Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Gros problèmes de virus

san33

Par san33
dans Analyses et éradication malwares

 Partager

Messages recommandés

san33 Junior Member

san33

Posté(e)
Posté(e)

Bonjour à tous,

 

J'ai un gros problème de virus. Antivir avait détecté w32/virut.A. Mais j'ai l'impression que je dois en avoir d'autres.

 

Je ne peux démarrer mon ordi qu'en mode sans echec, car en mode normal, mon ordi se bloque. Je ne peux plus avoir accès dossier du panneau de configuration et je ne peux pas afficher les fichiers et dossiers cachés

 

La dll Rundll32.exe ne fonctionne plus et je ne peux pas lancer un disque de restauration windows car mon lecteur de CD ne semble pas fonctionner.

 

HEEELLLPPP. Je vous remercie pour votre précieuse aide !!! Je désespère.

 

Je met en copie ici, le rapport Hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:06:43, on 15/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinAce\WinAce.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Documents and Settings\SANDRINE\Local Settings\Temp\HijackThis.exe

C:\WINDOWS\System32\svchost.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Microsoft Update] dlld.exe

O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\Run: [Realtek Sound Manager] yhsjfvt.exe

O4 - HKLM\..\Run: [WinFix service] ebgqvvmd.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\exo32.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e30.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e30.exe

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\RunServices: [Microsoft Update] dlld.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\RunServices: [Realtek Sound Manager] yhsjfvt.exe

O4 - HKLM\..\RunServices: [WinFix service] ebgqvvmd.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: officejet 6100.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U0FORFJJTkUgQ0hBU1NBR05F\command.exe

O23 - Service: Microsoft information dll service (msidll) - Unknown owner - C:\WINDOWS\system\msidll.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe

O23 - Service: sysec(sysec) (sysec) - Unknown owner - C:\WINDOWS\system32\systsec.exe (file missing)

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

bibi26 Full Patch Member

bibi26

Posté(e)
Posté(e) (modifié)

Bonjour et bienvenue sur zebulon,

 

En effet, tu es infecté, je prépare la procédure :P Réponse dans une dizaine de minutes

 

EDIT : Met hijackthis dans un dossier qui lui est dédié comme C:\Program Files

Modifié par bibi26
bibi26 Full Patch Member

bibi26

Posté(e)
Posté(e) (modifié)

On a beaucoup de travail :P

 

Il te faudra copier ces informations dans un fichier car tu n'auras pas accès à internet pour une grande partie des instructions !

 

Tu m'as dit que tu ne peux aller en mode normal (donc, pas d'internet), tu devras donc télécharger les fichiers suivants et les mettre dans un cd ou une clé usb. Pour ce qui est du panneau de configuration et des fichiers cachés, que veux-tu dire par "je ne peux pas y accéder" ?

 

1-Télécharge Smitfraudfix : http://siri.urz.free.fr/Fix/SmitfraudFix.zip et dézippe-le. Ne l'ouvre pas tout de suite.

 

 

2-Télécharge EasyCleaner : http://personal.inet.fi/business/toniarts/files/EClea2_0.exe , tu n'as qu'à double-cliquer sur l'exécutable et te laisser guider par l'assistant.

 

 

3-En mode sans échec, ouvre Smitfraudfix et appuie sur le chiffre "1" et sur la touche "entrer" de ton clavier. Un rapport va être fait, garde-le, appuie sur le chiffre "2" et sur la touche "entrer". Pendant le nettoyage, Smitfraudfix va te demander si tu veux nettoyer le registre, accepte (en appuyant sur la touche "o"). Un nouveau rapport va être fait. Garde-le.

 

 

4-Ouvre hijackthis, clique sur "do a system scan only" et coche les lignes suivantes (Il se peut que certaines lignes aillent disparues ou qu'un "(file missing)" ait été rajouté à côté de certaines lignes) :

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

 

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

 

O4 - HKLM\..\Run: [Microsoft Update] dlld.exe

O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\Run: [Realtek Sound Manager] yhsjfvt.exe

O4 - HKLM\..\Run: [WinFix service] ebgqvvmd.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\exo32.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e30.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e30.exe

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\RunServices: [Microsoft Update] dlld.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\RunServices: [Realtek Sound Manager] yhsjfvt.exe

O4 - HKLM\..\RunServices: [WinFix service] ebgqvvmd.exe

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U0FORFJJTkUgQ0hBU1NBR05F\command.exe

O23 - Service: Microsoft information dll service (msidll) - Unknown owner - C:\WINDOWS\system\msidll.exe

O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe

O23 - Service: sysec(sysec) (sysec) - Unknown owner - C:\WINDOWS\system32\systsec.exe (file missing)

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

 

Clique sur "Fix Checked" et ferme hijackthis.

