Virus - Log Hijackthis / Résolu

Marsh Posté le 09-04-2006 à 22:13:58

J'ai le spysheriff.
J'ai fait la méthode habituelle, desactivation restau, hoster, smitfraudfix, redemarrage en sans echec, puis re smitfraudfix. Mais toujours la .

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 22:07:39, on 09/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bitsec.exe
C:\WINDOWS\winpad.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
c:\tool2.exe
c:\Program Files\paytime.exe
c:\dinsp.exe
C:\WINDOWS\System32\win32sprot.exe
C:\WINDOWS\System32\p.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\microsoftp.exe
C:\WINDOWS\System32\win32sprot.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\p.exe
C:\WINDOWS\System32\win32sprot.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Documents and Settings\Bertrand\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00015.exe"
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MS Domain Name Server Deamon] p.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MicrosoftOfficePro] microsoftp.exe
O4 - HKLM\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [BootWarn] C:\Program Files\Norton SystemWorks\Norton AntiVirus\BootWarn.exe /a
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [asdgs] C:\dinsp.exe
O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] p.exe
O4 - HKLM\..\RunServices: [MicrosoftOfficePro] microsoftp.exe
O4 - HKLM\..\RunServices: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] p.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - Startup: BitTorrent.lnk = C:\Program Files\BitTorrent\bittorrent.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Word Process (msproc) - Unknown owner - C:\WINDOWS\winpad.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

Merci de votre aide.

Message édité par titouweb le 14-04-2006 à 23:54:43

Reply

Marsh Posté le 09-04-2006 à 22:13:58

Reply

Marsh Posté le 09-04-2006 à 22:16:10

Message habituel sinon, une ptite croix rouge avec un msg : your computer is infected blabla...

Reply

Marsh Posté le 09-04-2006 à 22:22:43

salut,

télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 (dernière version) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis loption 1, il va lister tous les éléments nuisibles dans un rapport : poste le

Reply

Marsh Posté le 09-04-2006 à 22:31:07

Voici

Citation :

SmitFraudFix v2.28

Rapport fait à 22:30:36,84, 09/04/2006
Executé à partir de C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\country.exe PRESENT !
C:\kl1.exe PRESENT !
C:\ms1.exe PRESENT !
C:\secure32.html PRESENT !
C:\tool1.exe PRESENT !
C:\tool2.exe PRESENT !
C:\tool3.exe PRESENT !
C:\tool4.exe PRESENT !
C:\tool5.exe PRESENT !
C:\toolbar.exe PRESENT !
C:\uniq PRESENT !
C:\winstall.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\paytime.exe PRESENT !
C:\Program Files\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci

Reply

Marsh Posté le 09-04-2006 à 22:46:26

avan=t d'aller plus loin

Vas sur ce site http://virusscan.jotti.org/
Colle dans la case à gauche de parcourir
C:\WINDOWS\system32\bitsec.exe
clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse.
Voilà à quoi doit ressembler ce rapport http://img44.exs.cx/img44/8058/jotti7hl.png

Message cité 1 fois

Reply

Marsh Posté le 09-04-2006 à 22:52:46

C'est un malware.

Après avoir terminé avec smitfraudfix, il faudra dl Ewido et lancer un scan en mode sans échec.

Reply

Marsh Posté le 10-04-2006 à 19:57:22

eZula a écrit :

avan=t d'aller plus loin

Vas sur ce site http://virusscan.jotti.org/
Colle dans la case à gauche de parcourir
C:\WINDOWS\system32\bitsec.exe
clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse.
Voilà à quoi doit ressembler ce rapport http://img44.exs.cx/img44/8058/jotti7hl.png

Le site est completement saturé !

Reply

Marsh Posté le 10-04-2006 à 19:59:38

salut

laisse tomber jotti...

(Mon opinion est qu'Ewido (version d'eval) n'est pas une fatalité....)

---------------------

place HijackThis dans un répertoire C:\HijackThis
voir http://sitethemacs.free.fr/aide_en [...] ackthi.htm

Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924
Tu vas t'en servir tout à l'heure.

1/ Télécharge :

- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

*****Copie ce qui suit dans un bloc-notes et redémarre en mode sans échec*****

2/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00015.exe"
O4 - HKLM\..\Run: [MS Domain Name Server Deamon] p.exe
O4 - HKLM\..\Run: [MicrosoftOfficePro] microsoftp.exe
O4 - HKLM\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [asdgs] C:\dinsp.exe
O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] p.exe
O4 - HKLM\..\RunServices: [MicrosoftOfficePro] microsoftp.exe
O4 - HKLM\..\RunServices: [Windows Security Protocol] win32sprot.exe
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] p.exe
O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

3/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

4/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

c:\dinsp.exe <- le fichier

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00015.exe <- le fichier

C:\WINDOWS\System32\p.exe <- le fichier
C:\WINDOWS\winpad.exe <- le fichier

C:\WINDOWS\System32\win32sprot.exe <- le fichier
C:\WINDOWS\System32\microsoftp.exe <- le fichier
C:\WINDOWS\system32\bitsec.exe <- le fichier

5/ Vide la corbeille.

