Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infecté : forum de la dernière chance ...


gato456

Messages recommandés

Bonsoir à tous,

 

Il fallait bien que ça arrive un jour. Bref un executable pas net, l'antivirus qui ne bronche pas (Norton 2005) et voila maintenant 36 heures que j'essaye de m'en tirer :P

 

Il me semble bien que c'était virusblaster, mais honnetement après les kilomètres de discussions parcourus sur les forums, je ne sais même plus exactement ce que j'ai chopé ! En tout cas Norton automatiquement désinstallé (chapeau !), des dialers en italiens ou en espagnol, des warnings pour aller acheter je ne sais plus antispyware et summum le pare-feu de windows kaput !!! Cela étant pour ce dernier point j'ai un doute : c'est peut-être moi en voulant désinfecter mon poste qui a merdoyé.

 

Bien sûr panique : téléchargement du 1er spyware semblant correspondre au pb (XoftSpySe), puis du crack correspondant (puisque je suis vérolé je prends le risque de l'être un peu plus), passage du spy, corrections mineurse mais ça continu.

 

Localisation par la date, d'exécutables à la racine qui n'ont rien à y faire : suppression sauvage ! Localisation sous system32 de nouveaux programmes comme ishost.exe, ismini.exe, cool.exe. Envie de faire une suppression sauvage, mais je passe d'abord par BartPE et MacAfee qui confime pour certains programmes ...

 

Bref je vais pas vous raconter ma vie car des choses j'en ai fait un paquet depuis hier et certainement pas des plus intelligentes ... :P

 

Il reste que depuis, j'ai des ports http ouverts chez akamaitechnologies, chez 62.225.115.151 dès que je me ballade avec IE et que dès que j'essaye de faire un Windows Update avec l'install de IE7 et de sa "détection de logiciels malvaillants" c'est blue screen. Pas Glop :P Ce serait pas tout simplement IE6 qui est infesté ?

 

Alors avant de lancer une réparation de XP (sujet que je ne maitrise pas vraiment, je suis plutot Unix) je me tourne vers vous ............

 

J'ai presque tout bien fait comme il faut, comme indiqué dans "Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis-" sauf que j'ai oublié de désinstaller AntiVir. C'est grave par rapport à la procédure docteur ? Faut savoir que je n'avais plus d'antivirus d'installé : j'ai viré PC-Cillin que je venais d'installer avant de démarrer votre procédure. Donc pas de conflit ... :P

 

Bon allez, tout d'abord le rapport d'AntiVir :

 

J'ai placé en gras une détection que j'ai ignorée car c'est un module d'une appli professionnelle. Je vais faire un diff sous Unix pour vérifier son intégrité.

Sinon j'ai toujours vturs.dll !!!!

 

AntiVir PersonalEdition Classic

Report file date: vendredi 1 décembre 2006 19:58

 

Scanning for 495093 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: esaubignac

Computer name: KALAMANGA

 

Version information:

AVSCAN.EXE : 7.0.0.47 196648 21/08/2006 11:06:49

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 11:51:50

LUKE.DLL : 7.0.0.47 110632 07/09/2006 11:32:29

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 11:51:50

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 11:35:11

ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 08:12:24

ANTIVIR2.VDF : 6.36.0.10 2048 06/09/2006 08:12:26

ANTIVIR3.VDF : 6.36.0.11 2048 06/09/2006 08:12:28

AVEWIN32.DLL : 7.2.0.14 1827328 04/09/2006 15:23:26

AVPREF.DLL : 7.0.0.2 17960 24/07/2006 13:35:36

AVREP.DLL : 6.36.0.3 544808 06/09/2006 09:04:18

AVRPBASE.DLL : 7.0.0.0 1544232 30/03/2006 09:42:44

AVPACK32.DLL : 7.2.0.0 360488 21/07/2006 07:00:28

AVREG.DLL : 6.31.0.90 25128 28/07/2005 11:06:11

NETNT.DLL : 6.32.0.0 6696 27/09/2005 08:56:45

NETNW.DLL : 7.0.0.0 9768 24/07/2006 13:35:38

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 12:22:50

RCTEXT.DLL : 7.0.0.107 77864 07/09/2006 11:51:49

 

Configuration settings for the scan:

Jobname.......................: Manual Selection

Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: C

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,1005,

Macro heuristic...............: 1

File heuristic................: 2

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: vendredi 1 décembre 2006 19:58

 

 

The scan of running processes will be started

5 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 30 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\CPYZ8PUB\srvsaf[1].exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] The file was moved to 'a6e3f429.qua'!

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\IJ2QM5XP\35[1].exe

[DETECTION] Contains signature of the dropper DR/Shelled.Gen

[iNFO] The file was moved to 'a2a1d8f7.qua'!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll

[DETECTION] Is the Trojan horse TR/PSW.Sinowal.D.3

[iNFO] The file was moved to '75a0f10e.qua'!

C:\Program Files\Reflection\rdocfra.dll

[DETECTION] Contains suspicious code HEUR/Crypted

[WARNING] The file was ignored!

C:\System Volume Information\MountPointManagerRemoteDatabase

[WARNING] The file could not be opened!

C:\System Volume Information\tracking.log

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0086067.exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] The file was moved to '7ba8beef.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088066.exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] The file was moved to '7da8bef3.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088074.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] The file was moved to '7da8bef8.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088075.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] The file was moved to '7da8befc.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088081.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] The file was moved to '7da8bf06.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088082.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was moved to '7da8bf0a.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088088.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] The file was moved to '7da8bf0e.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088089.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was moved to '7da8bf13.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088091.exe

[DETECTION] Is the Trojan horse TR/Qhost.N.1

[iNFO] The file was moved to '7da8bf16.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088094.exe

[DETECTION] Is the Trojan horse TR/Qhost.N.1

[iNFO] The file was moved to '7da8bf23.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088095.exe

[DETECTION] Is the Trojan horse TR/Qhost.N.1

[iNFO] The file was moved to '7da8bf25.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088203.EXE

[DETECTION] Is the Trojan horse TR/Agent.aox

[iNFO] The file was moved to '7da8bf36.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088204.EXE

[DETECTION] Is the Trojan horse TR/Agent.aox

[iNFO] The file was moved to '7da8bf39.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088210.EXE

[DETECTION] Is the Trojan horse TR/Agent.aox

[iNFO] The file was moved to '7da8bf41.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088212.EXE

[DETECTION] Is the Trojan horse TR/Agent.aox

[iNFO] The file was moved to '7da8bf44.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088213.exe

[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/HacDef.084 Backdoor server programs

[iNFO] The file was moved to '7da8bf4c.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088214.EXE

[DETECTION] Is the Trojan horse TR/Agent.aox

[iNFO] The file was moved to '7da8bf54.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP298\A0089772.dll

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] The file was moved to '7ea8bf8c.qua'!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP307\A0099268.dll

[DETECTION] Is the Trojan horse TR/PSW.Sinowal.D.3

[iNFO] The file was moved to '7ea9bfdf.qua'!

C:\WINDOWS\system32\nxtdffek.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[iNFO] The file was moved to 'abd5080b.qua'!

C:\WINDOWS\system32\rpcc.dll

[WARNING] The file could not be opened!

C:\WINDOWS\system32\vturs.dll

[DETECTION] Contains suspicious code HEUR/Malware

[WARNING] An error has occurred and the file was not deleted. ErrorID: 16003

[WARNING] The file could not be deleted!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

 

 

End of the scan: vendredi 1 décembre 2006 21:50

Used time: 1:51:55 min

 

The scan has been done completely.

 

6033 Scanning directories

425630 Files were scanned

25 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

23 files were moved to quarantine

0 files were renamed

9277 Archives were scanned

27 Warnings

12 Notes

 

 

Et voici le rapport de Hijack This.

 

Logfile of HijackThis v1.99.1

Scan saved at 22:01:35, on 01/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Reflection\rtsserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: 172.30.31.31 rigel2 #Reseau Serveurs

