Analyse rapport HijackThis

clems0784 · le 28 décembre 2005

Voilà g suivi vos conseils et voilà le rapport :

Logfile of HijackThis v1.99.1

Scan saved at 19:38:13, on 28/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-internet.fr/navig/lanceur/item9.phtml

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\pmnnl.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O20 - Winlogon Notify: pmnnl - C:\WINDOWS\System32\pmnnl.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: kasjduijeuusdfs (dllhost32) - Unknown owner - C:\WINDOWS\System32\scvhost32dll.exe

O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE

O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)

O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE

O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing)

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

Que dois-je faire à présent ?

Thanos · le 28 décembre 2005

salut clems0784

Ton pc est bien infecté,ce qui n'est pas étonnant:Windows n'est pas du tout à jour et tres vulnérable!Une fois ton pc désinfecté,je te conseille vivement de le mettre à jour via Windows Update.

Je jette un oeil sur ton rapport et te dit quoi faire.

clems0784 · le 28 décembre 2005

Merci beaucoup, j'atten donc tes conseils!!

Thanos · le 28 décembre 2005

On va commencer par s'occuper de Vundo:

mprime ces instructions, ou colle les dans un fichier texte (pour lecture en mode Sans Échec).

Télécharge VundoFix (par Atribune) de ce lien, et sauvegarde le sur ton Bureau :

http://www.atribune.org/downloads/VundoFix.exe

Double-clique VundoFix.exe afin d'en extraire les fichiers.

Ceci va créer un nouveau dossier VundoFix sur ton Bureau.

Redémarre en mode Sans Échec : tapote la touche F8 au démarrage, puis choisis "Mode Sans Échec" à partir de l'écran d'options (utilisant les flèches du clavier) et valide avec "Entrée". Choisis ton compte utilisateur usuel, et non "Administrateur".

Ouvre le dossier VundoFix et double-clique sur KillVundo.bat

Tu verras cet avertissement :

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk

Press enter to continue....

Appuie sur "Entrée" une fois.

Tu verras ceci :

Please Type in the filepath as instructed by the forum staff
and then press enter:

À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous :

C:\WINDOWS\System32\pmnnl.dll

Appuie sur Entrée pour la suite.

Tu verras ceci :

Please type in the second filepath as instructed by the forum
staff then press enter:

À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous:

C:\WINDOWS\System32\lnnmp.*

Appuie sur Entrée pour la suite.

L'outil va faire son travail, puis HijackThis! devrait se lancer; s'il ne se lance pas automatiquement, prière de le lancer. Clique sur "Do a system scan only".

Coche ces lignes (possible que la ligne O2 n'y soit plus), puis clique FIX CHECKED:

<O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\pmnnl.dll>

<O20 - Winlogon Notify: pmnnl - C:\WINDOWS\System32\pmnnl.dll>

<O23 - Service: kasjduijeuusdfs (dllhost32) - Unknown owner - C:\WINDOWS\System32\scvhost32dll.exe>

<O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing)>

<O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

>

<O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)>

Ferme HijackThis!.

Appuie sur "Entrée" pour fermer le programme, puis redémarre ton PC.

Lorsque redémarré, continue avec les instructions qui suivent :

Télécharge Cleanup40 de ce lien, et sauvegarde le sur ton Bureau :

http://www.stevengould.org/downloads/cleanup/CleanUp40.exe

Lance Cleanup! en double-cliquant sur le fichier téléchargé.

Sélectionne:

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

Clique sur le bouton CleanUp! pour lancer le programme.

S'il te demande de redémarrer, clique NO.

Fais un ActiveScan en ligne chez Panda ici :

http://www.pandasoftware.com/products/activescan.htm

Tu dois utiliser Internet Explorer pour faire ce scan; on te demandera d'installer un contrôle ActiveX; Accepte.

Coche "My Computer" pour le scan

Lorsque terminé, clique "See report", puis "Save report"; sauvegarde le rapport.

Copie/colle le rapport de Panda dans ta prochaine réponse, et poste un nouveau rapport HijackThis! ainsi que le rapport de VundoFix situé dans le dossier Vundofix (vundofix.txt).

clems0784 · le 28 décembre 2005

Voila le scan de Panda :

Incident Status Location

Virus:Trj/Eiro.P Not desinfected C:\sbd789.exe[systemboot.exe]

Virus:Trj/Pintxatore.C Not desinfected C:\sbd789.exe[dez.exe]

Hacktool:HackTool/DiskInfo.A Not desinfected C:\WINDOWS\system32\dllcache\DISKINFO.EXE

Virus:W32/Sdbot.ftp Disinfected C:\WINDOWS\system32\i

Virus:Bck/Obot.B Disinfected C:\WINDOWS\system32\pmkhh.dll

Virus:Bck/Obot.B Disinfected C:\WINDOWS\system32\pmnnk.dll

Virus:Bck/Obot.B Disinfected C:\WINDOWS\system32\vtuts.dll

Le scan de Vundofix :

VundoFix V2.15 by Atri

--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.

