Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

suis-je infecté?

big tom

Par big tom
dans Analyses et éradication malwares

 Partager

Messages recommandés

big tom Mega Power Member

big tom

Posté(e)
Posté(e)

bonjour,

norton m'envoie des alertes étranges en ce moment. je me demande si je suis pas infecté.

merci de jeter un oeil.

 

Logfile of HijackThis v1.99.1

Scan saved at 15:22:20, on 14/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\ISSVC.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\lycos\Lyc_SysTray.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exe

C:\Program Files\Norton Internet Security\ccEmFlSv.exe

C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\PROGRA~1\Norton Internet Security\Norton AntiVirus\navw32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

 

http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

 

(no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

 

C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -

 

C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program

 

Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7}

 

- C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -

 

C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program

 

Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog

 

Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"

 

-lang 1033

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec

 

Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe

 

/Consumer

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

 

C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O8 - Extra context menu item: E&xporter vers Microsoft Excel -

 

res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

 

C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

 

C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN

 

Messenger\msgrapp.8.0.0812.00.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -

 

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation -

 

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -

 

C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -

 

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation

 

- C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel

 

32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton

 

Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation -

 

C:\PROGRA~1\Symantec\LiveUpdate\LuComServer_3_0.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec

 

Corporation - C:\Program Files\Norton Internet Security\Norton

 

AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

 

C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation -

 

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -

 

C:\PROGRA~1\FICHIE~1\Symantec Shared\Script Blocking\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation

 

- C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program

 

Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Le pc est infecté par un trojan, fais ceci pour t'en débarrasser =>

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

@+

Lien vers le commentaire
Partager sur d’autres sites
big tom Mega Power Member

big tom

Posté(e)
  • Auteur
Posté(e)

merci pour la marche a suivre ingals :P

je l'ai executé et tout s'est passer comme prévu, si ce n'est qu'il a fallu que je reboot l'ordi avec ctrl alt suppr pour quitté le mode sans echec...

 

- voici le rapport sdfix :

 

 

SDFix: Version 1.37

-------------------

 

Scan run on:

14/11/2006

 

Time:

23:55

 

Microsoft Windows XP [version 5.1.2600]

 

Running from: C:\Documents and Settings\Administrateur\Bureau\SDFix

 

Stage One...

 

Checking Services...

 

Name:

-----

 

Path:

----

 

 

Repairing Registry...

 

 

Restoring Default Hosts File...

 

Stage One Complete

 

Rebooting...

 

Stage Two...

 

Checking For Malware:

--------------------

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\23exinjs.o.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\33exhdd.j.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\37exssd32.k.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\38exmodul32e.n.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\40exssd32.l.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\63exinjs.n.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\66exinjs.n.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\76exhdd.j.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\77exhdd.j.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\81exssd32.l.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\82exmodul32e.n.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\83exssd32.k.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\88exhdd.h.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\90exmodul32e.o.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\setup.exe

 

Backing Up and Removing any Files Found...

 

Final Check:

 

Services:

---------

 

 

Rootkit Service pe386 Found. Rootkit Scan Required!

Rootkit Service msguard Found. Rootkit Scan Required!

Rootkit Service lzx32 Found. Rootkit Scan Required!

Rootkit Service pe386 Found. Rootkit Scan Required!

Rootkit Service msguard Found. Rootkit Scan Required!

Rootkit Service lzx32 Found. Rootkit Scan Required!

 

Files:

------

 

 

Any files removed are saved to the SDFix\backups Folder

 

FINISHED

 

- et voici le rapport hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 00:05:01, on 15/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LiveUpdate\LuComServer_3_0.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

 

il y a t'il encore encore des chose nuisible ou des ligne a fixé?

merci encore

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut big tom :P

 

il y a t'il encore encore des chose nuisible ou des ligne a fixé?

Heuuu... oui :P tu disais en début de discussion que ton pc avait "un comportement bizarre" et tu as bien vu !!

SDFix a mis en évidence le coupable =>

 

Rootkit Service pe386 Found. Rootkit Scan Required!

Rootkit Service msguard Found. Rootkit Scan Required!

Rootkit Service lzx32 Found. Rootkit Scan Required!

Ce qui veut dire que dans ton pc se planque un rootkit. Heureusement ce n'est pas le pire, et on va t'en débarrasser comme ceci =>

 

Télécharge ce fichier (par ejvindh)

http://www.uploads.ejvindh.net/rustbfix.exe

...et sauvegarde-le sur ton Bureau.

 

Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt & C:\rustbfix\pelog.txt).

Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

 

Par ailleurs, je voudrais que tu vérifies quelque chose:

 

1) Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

2) Assure toi que ce fichier a bien disparu (en gras ci dessous):

 

C:\WINDOWS\system\smss.exe

 

si présent, élimine le!!Attention : ne confond pas et n'élimine pas le fichier smss.exe qui se trouve dans le répertoire C:\WINDOWS\System32 => c'est un fichier important de windows et pas un virus!!