 

 

5-Clique sur "Démarrer" et clique sur "Exécuter". Tape "services.msc" (sans les guillemets) et clique sur "OK". Une liste va apparaître, cherche un service qui se nomme "Command Service" et double clique dessus.

 

Si tu regardes bien, tu verras une liste déroulante avec, au-dessus, un texte qui est écrit "Type de démarrage". Clique sur la liste déroulante et sélectionne "Désactivé". Puis, un peu plus bas, il y a 4 boutons, clique sur celui qui dit "Arrêter", clique sur le bouton "OK". Fait de même avec les services suivants :

 

-Microsoft information dll service

-sdktemp

-sysec

-Windows Update Manager

-Win32Sr

 

Après, ferme la fenêtre des services.

 

6-Ouvre hijackthis et clique sur "Open the Misc Tools section" et sur "Delete an NT service…". Une fenêtre va apparaître, copie-colle (pour éviter les fautes de frappes) :

 

cmdService

 

Après, clique sur "OK". Une confirmation te sera demandée, clique sur "Oui". Un autre message va apparaître et te demander si tu veux redémarrer ton ordinateur, réponds "Non". Fait de même avec les services suivants :

 

-msidll

-sdktemp

-sysec

-UpdateManager

-Win32Sr

 

Après, ferme hijackthis.

 

 

7-Normalement, tu devrais pouvoir afficher les fichiers cachés et pouvoir accéder au panneau de configuration. Sinon, fait l'étape 8 et 9, poste une nouvelle réponse avec le rapport AVG Anti-Sypyware, smitfraudfix rapport 1 et 2, un nouveau rapport hijackthis et dit moi que tu n'as pu accéder au fichiers cachés et panneau de configuration.

 

Clique sur le bouton "Démarrer" et clique sur "Poste de travail", regarde un peu en haut, tu vas voir un menu qui s'appelle "Outils", clique dessus, sur "Options des dossiers" et sur l'onglet "Affichage" :

Sélectionne : Afficher les fichiers et dossiers cachés

Décoche : Masquer les extensions des fichiers dont le type est connu

Décoche : Masquer les fichiers protégés du système d'exploitation

Puis clique sur "Ok"

 

Supprime les fichiers suivants (si tu les trouves) :

-C:\exo32.exe

-C:\dfndrff_e30.exe

-C:\kybrdff_e30.exe

-C:\WINDOWS\axdcfasb.exe

-C:\WINDOWS\win32ssr.exe

-C:\WINDOWS\update\updmgr.exe

-C:\WINDOWS\system\msidll.exe

-C:\WINDOWS\web\related.htm

-C:\WINDOWS\System32\explorer.exe

-C:\WINDOWS\System32\iexplore.exe

-C:\WINDOWS\System32\algs.exe

-C:\WINDOWS\system32\systsec.exe

-C:\WINDOWS\System32\lssas.exe

Attention, ne supprime surtout pas lsass.exe, le fichier à supprimer se nomme lssas.exe !!

 

Supprime le dossier suivant (si tu le trouve) :

-C:\WINDOWS\U0FORFJJTkUgQ0hBU1NBR05F

 

Ferme les fenêtres ouvertes et clique sur le bouton "Démarrer" et clique sur le bouton "Rechercher".

Clique sur la case qui dit que tu veux chercher les fichiers et dossiers :P .

En regardant bien, on voit dans la boîte, un menu qui s'appelle "options avancées", clique dessus et sélectionne toutes les cases de ce menu, puis, dans la boîte "Rechercher les fichiers ou les dossiers nommés", copie-colle pour éviter les fautes de frappes :

 

dlld.exe

 

Clique sur "Rechercher". Supprime tout les fichiers trouvés avec la fonction rechercher.