6/ Lance Ccleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout.

7/ double-clique sur le fichier "SmitfraudFix.cmd" et choisis loption 2, réponds oui à tout et laisse-le procéder.

8/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

9/ poste également le contenu du fichier C:\rapport.txt

Reply

Marsh Posté le 10-04-2006 à 21:32:52

Ca va mieux j'ai l'impression

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 21:28:22, on 10/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\drwtsn64.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Documents and Settings\Bertrand\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00023.exe"
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [BootWarn] C:\Program Files\Norton SystemWorks\Norton AntiVirus\BootWarn.exe /a
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [asdgs] C:\dinsp.exe
O4 - HKLM\..\Run: [drwtsn64] C:\WINDOWS\System32\drwtsn64.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [drwtsn64] C:\WINDOWS\System32\drwtsn64.exe
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] p.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [drwtsn64] C:\WINDOWS\System32\drwtsn64.exe
O4 - Startup: BitTorrent.lnk = C:\Program Files\BitTorrent\bittorrent.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Word Process (msproc) - Unknown owner - C:\WINDOWS\winpad.exe (file missing)
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Citation :

SmitFraudFix v2.28

Rapport fait à 21:30:03,15, 10/04/2006
Executé à partir de C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\bin29a.log PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Reply

Marsh Posté le 10-04-2006 à 21:33:14

Ca suffit vous pensez ?

Reply

Marsh Posté le 10-04-2006 à 21:33:14

Reply

Marsh Posté le 10-04-2006 à 21:53:42

:bounce:

Reply

Marsh Posté le 10-04-2006 à 22:41:25

non non ça ne suffit pas, le log montre toujours des signes d'infection

De plus il y a une nouvelle version du SmitfraudFix

alors voilà la suite :

- supprime le SmitfraudFix et retélécharge-le ici http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le décompresses tu double cliques dessus et tu choisis loption 1
Cela va générer un rapport poste le

- lance le nettoyage avec CCleaner puis poste un rapport Panda

http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

Reply

Marsh Posté le 12-04-2006 à 22:39:11

Rapport de Smitfraudfix :

Citation :

SmitFraudFix v2.29

Rapport fait à 22:36:03,32, 12/04/2006
Executé à partir de C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\amcompat.tlb PRESENT !
C:\WINDOWS\system32\bin29a.log PRESENT !
C:\WINDOWS\system32\nscompat.tlb PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Je relance en sans echec et fait 2

Après je fais cc et panda.

Message édité par titouweb le 12-04-2006 à 22:39:44

Reply

Marsh Posté le 12-04-2006 à 22:43:07

Citation :

SmitFraudFix v2.29

Rapport fait à 22:40:18,53, 12/04/2006
Executé à partir de C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\amcompat.tlb supprimé
C:\WINDOWS\system32\bin29a.log supprimé
C:\WINDOWS\system32\nscompat.tlb supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Je vais faire panda.
Le rapport est bon sinon ?

Sinon au demarrage j'ai un message a la con du style ibm0013.xxx n'a pas été trouvé.

Reply

Marsh Posté le 12-04-2006 à 22:46:06

Rapport avant panda :

Citation :

SmitFraudFix v2.29

Rapport fait à 22:45:03,10, 12/04/2006
Executé à partir de C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\bin29a.log PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Message édité par titouweb le 12-04-2006 à 22:46:38

Reply

Marsh Posté le 12-04-2006 à 22:57:56

slt

ok j'attends le scan panda. Ne t'en fais pas pour le message du fichier manquant au démarrage, c'est normal. On le corrigera

Reply

Marsh Posté le 12-04-2006 à 23:10:15

Ouille !

Citation :

Incident Statut Analyse

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix\SmitfraudFix\Process.exe
Virus:Trj/SmallProxy.S Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3QLFPRES\drwtsn64[1].exe
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3QLFPRES\hpxjio[1].txt
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3QLFPRES\nvdpbdrn[1].htm
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3QLFPRES\qsmqguph[1].txt
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3QLFPRES\qsmqguph[2].txt
Virus:Trj/Torpig.BD Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3QLFPRES\rmuat[1].txt
Virus:Trj/Torpig.BD Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3QLFPRES\rmuat[2].txt
Adware:Adware/Adsmart No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4PARK52N\lawl[1].exe
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4PARK52N\mdlxvplvb[1].htm
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4PARK52N\rolhuka[1].txt
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4PARK52N\rolhuka[2].txt
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4PARK52N\wezlxs[1].txt
Virus:Bck/GuilDNS.A Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\exe1[1].exe
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\gotbwbpi[1].txt
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\jtqlql[1].txt
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\jtqlql[2].txt
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\mdlxvplvb[1].htm
Virus:Trj/Clicker.PG Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\mhpeb[1].txt
Adware:Adware/SpySheriff No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\qcxmwggd[1].txt
Virus:Trj/Downloader.IKI Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\red[1].exe
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\jzwlgupuv[1].txt
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\jzwlgupuv[2].txt
Adware:Adware/Adsmart No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\lewl[1].exe
Outil indésirable:Application/KillApp.A No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\mdlxvplvb[1].htm
Adware:Adware/SpySheriff No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\owrhqnax[1].txt
Adware:Adware/SpySheriff No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\owrhqnax[2].txt
Virus:Trj/Clicker.PG Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\vskcgbgfl[1].txt
Virus:Trj/Clicker.PG Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\vskcgbgfl[2].txt
Virus:Trj/Downloader.IMF Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\ytodaxt[1].txt
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00000109.exe
Virus:Trj/Torpig.BC Désinfecté C:\RECYCLER\NPROTECT\00000111.dll
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00000742.exe
Virus:Trj/Torpig.BC Désinfecté C:\RECYCLER\NPROTECT\00000744.dll
Virus:W32/Sdbot.ftp Désinfecté C:\RECYCLER\NPROTECT\00001254
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00001266.exe
Virus:Trj/Torpig.BC Désinfecté C:\RECYCLER\NPROTECT\00001268.dll
Virus:Trj/Torpig.BC Désinfecté C:\RECYCLER\NPROTECT\00001270.dll
Adware:Adware/SpySheriff No Désinfecté C:\RECYCLER\NPROTECT\00006048.EXE
Virus:Trj/Torpig.BC Désinfecté C:\RECYCLER\NPROTECT\00006072.dll
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00006074.exe
Virus:W32/Sdbot.ftp Désinfecté C:\RECYCLER\NPROTECT\00006077
Adware:Adware/SpySheriff No Désinfecté C:\RECYCLER\NPROTECT\00006302.EXE
Virus:Trj/Torpig.BC Désinfecté C:\RECYCLER\NPROTECT\00006353.dll
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00006355.exe
Virus:W32/Gaobot.MLR.worm Désinfecté C:\RECYCLER\NPROTECT\00006388.exe
Adware:Adware/SpySheriff No Désinfecté C:\RECYCLER\NPROTECT\00006575.EXE
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00007024.exe
Virus:Trj/Torpig.BC Désinfecté C:\RECYCLER\NPROTECT\00007025.dll
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00007072.exe
Virus:Trj/Torpig.AZ Désinfecté C:\RECYCLER\NPROTECT\00008138.dll
Virus:Trj/Torpig.AZ Désinfecté C:\RECYCLER\NPROTECT\00008140.dll
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00008143.exe
Adware:Adware/SpySheriff No Désinfecté C:\RECYCLER\NPROTECT\00008161.exe
Virus:Trj/Torpig.AZ Désinfecté C:\RECYCLER\NPROTECT\00008186.dll
Virus:Trj/Torpig.AZ Désinfecté C:\RECYCLER\NPROTECT\00008188.dll
Adware:Adware/Adsmart No Désinfecté C:\RECYCLER\NPROTECT\00008189.exe
Spyware:Cookie/Falkag No Désinfecté C:\RECYCLER\NPROTECT\00008401.MOZ[]
Spyware:Cookie/Falkag No Désinfecté C:\RECYCLER\NPROTECT\00008408.MOZ[]
Spyware:Cookie/Falkag No Désinfecté C:\RECYCLER\NPROTECT\00008409.MOZ[]
Spyware:Cookie/Falkag No Désinfecté C:\RECYCLER\NPROTECT\00008410.MOZ[]
Spyware:Cookie/Falkag No Désinfecté C:\RECYCLER\NPROTECT\00008411.MOZ[]
Spyware:Cookie/Falkag No Désinfecté C:\RECYCLER\NPROTECT\00008412.MOZ[]
Virus:Trj/SmallProxy.S Désinfecté C:\WINDOWS\system32\drwtsn64.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Reply

