trojan, spyware, virus ? rapport hijack this

[maxo]

Il ne se passe rien quand je clique là-dessus !!!

[Jack_Burton]

Il ne se passe rien quand je clique là-dessus !!!

Oui je viens de remarquer. Ca marche pas chez moi non plus

Bon, passons par un autre antivirus en ligne :

 

http://www.pandasoftware.fr/Activescan/Activescan.html

PS : le bon lien pour le scan en ligne de Kapersky était celui-ci :

http://webscanner.kaspersky.fr/

[maxo]

ok lol !

 

Voilà le rapport de panda software :

 

 

Incident Statut Analyse

 

Virus:Trj/Downloader.CKQ Désinfecté C:\argc.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Bureau\SmitfraudFix\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Bureau\SmitfraudFix.zip[smitfraudFix/Process.exe]

Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Cookies\admin@com[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Cookies\admin@xiti[1].txt

Spyware:Cookie/66.246.209 No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Local Settings\Temp\Cookies\admin@66.246.209[1].txt

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Local Settings\Temp\Cookies\admin@adultfriendfinder[2].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Local Settings\Temp\Cookies\admin@fe.lea.lycos[1].txt

Spyware:Cookie/Rn11 No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Local Settings\Temp\Cookies\admin@rn11[2].txt

Spyware:Cookie/WebPower No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Local Settings\Temp\Cookies\admin@webpower[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\admin.ADMIN-GDNE2X6I1\Local Settings\Temp\Cookies\admin@xiti[1].txt

 

 

et le dernier log hijack this !

 

Logfile of HijackThis v1.99.1

Scan saved at 23:03:03, on 04/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fft.fr/

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154717268671

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8220F778-B6E4-4535-ACB9-158DF2104CE0}: NameServer = 85.255.114.92 85.255.112.112

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[Jack_Burton]

Bonjour,

 

La ligne infectueuse 017 est revenue.

Tu vas repasser FixWareout.

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

 

< O17 - HKLM\System\CCS\Services\Tcpip\..\{8220F778-B6E4-4535-ACB9-158DF2104CE0}: NameServer = 85.255.114.92 85.255.112.112>

 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

 

PS : Installes un parfeu, c'est important. Je te conseille Kerio. Dans les "consignes de sécurité" tu le trouveras avec un tuto pour bien le configurer.

Modifié le 5 août 2006 par Jack_Burton

[maxo]

Merci pour tous tes conseils !

Je n'ai pas eu besoin de cocher < O17 - HKLM\System\CCS\Services\Tcpip\..\{8220F778-B6E4-4535-ACB9-158DF2104CE0}: NameServer = 85.255.114.92 85.255.112.112>

car la ligne avait déja disparue, peut-être avec le fix ware out...

 

Voici le log fix ware out, puis le log hijack this :

 

 

Fixwareout ver 1.003

Last edited 07/1/2006

Post this report in the forums please

 

Reg Entries that were deleted

...

 

Microsoft ® Windows Script Host Version 5.6

Random Runs removed from HKLM

...

 

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Example ipsec6.exe is legitimate

 

»»»»» Search by size and names...

 

»»»»» Misc files

 

»»»»» Checking for older varients covered by the Rem3 tool

 

»»»»»

Search five digit cs, dm and jb files

This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects

Directory of C:\WINDOWS\system32

{9BEC52FE-2C8E-42C4-94B3-D8AA541F6F48}.exe

{78D946C2-12FB-4C98-9700-4AAB9CAB0321}.exe

{F7D089D7-4837-4719-969B-7EB9EE481DA3}.exe

{5BBC88BD-FAFF-4F92-A7B0-99A90CB06B35}.exe

 

 

 

-------------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 10:51:46, on 05/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154717268671

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[Jack_Burton]

Re bonjour,

 

C'est bien, le rapport est propre. Je vois également que tu as installé Kerio. Parfait!

As tu toujours des dysfonctionnements?

[maxo]

et j'ai installé kerio !

 

 

Oui, maintenant j'ai mon fond d'écran qui est bleu et l'image d'arrière plan de mon bureau n'est pas pris en compte, mon bureau reste bleu !!!

[Jack_Burton]

Essaye cela :

 

-clic droit sur le bureau et sélectionner Propriétés

- Propriétés de l'affichage > Personnalisation du bureau > onglet web. Sélectionner la page et supprimer puis décocher verrouiller les éléments du bureau.

-puis rétablis ton fond d'écran

 

Cela fonctionne?

Modifié le 5 août 2006 par Jack_Burton

[maxo]

Non, il n'y avait aucune page, et la case était déjà décochée !!!

[Jack_Burton]

Il doit donc rester des saletés dans la base de registre ce qui empeche le changement du fond d'écran.

 

Voila ce que tu vas faire :

 

1/ Rélécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

2/ Télécharge et installe Spybot Search and Destroy 1.4, mets le à jour puis scanne ton systeme avec celui-ci

(tuto pour Spybot ici)

Modifié le 5 août 2006 par Jack_Burton