 

Fait de même pour les fichiers suivants :

-winzip.exe (Si tu as winzip, attention à ne pas supprimer le vrai winzip)

-yhsjfvt.exe

-ebgqvvmd.exe

 

 

8-Ouvre AVG Anti-Spyware et clique sur "scanner" et sur "Complete System Scan". L'analyse commence. Après que l'analyse est terminée, clique sur "Recommended action" et sur "Quarantine". Clique sur "Apply all actions", sur "Save Report" et sur "Save report as", sauvegarde le rapport AVG Anti-Spyware. Après, ferme AVG Anti-Spyware.

 

 

9-Ouvre easycleaner, clique sur le bouton "inutiles" et sur le bouton "trouver" et après, quand l'analyse est terminée, clique sur le bouton "Supprimer tout". Après, clique sur "Fermer". Fait de même avec la fonction "registre". Après, retourne sur ton bureau, clique-droit sur la corbeille et sélectionne "Vider la corbeille".

 

 

10-Essai de retourner en mode normal, si tu peux aller en mode normal, dit-le moi, dans le cas contraire, dit-le moi aussi. Poste une nouvelle réponse avec le rapport AVG Anti-Sypyware, smitfraudfix rapport 1 et 2 et un nouveau rapport hijackthis.

Modifié par bibi26
san33 Junior Member

san33

Posté(e)
  • Auteur
Posté(e)

Re bonjour

 

Merci de ta réponse.

 

Je poste ici les deux rapports de smitfraudfix et le rapport hijack this :

 

1er rapport smitfraudfix :

SmitFraudFix v2.109

 

Rapport fait à 17:06:53,31, 15/10/2006

Executé à partir de C:\Documents and Settings\SANDRINE\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

C:\drsmartload?.exe PRESENT !

C:\drsmartload??.exe PRESENT !

C:\drsmartload???.exe PRESENT !

C:\drsmartload????.exe PRESENT !

C:\MTE3NDI6ODoxNg.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\country.exe PRESENT !

C:\WINDOWS\drsmartload2.dat PRESENT !

C:\WINDOWS\keyboard1.dat PRESENT !

C:\WINDOWS\kl1.exe PRESENT !

C:\WINDOWS\newname.dat PRESENT !

C:\WINDOWS\ms1.exe PRESENT !

C:\WINDOWS\teller2.chk PRESENT !

C:\WINDOWS\tool1.exe PRESENT !

C:\WINDOWS\tool2.exe PRESENT !

C:\WINDOWS\tool3.exe PRESENT !

C:\WINDOWS\tool4.exe PRESENT !

C:\WINDOWS\tool5.exe PRESENT !

C:\WINDOWS\toolbar.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\paytime.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SANDRINE

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\SANDRINE\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SANDRINE\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{FD9A3B7A-C50E-430C-B94C-385FFFA1AFFA}"="OLE Object"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{C71F2C0D-E782-4B13-B74A-1034F4549FC5}"="OLE Object"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

2ème rapport smitsfraudfix :

 

SmitFraudFix v2.109

 

Rapport fait à 17:07:47,56, 15/10/2006

Executé à partir de C:\Documents and Settings\SANDRINE\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{FD9A3B7A-C50E-430C-B94C-385FFFA1AFFA}"="OLE Object"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{C71F2C0D-E782-4B13-B74A-1034F4549FC5}"="OLE Object"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\drsmartload?.exe supprimé

C:\MTE3NDI6ODoxNg.exe supprimé

C:\WINDOWS\country.exe supprimé

C:\WINDOWS\drsmartload2.dat supprimé

C:\WINDOWS\keyboard1.dat supprimé

C:\WINDOWS\kl1.exe supprimé

C:\WINDOWS\ms1.exe supprimé

C:\WINDOWS\newname.dat supprimé

C:\WINDOWS\teller2.chk supprimé

C:\WINDOWS\tool1.exe supprimé

C:\WINDOWS\tool2.exe supprimé

C:\WINDOWS\tool3.exe supprimé

C:\WINDOWS\tool4.exe supprimé

C:\WINDOWS\tool5.exe supprimé

C:\WINDOWS\toolbar.exe supprimé

C:\WINDOWS\system32\paytime.exe supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{FD9A3B7A-C50E-430C-B94C-385FFFA1AFFA}"="OLE Object"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{C71F2C0D-E782-4B13-B74A-1034F4549FC5}"="OLE Object"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Rapport Hijack :

Logfile of HijackThis v1.99.1

Scan saved at 17:39:37, on 15/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\explorer.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\TEMP\VRT7.tmp

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\WinAce\WinAce.exe

C:\Documents and Settings\SANDRINE\Local Settings\Temp\HijackThis.exe

 

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: officejet 6100.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

Par contre j'ai eu un problème à partir du point 6 de ta procédure. Lorque j'ai voulu faire le copier coller de Command Service. La réponse et qu'il n'existe pas. Je ne peux pas par ailleurs avoir accès au panneau affichage à cause de l'absence de Rundll32.exe.