Marsh Posté le 12-04-2006 à 23:13:49

Scan ewido en cours

Reply

Marsh Posté le 12-04-2006 à 23:19:32

Rapport Ewido :

Citation :

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 23:18:47, 12/04/2006
+ Somme de contrôle: CE03063D

+ Résultats du scan:

[1552] C:\WINDOWS\System32\vmmon32.exe -> Backdoor.SdBot.aot : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\P4HZDTLL\qcxmwggd[1].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\owrhqnax[1].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q58GNQSD\owrhqnax[2].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00000052.exe -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00000112.exe -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00000113.dll -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00000745.dll -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00000746.exe -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001269.dll -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001271.exe -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001272.dll -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00006048.EXE -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00006067.EXE -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00006073.dll -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00006302.EXE -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00006314.EXE -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00006354.dll -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00006575.EXE -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00006586.EXE -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00007026.dll -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00007073.exe -> Trojan.Sinowal.h : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00007075.EXE -> Trojan.Sinowal.d : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00008146.EXE -> Trojan.Sinowal.d : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00008161.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00008191.EXE -> Trojan.Sinowal.d : Nettoyer et sauvegarder
:mozilla.6:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.19:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
:mozilla.20:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
:mozilla.26:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.27:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.28:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.29:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.36:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.37:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.38:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.39:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.40:C:\RECYCLER\NPROTECT\00008401.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.8:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.20:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
:mozilla.21:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
:mozilla.27:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.28:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.29:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.30:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.37:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.38:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.39:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.40:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.41:C:\RECYCLER\NPROTECT\00008408.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.8:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.20:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
:mozilla.21:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
:mozilla.27:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.28:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.29:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.30:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.37:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.38:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.39:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.40:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.41:C:\RECYCLER\NPROTECT\00008409.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.9:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.21:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
:mozilla.22:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
:mozilla.28:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.29:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.30:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.31:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.38:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.39:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.40:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.41:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.42:C:\RECYCLER\NPROTECT\00008410.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.9:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.21:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
:mozilla.22:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
:mozilla.28:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.29:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.30:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.31:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.38:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.39:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.40:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.41:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.42:C:\RECYCLER\NPROTECT\00008411.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.11:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.23:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
:mozilla.24:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
:mozilla.30:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.31:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.32:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.33:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.40:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.41:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.42:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.43:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.44:C:\RECYCLER\NPROTECT\00008412.MOZ -> TrackingCookie.Falkag : Nettoyer et sauvegarder
C:\WINDOWS\system32\drwtsn64.exe -> Proxy.Small.bo : Nettoyer et sauvegarder

::Fin du rapport

Reply

Marsh Posté le 12-04-2006 à 23:23:05

I veut pas s'en aller lui : SmitFraudFix v2.29

Citation :

Rapport fait à 23:20:21,62, 12/04/2006
Executé à partir de C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\bin29a.log PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Reply

Marsh Posté le 12-04-2006 à 23:25:41

And you delete again

Citation :

SmitFraudFix v2.29

Rapport fait à 23:23:39,85, 12/04/2006
Executé à partir de C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\bin29a.log supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Reply

Marsh Posté le 12-04-2006 à 23:30:43

redémarre et remets un rapport HJT pour voir où ça en est

Reply

Marsh Posté le 12-04-2006 à 23:36:12

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 23:35:00, on 12/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Documents and Settings\Bertrand\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00023.exe"
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [BootWarn] C:\Program Files\Norton SystemWorks\Norton AntiVirus\BootWarn.exe /a
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [asdgs] C:\dinsp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] p.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: E-Compagnon.lnk = C:\Program Files\ColiPoste\e-COMO\e-COMO.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Word Process (msproc) - Unknown owner - C:\WINDOWS\winpad.exe (file missing)
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Reply

Marsh Posté le 12-04-2006 à 23:49:02

Stp, ne mets pas les logs en italique.

1/ Télécharge :

- RKFiles http://skads.org/special/rkfiles.zip
=> dézippe-le sur ton bureau

2/ Redémarre en mode sans échec

3/ Désactive le service suivant :
vas dans démarrer, clique sur "exécuter", tapes :
services.msc
"ok"
Dans la liste des services, cherche et double-clique sur la ligne :
Word Process (msproc)
vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de
"C:\WINDOWS\winpad.exe"
dans "Type de démarrage",
clique sur "désactiver" et règle-le sur "arrêté"
"Appliquer"/"ok"

recommence avec ce service "BitSec(bitsec) (BitSec)" (chemin C:\WINDOWS\system32\bitsec.exe)

4/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00023.exe"
O4 - HKLM\..\Run: [asdgs] C:\dinsp.exe
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] p.exe

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

5/ recherche et supprime ces dossiers ou fichiers, si tu les trouves encore :

C:\WINDOWS\system32\bitsec.exe <- le fichier
C:\dinsp.exe <- le fichier
C:\WINDOWS\winpad.exe <- le fichier
C:\WINDOWS\System32\p.exe <- le fichier
C:\WINDOWS\system32\bin29a.log <- le fichier
C:\WINDOWS\system32\drwtsn64.exe <- le fichier

6/ Vide la corbeille.

