Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Demande analyse Hijack This svp

stinger13

Par stinger13
dans Analyses et éradication malwares

 Partager

Messages recommandés

stinger13 Junior Member

stinger13

Posté(e)
Posté(e)

Bonjour, j'essaye d'installer windows service pack 2 sur le portable d'un ami, mais impossible d'y arriver.... pourriez vous m'analyser mon rapport car je pense qu'il n'est pas bon.

Merci d'avance.

SmitFraudFix v2.171

 

Rapport fait à 21:41:17,32, 26/04/2007

Executé à partir de C:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\tmrsrv32.exe

C:\WINDOWS\System32\csrs.exe

C:\WINDOWS\System32\foyq.exe

C:\WINDOWS\System32\iexplore.exe

C:\windows\system32\uvnx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\services.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\wpabaln.exe

C:\WINDOWS\System32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alain

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alain\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alain\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte Fast Ethernet PCI de base DP83815 National Semiconductor - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FCF197CD-61CE-4AA7-907C-15D8C81E4506}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{FCF197CD-61CE-4AA7-907C-15D8C81E4506}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{FCF197CD-61CE-4AA7-907C-15D8C81E4506}: DhcpNameServer=212.27.54.252 212.27.53.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut et bienenue :P

 

Il ne faut pas tenter d'insrtaller le SP2 maintenant car le pc est infecté!!

 

Stp poste moi les deux rapports suivants >

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

Télécharge la dernière version d'HijackThis

  • Installation et utilisation d'HijackThis:
  • Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
    Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
  • Arrêter tous les programmes en cours et fermer toutes les fenêtres
  • Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  • NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  • Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.

stinger13 Junior Member

stinger13

Posté(e)
  • Auteur
Posté(e)

Voiçi le 1er rapport avec Diaghelp

C:\WINDOWS\System32/drivers\aswmon.sys -->18/04/2007 18:12:31

C:\WINDOWS\System32/drivers\aswmon2.sys -->18/04/2007 18:12:12

C:\WINDOWS\System32/drivers\aswRdr.sys -->18/04/2007 18:10:01

C:\WINDOWS\System32/drivers\aswTdi.sys -->18/04/2007 18:09:10

C:\WINDOWS\System32/drivers\aavmker4.sys -->18/04/2007 18:07:49

C:\WINDOWS\System32/drivers\ws2ifsl.sys -->30/08/2002 14:00:00

C:\WINDOWS\System32/drivers\wmilib.sys -->30/08/2002 14:00:00

 

C:\WINDOWS\System32\gdi3737.dns -->26/04/2007 22:15:14

C:\WINDOWS\System32\lclcfg32.ini -->26/04/2007 22:14:18

C:\WINDOWS\System32\tmp.txt -->26/04/2007 21:41:22

C:\WINDOWS\System32\tmp.reg -->26/04/2007 21:41:22

C:\WINDOWS\System32\tftp.exe -->26/04/2007 20:22:24

C:\WINDOWS\System32\ftp.exe -->26/04/2007 20:22:24

C:\WINDOWS\System32\CONFIG.NT -->26/04/2007 19:49:24

C:\WINDOWS\System32\PerfStringBackup.INI -->26/04/2007 19:40:00

C:\WINDOWS\System32\perfh00C.dat -->26/04/2007 19:40:00

C:\WINDOWS\System32\perfh009.dat -->26/04/2007 19:40:00

C:\WINDOWS\System32\perfc00C.dat -->26/04/2007 19:40:00

C:\WINDOWS\System32\perfc009.dat -->26/04/2007 19:40:00

C:\WINDOWS\System32\wmpscheme.xml -->26/04/2007 19:38:41

C:\WINDOWS\System32\sfc_os.dll -->26/04/2007 19:35:50

C:\WINDOWS\System32\wpa.dbl -->26/04/2007 19:35:43

C:\WINDOWS\System32\FNTCACHE.DAT -->26/04/2007 19:35:28

C:\WINDOWS\System32\$winnt$.inf -->26/04/2007 19:34:25

C:\WINDOWS\System32\nscompat.tlb -->26/04/2007 19:31:34

C:\WINDOWS\System32\amcompat.tlb -->26/04/2007 19:31:34

C:\WINDOWS\System32\WindowsLogon.manifest -->26/04/2007 19:30:18

C:\WINDOWS\System32\logonui.exe.manifest -->26/04/2007 19:30:18

C:\WINDOWS\System32\wuaucpl.cpl.manifest -->26/04/2007 19:30:13

C:\WINDOWS\System32\sapi.cpl.manifest -->26/04/2007 19:30:13

C:\WINDOWS\System32\nwc.cpl.manifest -->26/04/2007 19:30:13

C:\WINDOWS\System32\ncpa.cpl.manifest -->26/04/2007 19:30:13

 

C:\WINDOWS\svcpack.log -->26/04/2007 21:40:40

C:\WINDOWS\setupapi.log -->26/04/2007 21:40:33

C:\WINDOWS.log -->26/04/2007 20:22:23

C:\WINDOWS\bootstat.dat -->26/04/2007 20:22:05

C:\WINDOWS\ntbtlog.txt -->26/04/2007 20:21:16

C:\WINDOWS\setupact.log -->26/04/2007 20:19:38

C:\WINDOWS\SchedLgU.Txt -->26/04/2007 20:17:39

C:\WINDOWS\setuperr.log -->26/04/2007 20:12:37

C:\WINDOWS\COM+.log -->26/04/2007 19:53:56

C:\WINDOWS\WMSysPrx.prx -->26/04/2007 19:31:33

C:\WINDOWS\ODBCINST.INI -->26/04/2007 19:31:20

C:\WINDOWS\WindowsShell.Manifest -->26/04/2007 19:30:13

C:\WINDOWS\win.ini -->26/04/2007 19:30:04

C:\WINDOWS\system.ini -->26/04/2007 19:25:04

C:\WINDOWS\sysrlb32.exe -->26/04/2007 19:00:31

 

C:\WINDOWS\764.exe |26/04/2007 18:32:22

C:\WINDOWS\bokja.exe |26/04/2007 18:32:17

C:\WINDOWS\mssvr.exe |26/04/2007 18:32:16

C:\WINDOWS\services.exe |26/04/2007 17:00:27

C:\WINDOWS\stcloader.exe |26/04/2007 18:32:22

C:\WINDOWS\twunk_16.exe |30/08/2002 14:00:00

C:\WINDOWS\twunk_32.exe |30/08/2002 14:00:00

C:\WINDOWS\2020search.dll |26/04/2007 18:32:12

C:\WINDOWS\2020search2.dll |26/04/2007 18:32:13

C:\WINDOWS\7search.dll |26/04/2007 18:32:27

C:\WINDOWS\bi.dll |26/04/2007 18:32:30

C:\WINDOWS\bjam.dll |26/04/2007 18:32:13

C:\WINDOWS\cdsm32.dll |26/04/2007 18:32:17

C:\WINDOWS\flt.dll |26/04/2007 18:32:25

C:\WINDOWS\mspphe.dll |26/04/2007 18:32:15

C:\WINDOWS\pbar.dll |26/04/2007 18:32:22

C:\WINDOWS\saiemod.dll |26/04/2007 18:31:59

C:\WINDOWS\swin32.dll |26/04/2007 18:32:19

C:\WINDOWS\twain.dll |30/08/2002 14:00:00

C:\WINDOWS\twain_32.dll |30/08/2002 14:00:00

C:\WINDOWS\voiceip.dll |26/04/2007 18:32:20

C:\WINDOWS\system32\180ax.exe |26/04/2007 18:32:05

C:\WINDOWS\system32\append.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\aswBoot.exe |26/04/2007 19:49:14

C:\WINDOWS\system32\awvtr.exe |26/04/2007 18:30:18

C:\WINDOWS\system32\Biprep.exe |26/04/2007 18:32:33

C:\WINDOWS\system32\bixvo.exe |26/04/2007 17:05:06

C:\WINDOWS\system32\ccst.exe |26/04/2007 17:06:50

C:\WINDOWS\system32\csrs.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\ddrgc.exe |26/04/2007 18:12:32

C:\WINDOWS\system32\debug.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\dienhvvb.exe |26/04/2007 17:07:48

C:\WINDOWS\system32\dosx.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\dumphive.exe |26/04/2007 20:11:15

C:\WINDOWS\system32\dvdplay.exe |23/08/2001 19:47:34

C:\WINDOWS\system32\ebp.exe |26/04/2007 18:26:09

C:\WINDOWS\system32\edlin.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\exe2bin.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\fastopen.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\ffzh.exe |26/04/2007 18:27:31

C:\WINDOWS\system32\foyq.exe |26/04/2007 18:30:34

C:\WINDOWS\system32\ftp.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\guezhzk.exe |26/04/2007 18:08:47

C:\WINDOWS\system32\gvhdku.exe |26/04/2007 18:30:28

C:\WINDOWS\system32\hxhwhwb.exe |26/04/2007 19:10:35

C:\WINDOWS\system32\iexplore.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\ijy.exe |26/04/2007 17:00:10

C:\WINDOWS\system32\jyigd.exe |26/04/2007 19:10:45

C:\WINDOWS\system32\lwrwak.exe |26/04/2007 18:07:52

C:\WINDOWS\system32\mem.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\mscdexnt.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\mtxta.exe |26/04/2007 18:28:55

C:\WINDOWS\system32\nlsfunc.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\otm.exe |26/04/2007 19:07:10

C:\WINDOWS\system32\Process.exe |26/04/2007 20:11:15

C:\WINDOWS\system32\pwmwz.exe |26/04/2007 19:09:59

C:\WINDOWS\system32\qxg.exe |26/04/2007 18:33:15

C:\WINDOWS\system32\reabi.exe |26/04/2007 18:25:35

C:\WINDOWS\system32\redir.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\rqimjw.exe |26/04/2007 19:10:33

C:\WINDOWS\system32\salm.exe |26/04/2007 18:32:05

C:\WINDOWS\system32\satmat.exe |26/04/2007 18:32:33

C:\WINDOWS\system32\setver.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\share.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\spooIsv.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\SrchSTS.exe |26/04/2007 20:11:15

C:\WINDOWS\system32\swreg.exe |26/04/2007 20:11:15

C:\WINDOWS\system32\swsc.exe |26/04/2007 20:11:15

C:\WINDOWS\system32\swxcacls.exe |26/04/2007 20:11:15

C:\WINDOWS\system32\sxqyxjo.exe |26/04/2007 18:26:24

C:\WINDOWS\system32\tftp.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\tqrg.exe |26/04/2007 18:28:55

C:\WINDOWS\system32\udgycm.exe |26/04/2007 17:07:50

C:\WINDOWS\system32\ukaro.exe |26/04/2007 18:30:26

C:\WINDOWS\system32\updatetc.exe |26/04/2007 18:32:03

C:\WINDOWS\system32\usrmlnka.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\usrprbda.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\usrshuta.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\uvnx.exe |26/04/2007 18:30:56

C:\WINDOWS\system32\vturs.exe |26/04/2007 19:06:28

C:\WINDOWS\system32\vxddsk.exe |26/04/2007 18:32:35

C:\WINDOWS\system32\wgvybgxf.exe |26/04/2007 18:25:35

C:\WINDOWS\system32\wiaa.exe |26/04/2007 19:10:45

C:\WINDOWS\system32\wlsaeiho.exe |26/04/2007 18:12:33

C:\WINDOWS\system32\wml.exe |26/04/2007 18:32:34

C:\WINDOWS\system32\xkq.exe |26/04/2007 18:31:49

C:\WINDOWS\system32\xlfzzen.exe |26/04/2007 19:10:43

C:\WINDOWS\system32\ycbqe.exe |26/04/2007 18:28:26

C:\WINDOWS\system32\ypxcy.exe |26/04/2007 18:28:51

C:\WINDOWS\system32\znkqtxn.exe |26/04/2007 19:10:35

C:\WINDOWS\system32\amstream.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\atmfd.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\atmlib.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\Bi.dll |26/04/2007 18:32:31

C:\WINDOWS\system32\comapi.dll |26/04/2007 18:30:19

C:\WINDOWS\system32\compatUI.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\ddababx.dll |26/04/2007 18:30:28

C:\WINDOWS\system32\ddabyaw.dll |26/04/2007 18:30:27

C:\WINDOWS\system32\ddayyvs.dll |26/04/2007 17:08:02

C:\WINDOWS\system32\dgrpsetu.dll |26/04/2007 17:26:42

C:\WINDOWS\system32\dgsetup.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\EqnClass.Dll |26/04/2007 17:26:42

C:\WINDOWS\system32\gdi3737.dll |26/04/2007 19:06:28

C:\WINDOWS\system32\hticons.dll |26/04/2007 16:56:50

C:\WINDOWS\system32\hypertrm.dll |26/04/2007 16:56:50

C:\WINDOWS\system32\iccvid.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\ir32_32.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\isrdbg32.dll |26/04/2007 16:59:21

C:\WINDOWS\system32\jgaw400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgdw400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgmd400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgpl400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgsd400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgsh400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\mdwmdmsp.dll |23/08/2001 19:47:06

C:\WINDOWS\system32\msdmo.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\msencode.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\MSIXU.DLL |26/04/2007 18:32:11

C:\WINDOWS\system32\msnhlp32.dll |26/04/2007 18:31:50

C:\WINDOWS\system32\paqsp.dll |23/08/2001 19:47:16

C:\WINDOWS\system32\pmnnomn.dll |26/04/2007 18:15:14

C:\WINDOWS\system32\qedwipes.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\rpcc.dll |26/04/2007 18:25:50

C:\WINDOWS\system32\sbe.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\slbcsp.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\slbiop.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\slbrccsp.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\spnike.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\sprio600.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\sprio800.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\spxcoins.dll |26/04/2007 19:24:59

C:\WINDOWS\system32\tsd32.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\user_32.dll |26/04/2007 18:31:25

C:\WINDOWS\system32\usrcntra.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrcoina.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrdpa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrdtea.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrfaxa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrlbva.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrrtosa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrsdpia.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrsvpia.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrv42a.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrv80a.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrvoica.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrvpa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\WER8274.DLL |26/04/2007 18:32:08

C:\WINDOWS\system32\win87em.dll |30/08/2002 14:00:00

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 50BE-5A95

 

Répertoire de C:\WINDOWS\system32

 

30/08/2002 14:00 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 38 405 414 912 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 50BE-5A95

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

26/04/2007 19:31 <REP> .

26/04/2007 19:31 <REP> ..

26/04/2007 19:30 65 desktop.ini

14/10/1997 18:52 697 DirectAnimation Java Classes.osd

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

3 fichier(s) 1 924 octets

 

Total des fichiers listés :

3 fichier(s) 1 924 octets

2 Rép(s) 38 405 414 912 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

 

 

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006

http://www.gmer.net

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

Liste des programmes installes

 

Ad-Aware SE Personal

avast! Antivirus

CCleaner (remove only)

Language pack for Ad-Aware SE

Spybot - Search & Destroy 1.4

WebFldrs XP

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 50BE-5A95

 

Répertoire de C:\Program Files

 

26/04/2007 19:50 <REP> .

26/04/2007 19:50 <REP> ..

26/04/2007 19:49 <REP> Alwil Software

26/04/2007 19:50 <REP> CCleaner

26/04/2007 16:58 <REP> ComPlus Applications

26/04/2007 16:59 <REP> Fichiers communs

26/04/2007 17:00 <REP> Internet Explorer

26/04/2007 19:50 <REP> Lavasoft

26/04/2007 16:57 <REP> Messenger

26/04/2007 17:04 <REP> microsoft frontpage

26/04/2007 16:59 <REP> Movie Maker

26/04/2007 16:57 <REP> MSN

26/04/2007 16:56 <REP> MSN Gaming Zone

26/04/2007 16:59 <REP> NetMeeting

26/04/2007 16:59 <REP> Outlook Express

26/04/2007 17:00 <REP> Services en ligne

26/04/2007 19:48 <REP> Spybot - Search & Destroy

26/04/2007 19:38 <REP> Windows Media Player

26/04/2007 16:56 <REP> Windows NT

26/04/2007 17:04 <REP> xerox

0 fichier(s) 0 octets

20 Rép(s) 38 405 275 648 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 50BE-5A95

 

Répertoire de C:\Program Files\fichiers communs

 

26/04/2007 16:59 <REP> .

26/04/2007 16:59 <REP> ..

26/04/2007 18:25 <REP> Microsoft Shared

26/04/2007 16:59 <REP> MSSoap

26/04/2007 17:27 <REP> ODBC

26/04/2007 16:59 <REP> Services

26/04/2007 17:26 <REP> SpeechEngines

26/04/2007 16:59 <REP> System

0 fichier(s) 0 octets

8 Rép(s) 38 405 275 648 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 50BE-5A95

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

26/04/2007 18:25 <REP> .

26/04/2007 18:25 <REP> ..

18/05/2001 17:57 561 209 MSONSEXT.DLL

03/06/1999 14:09 122 937 MSOWS409.DLL

07/03/2001 09:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 38 405 275 648 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 50BE-5A95

 

Répertoire de C:\

 

11/11/2001 00:00 68 096 diff.exe

27/08/2006 14:10 103 424 grep.exe

26/04/2007 18:30 48 128 igmcxjwe.exe

26/04/2007 18:30 36 864 vdspxeje.exe

4 fichier(s) 256 512 octets

0 Rép(s) 38 405 275 648 octets libres

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\catchme.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\diff.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\dumphive.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\Fport.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\grep.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\LFiles.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\pslist.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\streams.exe

c:\Documents and Settings\alain\Bureau\DiagHelp\DiagHelp\swreg.exe

c:\Documents and Settings\alain\Bureau\hijackthis\HijackThis.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\dumphive.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\Process.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\Reboot.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\restart.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\swreg.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\swsc.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\alain\Bureau\SmitfraudFix\SmitfraudFix\unzip.exe

stinger13 Junior Member

stinger13

Posté(e)
  • Auteur
Posté(e)

Voiçi le 2eme rapport:

Logfile of HijackThis v1.99.1

Scan saved at 22:34:17, on 26/04/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\tmrsrv32.exe

C:\WINDOWS\System32\csrs.exe

C:\WINDOWS\System32\foyq.exe

C:\WINDOWS\System32\iexplore.exe

C:\windows\system32\uvnx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\services.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\wpabaln.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)

O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)

O2 - BHO: (no name) - {000006b1-19b5-414a-849f-2a3c64ae6939} - (no file)

O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)

O2 - BHO: (no name) - {0d3f2fd7-75b5-4349-b942-2832cc1d2417} - C:\WINDOWS\system32\gdi3737.dll

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)

O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)

O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)

O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)

O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)

O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)

O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)

O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)

O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\foyq.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: gdi3737 - C:\WINDOWS\SYSTEM32\gdi3737.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Service Controller (Services) - Unknown owner - C:\WINDOWS\services.exe

 

Logfile of HijackThis v1.99.1

Scan saved at 22:34:17, on 26/04/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\tmrsrv32.exe

C:\WINDOWS\System32\csrs.exe

C:\WINDOWS\System32\foyq.exe

C:\WINDOWS\System32\iexplore.exe

C:\windows\system32\uvnx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\services.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\wpabaln.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)

O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)

O2 - BHO: (no name) - {000006b1-19b5-414a-849f-2a3c64ae6939} - (no file)

O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)

O2 - BHO: (no name) - {0d3f2fd7-75b5-4349-b942-2832cc1d2417} - C:\WINDOWS\system32\gdi3737.dll

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)

O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)

O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)

O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)

O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)

O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)

O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)

O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)

O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\foyq.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: gdi3737 - C:\WINDOWS\SYSTEM32\gdi3737.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Service Controller (Services) - Unknown owner - C:\WINDOWS\services.exe

 

Logfile of HijackThis v1.99.1

Scan saved at 22:34:17, on 26/04/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\tmrsrv32.exe

C:\WINDOWS\System32\csrs.exe

C:\WINDOWS\System32\foyq.exe

C:\WINDOWS\System32\iexplore.exe

C:\windows\system32\uvnx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\services.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\wpabaln.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)

O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)

O2 - BHO: (no name) - {000006b1-19b5-414a-849f-2a3c64ae6939} - (no file)

O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)

O2 - BHO: (no name) - {0d3f2fd7-75b5-4349-b942-2832cc1d2417} - C:\WINDOWS\system32\gdi3737.dll

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)

O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)

O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)

O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)

O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)

O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)

O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)

O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)

O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\foyq.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: gdi3737 - C:\WINDOWS\SYSTEM32\gdi3737.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Service Controller (Services) - Unknown owner - C:\WINDOWS\services.exe

 

Logfile of HijackThis v1.99.1

Scan saved at 22:34:17, on 26/04/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\tmrsrv32.exe

C:\WINDOWS\System32\csrs.exe

C:\WINDOWS\System32\foyq.exe

C:\WINDOWS\System32\iexplore.exe

C:\windows\system32\uvnx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\services.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\wpabaln.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)

O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)

O2 - BHO: (no name) - {000006b1-19b5-414a-849f-2a3c64ae6939} - (no file)

O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)

O2 - BHO: (no name) - {0d3f2fd7-75b5-4349-b942-2832cc1d2417} - C:\WINDOWS\system32\gdi3737.dll

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)

O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)

O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)

O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)

O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)

O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)

O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)

O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)

O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\foyq.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: gdi3737 - C:\WINDOWS\SYSTEM32\gdi3737.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Service Controller (Services) - Unknown owner - C:\WINDOWS\services.exe

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

ok le pc est bien infecté!!

 

1) Un fichier que j'aimerai que tu fasses analyser stp >

 

C:\WINDOWS\system32\gdi3737.dll

 

Clique sur cette adresse => http://www.virustotal.com/flash/index_en.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier gdi3737.dll que tu trouveras en allant dans le dossier C:\WINDOWS\system32

 

Tu cliques une fois sur le fichier gdi3737.dll (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

---------------------------------

 

2)Avant de désinfecter, il faut impérativement installer un firewall!! sinon l'infection reviendra... >

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

--------------------------------------------------------------

 

3) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

colle donc un nouveau rapport hijackthis + le rapport de SDFix et le rapport du scan du fichier en ligne stp.

Installe le firewall surtout :P

stinger13 Junior Member

stinger13

Posté(e)
  • Auteur
Posté(e)

Bonsoir CHARLES ,

J'ais préférer tout recommencer à zero donc je te poste dans l'ordre les rapport que j'ai obtenue:

C:\WINDOWS\System32/drivers\ws2ifsl.sys -->30/08/2002 14:00:00

C:\WINDOWS\System32/drivers\wmilib.sys -->30/08/2002 14:00:00

C:\WINDOWS\System32/drivers\wanarp.sys -->30/08/2002 14:00:00

C:\WINDOWS\System32/drivers\volsnap.sys -->30/08/2002 14:00:00

C:\WINDOWS\System32/drivers\videoprt.sys -->30/08/2002 14:00:00

C:\WINDOWS\System32/drivers\vga.sys -->30/08/2002 14:00:00

C:\WINDOWS\System32/drivers\vdmindvd.sys -->30/08/2002 14:00:00

 