O1 - Hosts: 172.30.59.31 rigel2 #Reseau Bdb

O1 - Hosts: 172.30.31.36 castor2 #Reseau Serveurs

O1 - Hosts: 172.30.59.36 castor2 #Reseau Bdb

O1 - Hosts: 172.30.31.52 titan2 #Reseau Seveurs

O1 - Hosts: 172.30.59.52 titan2 #Reseau Bdb

O1 - Hosts: 172.30.31.67 uranus2 #Reseau Serveurs

O1 - Hosts: 172.30.59.67 uranus2 #Reseau Bdb

O1 - Hosts: 172.30.31.35 vega2 #Reseau Serveurs

O1 - Hosts: 172.30.59.35 vega2 #Reseau Bdb

O1 - Hosts: 172.30.56.33 aigle #Reseau Serveurs

O1 - Hosts: 172.30.60.33 aigle #Reseau Bdb

O1 - Hosts: 172.30.56.30 andromed #Reseau Serveurs

O1 - Hosts: 172.30.60.30 andromed #Reseau Bdb

O1 - Hosts: 172.30.56.35 vega2s #Reseau Serveurs

O1 - Hosts: 172.30.60.35 vega2s #Reseau Bdb

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg

O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: www.airfrance.fr

O15 - Trusted Zone: www.certifyexpress.com

O15 - Trusted Zone: learning1.americas.cpqcorp.net

O15 - Trusted Zone: *.dell.com

O15 - Trusted Zone: www.geoportail.fr

O15 - Trusted Zone: http://www4.itrc.hp.com

O15 - Trusted Zone: *.hp.com

O15 - Trusted Zone: www.hpsmartlearning.com

O15 - Trusted Zone: http://aiedownload.intel.com

O15 - Trusted Zone: http://downloadfinder.intel.com

O15 - Trusted Zone: *.prometric.com

O15 - Trusted Zone: www.radiofrance.fr

O15 - Trusted Zone: *.simcms

O15 - Trusted Zone: *.smaj02afk351n

O15 - Trusted Zone: http://www.sonyericsson.com

O15 - Trusted Zone: *.vmhost1

O15 - Trusted Zone: *.vmhost2

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

 

 

Ne comptant pas trop sur une réponse dès ce soir (faut pas rêver il est 22h00) je reviendrais voir demain.

 

Merci d'avance de votre aide.

 

Eric

 

"Just Do It"

Modifié par gato456
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Peux tu renommer Hijackthis en gato (par exemple) et refaire ce log S'il te plait.

 

a+

 

Sous c:\Program Files\toto\toto.exe (pas très imaginatif !)

 

Logfile of HijackThis v1.99.1

Scan saved at 22:49:02, on 01/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Reflection\rtsserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\toto\toto.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: 172.30.31.31 rigel2 #Reseau Serveurs

O1 - Hosts: 172.30.59.31 rigel2 #Reseau Bdb

O1 - Hosts: 172.30.31.36 castor2 #Reseau Serveurs

O1 - Hosts: 172.30.59.36 castor2 #Reseau Bdb

O1 - Hosts: 172.30.31.52 titan2 #Reseau Seveurs

O1 - Hosts: 172.30.59.52 titan2 #Reseau Bdb

O1 - Hosts: 172.30.31.67 uranus2 #Reseau Serveurs

O1 - Hosts: 172.30.59.67 uranus2 #Reseau Bdb

O1 - Hosts: 172.30.31.35 vega2 #Reseau Serveurs

O1 - Hosts: 172.30.59.35 vega2 #Reseau Bdb

O1 - Hosts: 172.30.56.33 aigle #Reseau Serveurs

O1 - Hosts: 172.30.60.33 aigle #Reseau Bdb

O1 - Hosts: 172.30.56.30 andromed #Reseau Serveurs

O1 - Hosts: 172.30.60.30 andromed #Reseau Bdb

O1 - Hosts: 172.30.56.35 vega2s #Reseau Serveurs

O1 - Hosts: 172.30.60.35 vega2s #Reseau Bdb

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\vexcmdxw.dll (file missing)

O2 - BHO: (no name) - {40C3BD06-16CD-4BDE-A28E-089DCCC1525D} - C:\WINDOWS\system32\vturs.dll

O2 - BHO: (no name) - {4478BC11-4C04-46A5-FDF4-03264228416D} - C:\WINDOWS\system32\zuuefyb.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg

O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: www.airfrance.fr

O15 - Trusted Zone: www.certifyexpress.com

O15 - Trusted Zone: learning1.americas.cpqcorp.net

O15 - Trusted Zone: *.dell.com

O15 - Trusted Zone: www.geoportail.fr

O15 - Trusted Zone: http://www4.itrc.hp.com

O15 - Trusted Zone: *.hp.com

O15 - Trusted Zone: www.hpsmartlearning.com

O15 - Trusted Zone: http://aiedownload.intel.com

O15 - Trusted Zone: http://downloadfinder.intel.com

O15 - Trusted Zone: *.prometric.com

O15 - Trusted Zone: www.radiofrance.fr

O15 - Trusted Zone: *.simcms

O15 - Trusted Zone: *.smaj02afk351n

O15 - Trusted Zone: http://www.sonyericsson.com

O15 - Trusted Zone: *.vmhost1

O15 - Trusted Zone: *.vmhost2

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O20 - Winlogon Notify: vturs - C:\WINDOWS\system32\vturs.dll

O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing)

O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Salut Eric, et je te souhaite la bienvenue sur le forum Sécu :P

 

Ben là, je ne peux rien te garantir vu les multiples manips effectuées hors forum. Mais essayons à tout le moins de déloger les deux infections qui sont toujours actives. Voici comment faire :

================================

 

Prière d'imprimer, ou de coller ces instructions dans un fichier texte, pour lecture en mode Sans Échec.

