[résolu]Trojan Win32.Medbot-Am [Trj]

[Starflam]

Bonjour,

 

à la demande d'une personne, je créer un post similaire à "Infecté par Win32.Medbot-Am [Trj]"

 

Je suis sans cesse dérangé par l'antivirus qui m'indique un trojan "Win32.Medbot-Am [Trj]", que j'ai bien entendu essayé de supprimer par le logiciel, ou manuellement, mais il revient tout le temps.

 

Mon antivirus est avast!, j'ai effectué plusieurs scan avec différents antivirus, sans succès.

Je suis sous Windows XP et utilise Firefox ou IE pour naviguer.

 

J'ai fait un scan avec HijackThis, le rapport est collé ci-après.

 

J'ai également téléchargé le FixWareout, que j'ai lancé, et enfin j'ai rebooté.

 

 

-------------

 

Logfile of HijackThis v1.99.1

Scan saved at 21:43:41, on 05/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\ATI-CPanel\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Messenger\Msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\Save\Save.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\spm\spmd.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\xsi\XSI_5.0\Application\bin\raysatxsi5_0server.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\ALCFDRTM.EXE

C:\Program Files\Hamachi\hamachi.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\eon\Bureau\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files\Softimage\Spm\Setup\Help\wwhelp\wwhimpl\common\html\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 213.219.184.83 L2authd.lineage2.com #L2Run connect to 213.219.184.83

O1 - Hosts: 213.219.184.83 L2testauthd.lineage2.com #L2Run connect to 213.219.184.83

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [.nvsvcb] K:\Divx 2\smssb.exe /u

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html

O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html

O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: RaySatxsi5_0 Server (RaySatxsi5_0Server) - Unknown owner - C:\xsi\XSI_5.0\Application\bin\raysatxsi5_0server.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SPM License Server (spmd) - mental images GmbH - C:\WINDOWS\system32\spm\spmd.exe

 

 

-------------

 

Si quelqu'un peut m'aider sur les manip' à faire après le scan,

 

D'avance merci

 

Starflam

Modifié le 10 novembre 2006 par Starflam

[bruce lee]

re Starflam,

 

analyse en cours....

[bruce lee]

re,

 

As tu modifié ton fichier host? (voir ligne 01 du log hijackthis)

 

1/affiche tout les fichiers:

 

  Citation

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

 

2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser smssb.exe qui se trouve ici:

 

K:\Divx 2\smssb.exe

 

et post le resultat.

 

Connais tu le dossier Divx 2?

[Starflam]

Bonjour Bruce Lee

 

Pour ce qui est du fichier smssb.exe se trouvant dans K:\Divx 2\, le fichier n'est apparement pas présent.

j'ai vérifié comme tu me l'as demandé les cases cochées et décochées :

- Cocher la case : Afficher les fichiers et dossiers cachés

- Décocher la case : Masquer les extensions des fichiers dont le type est connu

- Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

Pour ce qui est du dossier K:\Divx2\, c'est moi même qui ai crée ce dossier il y a longtemps, K: étant une partition de mon disque dur.

 

Penses-tu que je doive refaire une analyse Hijackthis et te la coller ici de nouveau ?

Le virus ne s'est pour le moment pas remanifesté.

 

Cordialement,

 

Starflam

[Starflam]

Re,

 

apparement les fichiers "setup.exe" et "autorun.inf" (trojan) sont revenus dans K:\Divx2\ durant l'apres midi.

 

Toujours pas de trace d'un fichier "smssb.exe" ...

 

 

Accessoirement j'ai fait un scan sur le site que tu m'as conseillé (http://virusscan.jotti.org) des 2 fichiers :

- "setup.exe" :

AntiVir Found Trojan/Proxy.Horst.Gen

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found Proxy.24.BU

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

- "autorun.inf" :

Found nothing

Modifié le 8 novembre 2006 par Starflam

[bruce lee]

re,

 

Si durant la procedure ci-dessous, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

VMN Toolbar

Save

 

si ces programmes sont present desinstalle-les.

 

 

4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [.nvsvcb] K:\Divx 2\smssb.exe /u

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

  Citation

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

6/supprime ce qui est en gras:

 

K:\ Divx 2<== tout le dossier

C:\Program Files\ Save<== tout le dossier

C:\Program Files\ VMN Toolbar<== tout le dossier

 

7/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier est infecté détécté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

8/redemarre en mode normal

 

9/poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

[Starflam]

Hello Bruce Lee,

 

J'ai suivi à la lettre tes indications :

 

- 1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

OK

 

- 2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

OK

 

- 3/demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

VMN Toolbar & Save

si ces programmes sont present desinstalle-les.

 

OK

 

-4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

=> absente

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

=> absente

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

=>OK

O4 - HKLM\..\Run: [.nvsvcb] K:\Divx 2\smssb.exe /u

=>OK

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

=> absente

 

- 6/supprimer :

K:\ Divx 2<== tout le dossier

OK

C:\Program Files\ Save<== tout le dossier

OK

C:\Program Files\ VMN Toolbar<== tout le dossier

OK

-------------------------------------------------------------------------------------

 

AVG Anti-Spyware - Rapport d'analyse :

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Aucune action entreprise.

E:\System Volume Information\_restore{3C269CCB-371C-4FA6-998C-271B7706AF23}\RP28\A0005145.EXE -> Backdoor.Ifinst : Aucune action entreprise.

E:\System Volume Information\_restore{3C269CCB-371C-4FA6-998C-271B7706AF23}\RP28\A0005147.EXE -> Backdoor.Ifinst : Aucune action entreprise.