 

Où puis-je trouver AVG ?

 

Je te remercie pour ton aide.

bibi26 Full Patch Member

bibi26

Posté(e)
Posté(e)

Tu ne l'as pas ? Pourtant sur le rapport, c'est indiqué que oui.

 

Enfin bon : Télécharge AVG Anti-Spyware qui est un excellent anti-spywares/anti-trojans qui permettera d'éliminer une partie de l'infection : http://download.ewido.net/ewido-setup.exe. Installe le logiciel en double-cliquant dessus et laisse toi guider par l'assistant. Après l'installation, si AVG Anti-Spyware ne c'est pas ouvert automatiquement, ouvre-le et clique sur "Shield". Tu verras qu'il est écrit "Resident shield is... active". Clique sur "active" pour désactiver le bouclier résident qui est inutile. Clique sur "Update", décoche la case "Download and install updates automatically" et clique sur "Start update". Attends que la mise à jour soit terminée et ferme AVG Anti-Spyware.

 

J'ai un peu modifié l'étape 6, relit l'étape :P Si tu peux avoir accès aux fichiers cachés, supprime les fichers et dossiers demandés. Mis à part le panneau de configuration, arrives-tu à aller en mode normal ?

 

N'oublies pas que quasiment toutes les étapes se font en mode sans échec.

san33 Junior Member

san33

Posté(e)
  • Auteur
Posté(e)

Re bonjour,

 

J'ai utilisé ewido et ad-aware. J'ai l'impression que pas mal de saletés ont été virées. Par contre il faut que je trouve et que je réinstalle la rundll32 car sinon je ne peux toujours pas afficher les dossiers cachés.

 

Penses tu qu'il puisse y a une amélioration, par rapport aux autres rapports de Hijack ?

 

Par ailleurs si je reconfigure windows avec le CD, est-ce que ça peut régler ce problème de virus ?

 

Bonne soirée et bonne nuit.

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:13:25, on 15/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Network Monitor\netmon.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\cmd.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\System32\explorer.exe

C:\Program Files\??sembly\w?nspool.exe

C:\PROGRA~1\Magentic\bin\MgApp.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

C:\Documents and Settings\SANDRINE\Bureau\hijackthis\HijackThis.exe

 

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: UserInit=userinit.exe

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\Run: [bojknp] C:\Program Files\??sembly\w?nspool.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: officejet 6100.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O20 - AppInit_DLLs: dxclib303562752.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

bibi26 Full Patch Member

bibi26

Posté(e)
Posté(e) (modifié)

Oui et non, oui il y a beaucoups de choses qui ont disparus... et d'autres qui sont apparus -_-

 

Pourrais-tu montrer le rapport ewido avant qu'on continue ?

Modifié par bibi26
san33 Junior Member

san33

Posté(e)
  • Auteur
Posté(e)

Re bonjour,

 

je rajoute le rapport smitfraufix :

 

SmitFraudFix v2.109

 

Rapport fait à 21:25:04,09, 15/10/2006

Executé à partir de C:\Documents and Settings\SANDRINE\Bureau\SmitfraudFix(2)\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{FD9A3B7A-C50E-430C-B94C-385FFFA1AFFA}"="OLE Object"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{C71F2C0D-E782-4B13-B74A-1034F4549FC5}"="OLE Object"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\drsmartload?.exe supprimé

C:\MTE3NDI6ODoxNg.exe supprimé

C:\WINDOWS\drsmartload2.dat supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{FD9A3B7A-C50E-430C-B94C-385FFFA1AFFA}"="OLE Object"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{C71F2C0D-E782-4B13-B74A-1034F4549FC5}"="OLE Object"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

Bonne nuit.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...