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Ferme le rapport pour l'instant ; je te le demanderai plus tard.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ici-même

Copie/colle le contenu du log de l'outil SDFix, c'est-à-dire le fichier Report.txt dans ta prochaine réponse également, en plus d'un nouveau log HijackThis!

 

Courage, et @+

Modifié par Qc001
Lien vers le commentaire
Partager sur d’autres sites

Voici le rapport de vundofix ... on dirait que vturs.dll n'a pas résisté :P

 

 

VundoFix V6.2.13

 

Checking Java version...

 

Java version is 1.5.0.4

 

Java version is 1.5.0.6

 

Scan started at 23:30:32 01/12/2006

 

Listing files found while scanning....

 

C:\WINDOWS\system32\zhognyj.dll

C:\WINDOWS\system32\vturs.dll

C:\WINDOWS\system32\srutv.ini

C:\WINDOWS\system32\srutv.bak1

C:\WINDOWS\system32\srutv.bak2

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\zhognyj.dll

C:\WINDOWS\system32\zhognyj.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\vturs.dll

C:\WINDOWS\system32\vturs.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\srutv.ini

C:\WINDOWS\system32\srutv.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\srutv.bak1

C:\WINDOWS\system32\srutv.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\srutv.bak2

C:\WINDOWS\system32\srutv.bak2 Has been deleted!

 

Performing Repairs to the registry.

Done!

Lien vers le commentaire
Partager sur d’autres sites

Mes excuses à Laurent_62 au passage...

 

Avec la lenteur du forum ce soir, et la rapidité des répliques ici-même, je n'ai jamais vu les posts #2, 3, 4 et 5 avant de poster.

 

Je dois quitter pour deux ou trois heures, donc je reviendrai consulter les rapports un peu plus tard.

 

Bonne nuit donc :P

 

[Edit]Semblerait que nous ayons posté en même temps... Le rapport de VundoFix est bon. À plus tard pour la suite[/Edit]

Modifié par Qc001
Lien vers le commentaire
Partager sur d’autres sites

Voici celui de sdfix .... beaucoup plus hermétique à mon gout :P

 

 

SDFix: Version 1.44

********************

 

01/12/2006 - 23:16:02,56

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Stage One - Safe Mode

Checking Services...

 

Service Name:

 

MsaSvc

 

File Path:

 

C:\WINDOWS\system32\msasvc.exe

 

MsaSvc Service Deleted...

 

Starting Registry Repairs...

Killing PID 164 'smss.exe'

Killing PID 280 'winlogon.exe'

 

Restoring Default Hosts File...

 

Stage One Complete

 

Rebooting...

 

Stage Two - Normal Mode

 

Checking For Malware:

--------------------

 

C:\WINDOWS\system32\rpcc.dll

C:\WINDOWS\Temp\win1.tmp

C:\WINDOWS\Temp\win2.tmp

C:\WINDOWS\Temp\win3.tmp

C:\WINDOWS\Temp\win8.tmp

C:\WINDOWS\Temp\winC.tmp

C:\WINDOWS\Temp\winD.tmp

C:\WINDOWS\Temp\winE.tmp

C:\WINDOWS\Temp\winF.tmp

 

Backing Up and Removing any Files Found...

 

Final Check:

 

Services:

---------

 

Rootkit pe386 Present!

 

Authorized Applications Export:

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.exe REG_SZ C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.exe:*:Enabled:SecureClient Application

C:\WINDOWS\system32\sessmgr.exe REG_SZ C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List

%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

 

Files:

------

 

Backups Folder: - C:\SDFix\backups\backups.zip

 

Checking for files with Hidden Attributes:

 

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088070.dll

C:\WINDOWS\system32\khffcyx.dll

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0083028.exe

C:\WINDOWS\system32\cdplayer.exe.manifest

C:\WINDOWS\system32\logonui.exe.manifest

C:\hiberfil.sys

C:\IO.SYS

C:\MSDOS.SYS

C:\pagefile.sys

C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL1550.tmp

C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL1922.tmp

C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL1971.tmp

C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL2864.tmp

C:\Documents and Settings\Administrateur\Local Settings\Temp\$b17a2e8.tmp

C:\WINDOWS\Temp\$_2341233.TMP

C:\WINDOWS\Temp\$_2341235.TMP

 

FINISHED!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...