reply

Marsh Posté le 15-06-2006 à 18:31:31    

bonjour,
 

Citation :

Pour les 016, ce sont des objets ActivX, les supprimer fera la même chose que de vider le cache d'IE, les supprimer ne changera rien.  


 
Ah bon? et si tu fais supprimer par exemple cet activeX un jour (pas dans le log):
 
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
 
 
et que la personne n'a pas l'ADSL je doute qu'il soit content de se retaper les 8 Mo de maj a  
retelecharger.....
 
 

Citation :

La 020 => tu as raison, la il ne faudrait meiux pas la fixer, le seul truc qui m'intrigue est ce "chkdsk.dll", alors Faeddil, éssai de voir si le sponsor de messenger plus n'est pas installé, c'est un spy (lop, swizzor ou je ne sai quelle bestiole).  


 
Si lop etait present on l'aurait vu en ligne 02 et 04  (c'est rare quand il n'est pas present
dans un log).
 

Citation :

04 et 023 antivirus ==> Trend Micro 2002 , je pense que comme il a Avast ce sont des traces d'une désinstallation icomplète, si tu as gardé le parfeux de TM 2002 franchement je te conseil de le virer et de mettre kerio à la place  


 
Pourquoi ne pas passer par ajouts/suppressions de programmes alors?
 

Citation :

la 03 ==> Je ne sais pas trop en fait, peut etre une conséquence du sponsor de Messenger plus si installé, passe smitfraudfix et voi pour le sponsor, si elle y est encore, ne fixe pas.  
 


 
la ligne 03 correspond a Bar Radio de Internet Explorer donc a ne pas toucher
 
@+  
 
 
 

Reply

Marsh Posté le 15-06-2006 à 20:01:46    

OK pour la 03, je suis d'accord avec toi pour Ajout/Supression des programmes mais je parlais ici de traces potentielles de désisntallation incomplète. Lop est en effet visible la plus part du temps dans un log hijack, ce qui m'a troublé c'est simplement que le fichier concerné est intitulé chkdsk.dll et pouf il apparait dans le log... Et MessengerPlus! est connu pour installer un spy comme "sponsor".
 
Bon rien ne sert de débatre pendant 3h sur quelle ligne est à cocher ou pas, on verra bien avec l'avancement de l'histoire ;)

Reply

Marsh Posté le 15-06-2006 à 20:08:10    

re,
 

Citation :

Bon rien ne sert de débatre pendant 3h sur quelle ligne est à cocher ou pas, on verra bien avec l'avancement de l'histoire


 
Tout a fait d'accord

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed