trojan small jmh et analyse hijackthis (résolu)

[oups92]

Bonjour,

Comme beaucoup je suis victime du TROJAN SMALL JMH détecté par AVAST.

J'ai tenté plusieurs actions mais en vain, je n'arrive pas à m'en défaire.

Pouvez-vous m'aider ?

Merci d'avance.

 

Voici le rapport Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:59, on 18/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\IZArc\IZArc.exe

C:\DOCUME~1\Nicolas\Local Settings\Temp\ARC7\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\tzkdaz.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKCU\..\Run: [steam] C:\Documents and Settings\Nicolas\Bureau\Steam.exe -silent

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

 

--

End of file - 5690 bytes

Modifié le 24 mars 2008 par oups92

[Thanos]

salut et bienvenue oups92

 

1) On va faire analyser un fichier pour commencer >

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier tzkdaz.exe que tu trouveras en allant dans le dossier C:\WINDOWS\System32

 

Tu cliques une fois sur le fichier tzkdaz.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Il est possible que ce fichier soit caché et que tu ne le vois pas : si c'est le cas, fais au préalable >

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

2) Télécharge Deckard's System Scanner (DSS) sur ton bureau.

Tu dois possèder les droits administrateurs pour le lancer.

• Ferme toutes les applications en cours (fenêtres internet etc...)
  
• Double-clique sur dss.exe pour lancer le programme.
  
• DSS va afficher un message et te proposer d'installer Hijackthis: clique sur OUI.
  
• Un nouveau message va te demander de t'assurer que ton pare-feu (si tu en as un) accepte bien la connexion de DSS.exe à internet: clique sur OK et donne lui l'accès si tu reçois une alerte de ton pare-feu.
  
• Lorsque le scan est terminé, deux fichiers texte vont s'ouvrir.
  
• Poste le contenu du rapport nommé main.txt
  
• Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner
  

Que fait DSS ? >

• Il créé un point de restauration pour Windows Xp et Vista.
  
• Il nettoie les fichiers temporaires, le contenu du dossier Downloaded Program Files, le cache internet,et vide aussi la corbeille sur tous les lecteurs.
  
• Il contrôle quelques points névralgiques du système et produit un rapport à soumettre à un analyste.
  
• DSS lance automatiquement HijackThis,si tu ne possèdes pas ce programme, il va l'installer et créer un raccourci sur le bureau.
  

@++

[oups92]

Bonjour Thanos,

 

Merci pour ton aide.

 

J'ai appliqué à la lettre ta procédure, très claire, mais impossible de trouver le fichier "tzkdaz" même en faisant une recherche sur tout le disque.??

 

j'ai continué par dss.exe et voici le rapport main.txt

 

Bon courage pour l'analyse.

 

 

 

Deckard's System Scanner v20071014.68

Run by Nicolas on 2008-03-19 19:30:58

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

 

 

-- HijackThis (run as Nicolas.exe) ---------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:31, on 19/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe

C:\Documents and Settings\Nicolas\Bureau\dss.exe

C:\PROGRA~1\Trend Micro\HijackThis\Nicolas.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\tzkdaz.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKCU\..\Run: [steam] C:\Documents and Settings\Nicolas\Bureau\Steam.exe -silent

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

 

--

End of file - 5951 bytes

 

-- Files created between 2008-02-19 and 2008-03-19 -----------------------------

 

2008-03-19 19:31:09 0 d-------- C:\Program Files\Trend Micro

2008-03-18 22:16:53 0 dr-h----- C:\Documents and Settings\Nicolas\Recent

2008-03-18 22:10:29 9296 --a------ C:\Documents and Settings\Nicolas\jktdgu.exe

2008-03-18 19:40:07 0 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-03-18 19:40:00 0 d-------- C:\Program Files\Fichiers communs\PC Tools