7/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

8/ - Double-click sur le fichier RKFiles.bat pour le lancer.
- attends que la fenêtre noire de commande se ferme, sans tenir compte de ce qui est écrit dedans. Ca peut prendre plusieurs minutes.
- le rapport sera sauvé dans le fichier c:\log.txt
- ce rapport, une fois complet, comportera obligatoirement les dernières lignes suivantes :
"finished
bye"
sinon c'est que le scan n'est pas terminé

9/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

10/ Poste le rapport RKFiles

11/ Télécharge le script "Silent Runners"

clic droit> "enregistrer sous" (et non pas clic gauche) sur le lien suivant :
http://www.silentrunners.org/Silent%20Runners.vbs
clique ensuite 2 fois sur "yes"
Laisse lui le temps de faire son analyse. Ne copie pas le log tant que tu n'as pas ce message qui s'affiche

poste le rapport généré qui se trouve dans le meme dossier que Silent Runners...

Si ton antivirus s'affole, autorise ce script. Ou au pire, désactive-le juste le temps du téléchargement et du scan

Reply

Marsh Posté le 14-04-2006 à 20:19:13

C:\Documents and Settings\Bertrand\Bureau

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\SrchSTS.exe: UPX!
C:\WINDOWS\system32\swreg.exe: UPX!
C:\WINDOWS\system32\swsc.exe: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\SrchSTS.exe: UPX!
C:\WINDOWS\system32\swreg.exe: UPX!
C:\WINDOWS\system32\swsc.exe: UPX!
Files Found in all users windows Folder............
------------------------
Finished
bye

Voici.
En attente de la fin de l'autre log

Reply

Marsh Posté le 14-04-2006 à 20:24:23

Pas eu de fenetre comme dans le screenshot. Je poste qd mm le log et je recommence.

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."]
"Zone Labs Client" = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"ccApp" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"SSC_UserPrompt" = ""C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"" ["Symantec Corporation"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "Bertrand" & "All Users" startup folders:
----------------------------------------------------------

C:\Documents and Settings\Bertrand\Menu Démarrer\Programmes\Démarrage
"HotSync Manager" -> shortcut to: "C:\Program Files\Palm\HOTSYNC.EXE" ["Palm, Inc."]

Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Vollständige Systemprüfung ausführen - Bertrand" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /TASK:"C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{C4069E3A-68F1-403E-B40E-20066696354B}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherche"

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.google.fr
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 2 lines

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ewido security suite control, ewido security suite control, "C:\Program Files\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Program Files\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Program Files\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
Norton Protection Center Service, NSCService, ""C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE"" ["Symantec Corporation"]
SPBBCSvc, SPBBCSvc, ""C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, ""C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 197 seconds, including 9 seconds for message boxes)

Reply

Marsh Posté le 14-04-2006 à 20:26:16

Ce que donne SmitFraudFix :

SmitFraudFix v2.29

Rapport fait à 20:03:22,53, 14/04/2006
Executé à partir de C:\Documents and Settings\Bertrand\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bertrand\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Reply

Marsh Posté le 14-04-2006 à 20:33:45

hello,

ça a l'air bon. Tu remets un hijackThis quand même ?

Message cité 1 fois

Reply

Marsh Posté le 14-04-2006 à 21:16:39

eZula a écrit :

hello,

ça a l'air bon. Tu remets un hijackThis quand même ?

Logfile of HijackThis v1.99.1
Scan saved at 20:54:19, on 14/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Bertrand\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci beaucoup ca n'a pas été simple!
A bientot :hello:

Reply

Marsh Posté le 14-04-2006 à 21:27:02

voilà c'est tout bon, tu peux partir tranquille

supprime quand même Silent Runners, RKFiles, SmitFraudFix et remets l'affichage des dossiers par défaut (si tu préfères)

A+

Reply

Marsh Posté le 14-04-2006 à 23:54:23

Oki merci beaucoup de ton aide

Reply

Marsh Posté le

Reply

Virus - Log Hijackthis / Résolu

Sujets relatifs:

Leave a Replay