 

Dis moi si tu as trouvé, et poste les rapports demandés stp :P allez courage!

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
big tom Mega Power Member

big tom

Posté(e)
  • Auteur
Posté(e)

merci pour les encouragement.

 

concernant rustbfix, il n'a rien trouvé :

************************* Rustock.b-fix -- By ejvindh *************************

15/11/2006 2:00:15,71

 

 

No Rustock.b-rootkits found

 

 

******************************* End of Logfile ********************************

 

c'est bon signe ou non?

 

conçernant le smss.exe, je viens de le supprimé manuellement. mais c'est vraiment des vicelard! c'est vrai que je l'avais confondu avec le fichier indispensable de system32 et bien que je l'avais remarqué, je ne l'avais pas regardé comme dangereux!!!

 

concernant hijackthis, voici le dernier :

 

Logfile of HijackThis v1.99.1

Scan saved at 02:06:04, on 15/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Valve\Steam\Steam.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

voili voilou... :P

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

ahhh? pas résultat on dirait.. Fais ceci stp pour voir =>

 

Télécharge SmitfraudFix de S!Ri sur ton bureau

  • Ne double-clic pas dessus !! Fais un clic droit sur le fichier et choisis "extraire tout"
  • Un nouveau dossier chercher va être créé nommé Smitfraudfix.
  • Ouvre le et double-clique sur Smitfraudfix.cmd
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  • Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.

conçernant le smss.exe, je viens de le supprimé manuellement. mais c'est vraiment des vicelard!

ok merci pour le retour! oui il est bien vicelard!! souvent les malwares prennent des nom de fichiers légitimes pour qu'on n 'y touche pas !! Poste aussi ceci stp =>

 

 

-Ouvrir Hijackthis et clique sur "ouvrirla section outils"

-A droite du bouton "Génerer liste de départ" coche les deux cases "Liste Mineure également" et"Section de liste vide"

-Puis tu clique sur le bouton "Génerer liste de départ"

-Copie /colle le rapport qui va se créer.

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
big tom Mega Power Member

big tom

Posté(e)
  • Auteur
Posté(e) (modifié)

voila le rapport de SmitFraudFix v2.121

 

Rapport fait à 3:21:56,93, 15/11/2006

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

et le rapport hijackthis avec les réglages que tu m'a demandé.

 

StartupList report, 15/11/2006, 03:24:26

StartupList version: 1.52.2

Started from : C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Valve\Steam\Steam.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\NOTEPAD.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

LVCOMSX = C:\WINDOWS\system32\LVCOMSX.EXE

LogitechVideoRepair = C:\Program Files\Logitech\Video\ISStart.exe

Logitech Utility = Logi_MwX.Exe

SoundMAXPnP = C:\Program Files\Analog Devices\Core\smax4pnp.exe

DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

NvMediaCenter = RunDLL32.exe NvMCTray.dll,NvTaskbarInit

avgnt = "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

MSConfig = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

BitTorrent = "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\system32\ssmypics.scr

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

 

--------------------------------------------------

 

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

 

Windows NT checkdisk command:

BootExecute = autocheck autochk *

 

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LUInit.exe||C:\Program Files\Symantec\LiveUpdate||C:\PROGRA~1\Symantec\LiveUpdate\LSETUP.EXE||C:\PROGRA~1\Symantec\LiveUpdate\LSETUPRES.DLL||C:\PROGRA~1\Symantec\LiveUpdate\LuComServerPS_3_0.DLL||C:\PROGRA~1\Symantec\LiveUpdate\LUINSDLL.DLL||C:\PROGRA~1\Symantec\LiveUpdate\LUINSDLLRES.DLL||C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LUInit.exe||C:\Program Files\Symantec\LiveUpdate||C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~nsu.tmp\Au_.exe

 

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

 

--------------------------------------------------

End of report, 5 024 bytes

Report generated in 0,016 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

 

en attendant la suite... bonne nuit

Modifié par big tom
Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re!

 

Merci pour ces rapports ! Le problème, c'est que le scan Smitfraudfix ne confirme pas cette infection par le rootkit pe386 , aussi poste moi stp un rapport comme ceci(c'est rapide) =>

 

Ouvre HijakThis, puis "Ourir la section outils"

Clic sur "Ouvrir ADS Spy"

Décoche "Scan rapide"

Décoche "Ignorer les introduc du système"

Lance le scan à partir du bouton "scan".

Lorsque c'est terminé,clique sur le bouton "sauver" et enregistre le sur le bureau.

Copie/colle le contenu de rapport adsspy.txt dans ton prochain message stp.

 

Il faut être sûr que ce rootkit n'est pas présent :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
big tom Mega Power Member

big tom

Posté(e)
  • Auteur
Posté(e)

pb : le fichier adsspy.txt et beaucoup trop gros pour etre integré ici. ( 260000 caractère alors que la limite est de 100000).

comment faire?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...