2008-03-18 19:39:54 0 d-------- C:\Program Files\PC Tools AntiVirus

2008-03-17 08:42:27 0 d-------- C:\Program Files\MSXML 6.0

2008-03-17 08:31:59 0 d-------- C:\Program Files\MSXML 4.0

2008-03-16 10:52:46 0 d-------- C:\WINDOWS\system32\PreInstall

2008-03-16 10:52:39 0 d--h----- C:\WINDOWS\$hf_mig$

2008-03-15 17:28:39 0 d-------- C:\WINDOWS\BDOSCAN8

2008-03-15 16:06:19 0 d-------- C:\Documents and Settings\Nicolas\Application Data\Bitdefender

2008-03-15 15:34:24 81984 --a------ C:\WINDOWS\system32\bdod.bin

2008-03-15 15:28:21 0 d-------- C:\Documents and Settings\All Users\Application Data\BitDefender

2008-03-15 14:34:40 0 d-------- C:\WINDOWS\ERUNT

2008-03-14 17:50:59 0 d-------- C:\Program Files\Ashampoo

2008-02-29 23:38:28 675579 --a------ C:\WINDOWS\PROGRAM.exe

2008-02-29 23:37:14 0 d-------- C:\WINDOWS\system32\UpMedia

2008-02-25 13:19:59 0 d-------- C:\Program Files\Enemy Territory

2008-02-24 22:13:36 0 d-------- C:\Documents and Settings\Elodie.MOWGLI\Application Data\Adobe

2008-02-24 21:53:17 0 d-------- C:\Documents and Settings\Nicolas\Application Data\ArcSoft

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-03-19 17:17:39 458230 --a------ C:\WINDOWS\system32\perfh00C.dat

2008-03-19 17:17:39 71248 --a------ C:\WINDOWS\system32\perfc00C.dat

2008-03-18 21:38:13 0 d-------- C:\Program Files\Kazaa Lite Resurrection

2008-03-18 19:40:00 0 d-------- C:\Program Files\Fichiers communs

2008-03-17 23:16:20 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-03-17 23:15:49 0 d-------- C:\Program Files\Navilog1

2008-03-17 23:15:25 0 d-------- C:\Program Files\Lavalys

2008-03-17 23:14:08 0 d-------- C:\Program Files\a-squared Free

2008-03-17 20:44:20 0 d-------- C:\Program Files\LimeWire

2008-03-17 20:30:21 0 d-------- C:\Program Files\eMule

2008-03-17 20:05:41 0 d-------- C:\Documents and Settings\Nicolas\Application Data\LimeWire

2008-03-15 15:15:55 0 d-------- C:\Documents and Settings\Nicolas\Application Data\Google

2008-03-09 00:22:31 0 d-------- C:\Program Files\Dofus

2008-02-25 12:31:14 0 d-------- C:\Documents and Settings\Nicolas\Application Data\teamspeak2

2008-01-28 22:26:53 0 d-------- C:\Documents and Settings\Nicolas\Application Data\Earthsim

2008-01-20 00:29:23 43520 --a----c- C:\WINDOWS\system32\CmdLineExt03.dll

2008-01-02 23:30:01 14932 --a------ C:\WINDOWS\system32\d3d9caps.dat

2007-12-23 00:02:39 1469 --a----c- C:\WINDOWS\mozver.dat

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [25/09/2007 01:11]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [26/04/2002 10:17]

"avast!"="C:\Program Files\Alwil Software\Avast4\ashDisp.exe" [04/12/2007 14:00]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [07/02/2007 19:36]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [05/12/2007 01:41]

"nwiz"="nwiz.exe" [05/12/2007 01:41 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [05/12/2007 01:41]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [30/10/2006 09:36]

"Logitech Utility"="Logi_MwX.Exe" [11/12/2003 10:50 C:\WINDOWS\LOGI_MWX.EXE]

"Flash Media"="" []

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"="C:\Documents and Settings\Nicolas\Bureau\Steam.exe" [24/02/2008 22:31]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [19/01/2007 12:55]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\tzkdaz.exe"

 

 

 

 

-- End of Deckard's System Scanner: finished at 2008-03-19 19:31:51 ------------

[Thanos]

salut

 

Ok pour le fichier! on va continuer comme ceci >

 

1) Télécharge MSNFix.zip (de !aur3n7) sur ton bureau:

 

Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier MSNFix.bat

- Exécute l'option R.

- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

 

Note :

Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

 

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

 

2) Démarre Hijackthis, clique sur "Do a system scan only", et coche les lignes suivantes :

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\tzkdaz.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

3) Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer.

 

Poste les rapports suivants >

 

- le rapport de MSNFix

- le rapport du scan Kaspersky

- lance hijsckthis et refais un scan.

 

@+

[oups92]

Bonjour Thanos,

 

Désolée je n'ai pas encore pu me consacrer aux différents scan faute de temps disponible mais

je m'en occupe et te poste les rapports dès que possible.

 

Bonne journée.

[oups92]

[Thanos]

salut

 

Ok très bien, MSNFix a fait du ménage ! Suis les étpaes ci-dessous stp >

 

1) Rend toi sur cette page > http://upload.changelog.fr/

Dans la case Pseudo met ton pseudo (oups92)

A droite de URL de référence met l'adresse de ton topic > http://forum.zebulon.fr/index.php?showtopic=141156

A droite de Sélectionnez le fichier à envoyer clique sur le bouton Parcourir

Tu vas pouvoir naviguer sur ton disque dur: sélectionne le fichier Upload_Me.zip qui se trouve sur le bureau, puis clique sur Ouvrir.

Clique enfin sur le bouton Envoyer en bas de page pour l'expédier.

C'est important car ca permet de mettre la main sur de nouvelles variantes, et ainsi contribuer à rendre l'outil plus efficace. Ca ne prend que quelques secondes

 

2) Un peu de nettoyage >>

 

Elimine le dossier suivant > C:\WINDOWS\system32\UpMedia

 

Elimine le fichier suivant > C:\Documents and Settings\Nicolas\jktdgu.exe

 

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Double-clique ATF Cleaner afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Si tu utilises le navigateur Firefox :
   
   
  
• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Si tu utilises le navigateur Opera :
   
   
  
• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

3) J'aimerai que tu fasses un dernier scan pour terminer >>

 

Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

• Il faut choisir Full Scan (et pas QuickScan) >
  
• Poste le rapport qu'il t'affichera à la fin.
  
• Note 1: Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast avant de commencer ce scan > tu le réactiveras à la fin après avoir sauvegardé le rapport.
  
• Pour cela, clique sur le bouton "Pause" avant de commencer le scan >
  
• Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
  
• Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .
  

 

courage

Modifié le 21 mars 2008 par Thanos

[oups92]

Bonjour Thanos,

 

Je te donne beaucoup de travail !!!

 

J'ai envoyé le fichier du bureau comme demandé, par contre je ne trouve pas le fichier

 

> C:\Documents and Settings\Nicolas\jktdgu.exe

 

A cet emplacement je n'ai que jktdgu.msnfix . Est ce celui là que je dois éliminer ?

 

J'attends confirmation avant de faire des bétises ! Il y a assez de boulot comme çà pour ne pas en rajouter

 

Merci.

[Thanos]

salut

 

Merci pour l'envoi

par contre je ne trouve pas le fichier

 

> C:\Documents and Settings\Nicolas\jktdgu.exe

 

A cet emplacement je n'ai que jktdgu.msnfix .Est ce celui là que je dois éliminer ?

 

Oui, élimine le fichier.

 

En attente du résultat de scan

[oups92]

Bonsoir Thanos,

 

Là c'est la totale :

pendant le scan de panda (environ 30% effectué), un écran bleu s'est affiché rapportant des erreurs windows. Comme c'était déjà arrivé, pas d'inquiétude je redémarre le PC et j'obtient un écran noir avec un message

"le programme de chargement a eu besoin de dll pour le noyau"

 

J'ai essayé de redémarrer plusieurs fois, mode sans échec, avec le CD XP etc rien à faire c'est idem.

 

Un bon formatage et une réinstallation propre a résolu les problèmes de manière définitive.

 

J'espère que tu ne m'en voudras pas de t'avoir monopoliser du temps pour finir de cette façon.

 

En tout état de cause merci beaucoup pour ton aide, les actions entreprises avaient commencé à nettoyer le système puisque je n'avais plus d'alerte par avast.

 

Bonne continuation.

 

Cordialement.