--------------------------------------------------------------------------------------

killvundo.bat

process.exe

ReadMe.txt

vundo.reg

vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered

--------------------------------------------------------------------------------------

The filepath entered was C:\WINDOWS\System32\pmnnl.dll

The second filepath entered was C:\WINDOWS\System32\Innmp.*

--------------------------------------------------------------------------------------

Log from Process

--------------------------------------------------------------------------------------

Killing PID 152 'smss.exe'

Killing PID 716 'explorer.exe'

Killing PID 228 'winlogon.exe'

--------------------------------------------------------------------------------------

C:\WINDOWS\System32\pmnnl.dll Deleted sucessfully.

C:\WINDOWS\System32\Innmp.* Deleted sucessfully.

Fixing Registry

--------------------------------------------------------------------------------------

Et enfin le scan de HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 21:57:41, on 28/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\scvhost32dll.exe

c:\windows\system32\dllcache\runbatch.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-internet.fr/navig/lanceur/item9.phtml

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\pmnnl.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunOnce: [Panda_cleaner_124925] C:\WINDOWS\System32\ActiveScan\pavdr.exe 124925

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F73FA331-470B-4619-98DA-6D6AD2ED2237}: NameServer = 194.117.200.10 194.117.200.15

O20 - Winlogon Notify: pmnnl - C:\WINDOWS\System32\pmnnl.dll (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: kasjduijeuusdfs (dllhost32) - Unknown owner - C:\WINDOWS\System32\scvhost32dll.exe

O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)

O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)

O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)

O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing)

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

Que dois-je faire maintenant ?

Thanos · le 29 décembre 2005

Vundo a disparu!On continue la désinfection .

-Télécharger la version d'essai d'Ewido=>ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

-TéléchargeEasyCleaner(installe le dans son dossier)

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Assure toi d'avoir accès à tous les fichiers.

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Démarre Hijackthis=>Open Misc Tools Section=>Delete an NT Service et copie colle exactement

le nom suivant dans la fenêtre qui vient de s'ouvrir et clique sur "OK":

dllhost32

Recommence avec les noms suivants:

ServiceHost

scvhost

pxlmdl

Puis tu cliques sur "Back" , puis "Scan"et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\pmnnl.dll (file missing)

O20 - Winlogon Notify: pmnnl - C:\WINDOWS\System32\pmnnl.dll (file missing)

O23 - Service: kasjduijeuusdfs (dllhost32) - Unknown owner - C:\WINDOWS\System32\scvhost32dll.exe

O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)

O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing)

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

-Clique sur "Fix Checked"[/b]

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

-C:\WINDOWS\System32\scvhost32dll.exe=>le fichier

-C:\sbd789.exe=>le fichier

-C:\WINDOWS\system32\dllcache\DISKINFO.EXE=>le fichier

Les fichiers suivants doivent avoir disparu,assure t'en:

-C:\WINDOWS\nvidcgui.exe=>le fichier

-C:\WINDOWS\shost.exe=>le fichier

-C:\WINDOWS\System32\svchost32.exe=>le fichier

-Vide la corbeille.

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

-Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification+le rapport d'Ewido

clems0784 · le 29 décembre 2005

Bonjour,

J'ai effectué les manip que vous m'avez conseillé de faire et voilà les résultats :

Rapport HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 18:35:45, on 29/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-internet.fr/navig/lanceur/item9.phtml

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: cyberz mansor (mansor) - Unknown owner - C:\WINDOWS\mansor.exe (file missing)

O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)

O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)

O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing)

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

Rapport Ewido :

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 18:32:56, 29/12/2005

+ Somme de contrôle: 1441314C

+ Résultats du scan:

C:\Documents and Settings\Mag\Cookies\mag@adtech[1].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@estat[2].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@fl01.ct2.comclick[1].txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Mag\Cookies\mag@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\UWAS5_0001_N57M0812NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\mansor.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder

C:\WINDOWS\system32\rmeljk.exe -> Backdoor.Agent.po : Nettoyer et sauvegarder

::Fin du rapport

Je vous remercie du temps que vous passer pour me porter conseils, je ne sais pas si mon pc est encore infecté si c le cas j'attens vos consils suivants!!

Jack_Burton · le 29 décembre 2005

Bonsoir clems0784 & Charly

Ton rapport montre encore des infections!

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

4/ Dans le menu Demarrer>Executer >tape: Services.msc

Recherche les services avec cette orthographe exacte:

-cyberz mansor (mansor)

-PixelModule (pxlmdl)

-ms svc host (scvhost)

-Service Hosts (ServiceHost)

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-internet.fr/navig/lanceur/item9.phtml

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: cyberz mansor (mansor) - Unknown owner - C:\WINDOWS\mansor.exe (file missing)

O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)

O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing)

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)<--- ces lignes ne devraient plus apparaitre du fait que l on a stoppé ces services

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

-C:\WINDOWS\mansor.exe

-C:\WINDOWS\nvidcgui.exe

-C:\WINDOWS\System32\svchost32.exe

-C:\WINDOWS\shost.exe

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Je ne vois aucun parfeu (firewall) sur ce rapport! Installes en un! C est indispensable pour assurer sa protection!

Tu en trouveras 3 gratuits et performants avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature

Modifié le 29 décembre 2005 par Jack_Burton

clems0784 · le 29 décembre 2005

Ca y est je viens de finir les dernières recommandations que vous m'avez préconisé :

Rapport HijackingThis :

Logfile of HijackThis v1.99.1

Scan saved at 21:14:16, on 29/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe