PC infecté ?

[cedekasme]

Bonjour à tous !

 

Le PC de mon patron se retrouve sans cesse infecté par des virus. Le dernier scan qu'il a effectué avec Avast' lui a trouvé plus d'une vingtaine de virus. Il rencontre en permanence des problèmes avec son ordinateur : fenêtre intempestive, lancement d'internet explorer interminable... Je m'en remet à vous pour savoir s'il reste effectivement des malwares. J'ai effectué les étapes de pré-nettoyage avant de poster ici. Le scan avec antivir ne m'a trouvé aucun virus en mode sans échec. Je vous poste le log d'HiJackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:58:38, on 27/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\program files\alwil software\avast4\ashdisp.exe

C:\Program Files\Spybot\TeaTimer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\HiJackThis\HijackThis.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\System32\sysu.exe

O4 - HKLM\..\Run: [Cydoor] C:\WINDOWS\System32\cd_htm.dll

O4 - HKLM\..\Run: [CWS HiJacker] C:\WINDOWS\msxmlfilt.dll

O4 - HKLM\..\Run: [Avast] C:\program files\alwil software\avast4\ashdisp.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot\TeaTimer.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lookup.js

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/translate.js

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_03) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.24a6.7

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

En espérant que vous pourrez m'aider.

 

Cordialement.

[bruce lee]

Bonjour cedekasme,

 

Le PC est bien infecté!

 

==> Télécharge navilog1.zip (de IL-MAFIOSO) http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip enregistre ce fichier sur le bureau.

Extraie la totalité de navilog1.zip sur le bureau

==> double clic sur navilog1.bat choisis l'option 1 appuie sur la touche Entrée.

 

Laisse le scan se dérouler, ne touche pas à la souris et au clavier.

 

Le scan fini un rapport portant ce fixnavi.txt souvrira poste le contenu de ce rapport.

Si le résultat du scan ne s'affiche pas tu le trouvera dans C:\fixnavi.txt.

[cedekasme]

Merci pour ta rapidité bruce lee !

 

J'ai fait ce que tu m'as décrit, et je t'envoie donc le log de navilog :

 

Search Navipromo version 1.0.8 commencé le 27/03/2007 à 14:33:42,07

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Documents and Settings\Jean-Louis RAFIN\Bureau\Navilog

Mise a jour le 26.03.2007 a 08h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Jean-Louis RAFIN\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

 

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

 

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of April, 2007.

Version information: 2.2.1055.

 

[+] Started on 03/27/07 at 14:33:42.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items .........................................................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 03/27/07 at 14:42:50 (return code = 0).

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

 

 

*** Module de recherche complémentaire ***

(recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

 

 

*** Analyse Terminé le 27/03/2007 à 14:43:10,05 ***

 

J'espère que cela pourra t'aider.

 

Merci encore !

[cedekasme]

Bonjour à tous !

 

Je me permets de faire remonter ce topic car c'est le dernier jour où j'ai la possibilité de "m'occuper" de son ordinateur.

Si quelqu'un à une solution pour erradiquer les infections, il est le bienvenu !

[Thanos]

salut,

 

en attendant le retour de l'ami bruce , et pour faire avancer (puisque c'est le dernier jour que tu pourra aider ton ami) fais passer cet utilitaire >

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

[cedekasme]

Merci de m'avoir répondu

 

J'ai mis un certain temps avant de répondre car j'ai mis à jour Windows via Windows Update et je dois dire qu'il en avait pas mal a faire vu qu'il avait tout bonnement enlever les mises à jours automatiques... D'ailleurs, il en reste encore à faire.