E:\System Volume Information\_restore{3C269CCB-371C-4FA6-998C-271B7706AF23}\RP49\A0008556.exe -> Backdoor.Theef.111 : Aucune action entreprise.

C:\Program Files\amsn\uninstall.exe -> Not-A-Virus.HackTool.Win32.Homac : Aucune action entreprise.

C:\Documents and Settings\eon\Cookies\eon@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.

:mozilla.21:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.

:mozilla.22:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.

:mozilla.23:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.

:mozilla.24:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.

:mozilla.25:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.

C:\Documents and Settings\eon\Cookies\eon@adbrite[2].txt -> TrackingCookie.Adbrite : Aucune action entreprise.

C:\Documents and Settings\eon\Cookies\eon@atdmt[1].txt -> TrackingCookie.Atdmt : Aucune action entreprise.

:mozilla.10:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.18:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.19:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.7:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.8:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.9:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

C:\Documents and Settings\eon\Cookies\eon@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.26:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Masterstats : Aucune action entreprise.

C:\Documents and Settings\eon\Cookies\eon@image.masterstats[1].txt -> TrackingCookie.Masterstats : Aucune action entreprise.

:mozilla.6:C:\Documents and Settings\eon\Application Data\Mozilla\Firefox\Profiles\mbh3v9cy.default\cookies.txt -> TrackingCookie.Mediaplex : Aucune action entreprise.

C:\Documents and Settings\eon\Cookies\eon@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.

C:\Documents and Settings\eon\Cookies\eon@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.

 

Fin du rapport

-------------------------------------------------------------------------------------

Fichiers en quarantaine :

''''''''''''''''''''''''''''''''''''''''''''''

 

 

-------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1 :

'''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Scan saved at 12:35:33, on 09/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Documents and Settings\eon\Bureau\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files\Softimage\Spm\Setup\Help\wwhelp\wwhimpl\common\html\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 213.219.184.83 L2authd.lineage2.com #L2Run connect to 213.219.184.83

O1 - Hosts: 213.219.184.83 L2testauthd.lineage2.com #L2Run connect to 213.219.184.83

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\RunOnce: [vmntoolbar] C:\DOCUME~1\eon\LOCALS~1\Temp\uninstall.exe -df "C:\Program Files\vmntoolbar\"

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html

O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html

O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: RaySatxsi5_0 Server (RaySatxsi5_0Server) - Unknown owner - C:\xsi\XSI_5.0\Application\bin\raysatxsi5_0server.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SPM License Server (spmd) - mental images GmbH - C:\WINDOWS\system32\spm\spmd.exe

-------------------------------------------------------------------------------------

 

Voilà voilà, si quelque chose ne va pas fais le moi savoir

 

Bonne journée

 

Starflam

[bruce lee]

bonjour Starflam,

 

  Citation

Voilà voilà, si quelque chose ne va pas fais le moi savoir

 

Avant d'enlever une ligne nefaste,j'aimerai savoir si tu connais ceci:

 

  Citation

O1 - Hosts: 213.219.184.83 L2authd.lineage2.com #L2Run connect to 213.219.184.83

O1 - Hosts: 213.219.184.83 L2testauthd.lineage2.com #L2Run connect to 213.219.184.83

 

 

Dans la procedure que je t'ai mise, tu as bien detaillé ce que tu as reussi a faire et ce que tu n'as pas reussi, c'est bien (peu de gens le font).

 

@+

[Starflam]

re Bruce Lee,

 

O1 - Hosts: 213.219.184.83 L2authd.lineage2.com #L2Run connect to 213.219.184.83

O1 - Hosts: 213.219.184.83 L2testauthd.lineage2.com #L2Run connect to 213.219.184.83

 

Ces 2 lignes correspondent à un jeu online (Lineage 2) où je me connecte à un serveur français privé.

Cependant, je n'y joue plus depuis un moment. A ce moment là si je dois toucher ces 2 lignes, autant désinstaller le jeu après

 

Pas de quoi pour les explications, j'apprécie beaucoup ton aide

 

Bon après midi,

 

Starflam

 

P.S : Sais-tu à quoi correspondent les 3 Backdoor en quarantaine ? Risque élevé c'est pas bon signe ;-(

Modifié le 9 novembre 2006 par Starflam

[bruce lee]

re,

 

  Citation

P.S : Sais-tu à quoi correspondent les 3 Backdoor en quarantaine ? Risque élevé c'est pas bon signe ;-(

 

Non ce n'etait pas bon signe, mais vu que maintenant ils sont en quarentaine tu n'as plus rien a craindre de ceux la.

 

  Citation

Ces 2 lignes correspondent à un jeu online (Lineage 2) où je me connecte à un serveur français privé.

Cependant, je n'y joue plus depuis un moment. A ce moment là si je dois toucher ces 2 lignes, autant désinstaller le jeu après

 

Si tu ne t'en sers plus, tu peux fixer les deux lignes 01 sinon laisse les.

 

 

demarre en mode sans echec

 

avec hijackthis, coche et fixe ces lignes:

 

O1 - Hosts: 213.219.184.83 L2authd.lineage2.com #L2Run connect to 213.219.184.83

O1 - Hosts: 213.219.184.83 L2testauthd.lineage2.com #L2Run connect to 213.219.184.83

O4 - HKLM\..\RunOnce: [vmntoolbar] C:\DOCUME~1\eon\LOCALS~1\Temp\uninstall.exe -df "C:\Program Files\vmntoolbar\"

 

 

supprime ce qui est en gras:

 

C:\Documents and Settings\eon\Local Settings\Temp\ uninstall.exe<== le fichier

 

 

redemarre en mode normal et poste un nouveau rapport hijackthis.

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

NOTE: le scan est a faire avec Internet Explorer