 

Donc j'ai fait ce que tu m'as dit et voilà les résultats :

 

SDFix: Version 1.75

Run by Jean-Louis RAFIN - 28/03/2007 - 13:53:48,74

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 

Name:
MSDisk
MSWindows

ImagePath:
"C:\WINDOWS\System32\irdvxc.exe" /service
"C:\WINDOWS\System32\urdvxc.exe" /service

MSDisk Deleted
MSWindows Deleted


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\SYSTEM32\WINOCX.EXE - Deleted
C:\WINDOWS\system32\eraseme_45253.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\WinOcx.exe - Deleted
C:\WINDOWS\Temp\$_2341235.TMP - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.


							 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\Logitech\\Harmony Remote\\HarmonyClient.exe"="C:\\Program Files\\Logitech\\Harmony Remote\\HarmonyClient.exe:*:Enabled:Logitech Harmony Remote Software V5"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\\Program Files\\Logitech\\Harmony Remote\\HarmonyClient.exe"="C:\\Program Files\\Logitech\\Harmony Remote\\HarmonyClient.exe:*:Enabled:Logitech Harmony Remote Software V5"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe
C:\Program Files\Picasa2\setup.exe
C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL0005.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL0820.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL1190.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL1486.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL2143.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL3650.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL3834.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Application Data\Microsoft\Word\~WRL3885.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR11D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR11E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR11F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR120.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR121.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12A.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12B.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR12F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR130.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR131.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR132.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR13C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR13D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR13E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR13F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR140.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR141.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR142.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR143.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR144.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR14D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR14E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR14F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR150.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR151.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR152.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15B.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR15F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR160.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR161.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR162.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16A.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16B.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\FOR16F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR11C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR11D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR11E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR11F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR120.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR129.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12A.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12B.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR12F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR130.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR131.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13B.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR13F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR140.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR141.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR142.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR143.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR14C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR14D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR14E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR14F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR150.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR151.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15A.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15B.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15E.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR15F.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR160.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR161.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR169.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16A.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16B.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16C.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16D.tmp
C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp\ZTR16E.tmp
C:\WINDOWS\system32\wupdmgr.tmp
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

							 Finished

 

Logfile of HijackThis v1.99.1
Scan saved at 14:10:49, on 28/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\program files\alwil software\avast4\ashdisp.exe
C:\Program Files\Spybot\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\System32\sysu.exe
O4 - HKLM\..\Run: [Cydoor] C:\WINDOWS\System32\cd_htm.dll
O4 - HKLM\..\Run: [CWS HiJacker] C:\WINDOWS\msxmlfilt.dll
O4 - HKLM\..\Run: [Avast] C:\program files\alwil software\avast4\ashdisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lookup.js
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/translate.js
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - 
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_03) - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 80.10.246.134,80.10.246.7
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

[bruce lee]

re,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

2/CWShredder :

http://www.trendmicro.com/cwshredder/

 

clique sur fix

 

 

3/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

4/lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

 

O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\System32\sysu.exe

O4 - HKLM\..\Run: [Cydoor] C:\WINDOWS\System32\cd_htm.dll

O4 - HKLM\..\Run: [CWS HiJacker] C:\WINDOWS\msxmlfilt.dll

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

6/Supprime ce qui est en gras:

 

C:\WINDOWS\System32\ sysu.exe<== le fichier

C:\WINDOWS\System32\ cd_htm.dll<== le fichier

C:\WINDOWS\ msxmlfilt.dll<== le fichier

 

 

Rend toi ici :

 

C:\Documents and Settings\Jean-Louis RAFIN\Local Settings\Temp

 

Ouvre le dossier Temp et vide tout son contenu.

 

7/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

8/Redémarre en mode normal

 

9/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[cedekasme]

Bonjour Bruce !

 

Es-tu sûr qu'il faille fixer la ligne toolbar systran ? Car il s'agit en fait d'une barre d'outils de Systran qui lui permet de faire la traduction de pages sous IE.

Je te pose la question car je voulais être sûr de ne pas faire n'importe quoi.

 

En te remerciant.

[bruce lee]

Re,

 

le fichier est en file missing, tu peux la fixer mais si tu preferes la laisser tu peux

 

@+