C:\WINDOWS\System32\kbdtup.dns -->30/04/2007 20:54:23

C:\WINDOWS\System32\h323log.txt -->30/04/2007 20:20:56

C:\WINDOWS\System32\pmnlj.exe -->30/04/2007 20:14:37

C:\WINDOWS\System32\geedcax.dll -->30/04/2007 20:08:31

C:\WINDOWS\System32\nhck.exe -->30/04/2007 20:08:28

C:\WINDOWS\System32\gebcy.exe -->30/04/2007 20:07:37

C:\WINDOWS\System32\gebyyvs.dll -->30/04/2007 20:07:36

C:\WINDOWS\System32\woxc.exe -->30/04/2007 20:07:33

C:\WINDOWS\System32\kbdtup.dll -->30/04/2007 20:07:22

C:\WINDOWS\System32\mljge.exe -->30/04/2007 20:07:21

C:\WINDOWS\System32\xdeg.exe -->30/04/2007 19:54:48

C:\WINDOWS\System32\doom3d.exe -->30/04/2007 19:44:20

C:\WINDOWS\System32\TFTP5084 -->30/04/2007 19:43:38

C:\WINDOWS\System32\fnxciurd.exe -->30/04/2007 19:43:25

C:\WINDOWS\System32\ssms.exe -->30/04/2007 19:43:05

C:\WINDOWS\System32\i -->30/04/2007 19:42:56

C:\WINDOWS\System32\max1d1641.exe -->30/04/2007 19:42:53

C:\WINDOWS\System32\tcpipmon.exe -->30/04/2007 19:42:52

C:\WINDOWS\System32\rpcc.dll -->30/04/2007 19:42:47

C:\WINDOWS\System32\sinbsqxv.exe -->30/04/2007 19:42:39

C:\WINDOWS\System32\pmnljji.dll -->30/04/2007 19:42:39

C:\WINDOWS\System32\PerfStringBackup.INI -->30/04/2007 19:38:44

C:\WINDOWS\System32\perfh00C.dat -->30/04/2007 19:38:44

C:\WINDOWS\System32\perfh009.dat -->30/04/2007 19:38:44

C:\WINDOWS\System32\perfc00C.dat -->30/04/2007 19:38:44

 

C:\WINDOWS\setupapi.log -->30/04/2007 20:42:55

C:\WINDOWS\wiaservc.log -->30/04/2007 20:19:35

C:\WINDOWS\wiadebug.log -->30/04/2007 20:19:33

C:\WINDOWS\Sti_Trace.log -->30/04/2007 20:19:32

C:\WINDOWS\regopt.log -->30/04/2007 20:16:49

C:\WINDOWS\system.ini -->30/04/2007 20:16:48

C:\WINDOWS\setuperr.log -->30/04/2007 20:15:48

C:\WINDOWS.log -->30/04/2007 20:07:22

C:\WINDOWS\bootstat.dat -->30/04/2007 20:07:04

C:\WINDOWS\SchedLgU.Txt -->30/04/2007 20:06:10

C:\WINDOWS\Windows Update.log -->30/04/2007 20:06:00

C:\WINDOWS\OEWABLog.txt -->30/04/2007 19:34:12

C:\WINDOWS\setuplog.txt -->30/04/2007 19:33:43

C:\WINDOWS\REGLOCS.OLD -->30/04/2007 19:30:55

C:\WINDOWS\tsoc.log -->30/04/2007 19:29:52

 

C:\WINDOWS\twunk_16.exe |30/08/2002 14:00:00

C:\WINDOWS\twunk_32.exe |30/08/2002 14:00:00

C:\WINDOWS\twain.dll |30/08/2002 14:00:00

C:\WINDOWS\twain_32.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\append.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\csrs.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\debug.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\doom3d.exe |30/04/2007 19:42:27

C:\WINDOWS\system32\dosx.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\dvdplay.exe |23/08/2001 19:47:34

C:\WINDOWS\system32\edlin.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\exe2bin.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\explorer.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\fastopen.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\fnxciurd.exe |30/04/2007 19:43:25

C:\WINDOWS\system32\gebcy.exe |30/04/2007 20:07:35

C:\WINDOWS\system32\lssas.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\max1d1641.exe |30/04/2007 19:42:53

C:\WINDOWS\system32\mem.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\mljge.exe |30/04/2007 20:07:20

C:\WINDOWS\system32\mscdexnt.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\nhck.exe |30/04/2007 20:08:27

C:\WINDOWS\system32\nlsfunc.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\pmnlj.exe |30/04/2007 20:14:37

C:\WINDOWS\system32\redir.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\setver.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\share.exe |30/08/2002 14:00:00

C:\WINDOWS\system32\sinbsqxv.exe |30/04/2007 19:42:36

C:\WINDOWS\system32\ssms.exe |30/04/2007 19:41:45

C:\WINDOWS\system32\usrmlnka.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\usrprbda.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\usrshuta.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\woxc.exe |30/04/2007 20:07:37

C:\WINDOWS\system32\xdeg.exe |30/04/2007 19:43:34

C:\WINDOWS\system32\amstream.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\atmfd.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\atmlib.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\compatUI.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\dgrpsetu.dll |30/04/2007 20:16:36

C:\WINDOWS\system32\dgsetup.dll |30/04/2007 20:16:36

C:\WINDOWS\system32\EqnClass.Dll |30/04/2007 20:16:35

C:\WINDOWS\system32\gebyyvs.dll |30/04/2007 20:07:36

C:\WINDOWS\system32\geedcax.dll |30/04/2007 20:08:31

C:\WINDOWS\system32\hticons.dll |30/04/2007 19:22:40

C:\WINDOWS\system32\hypertrm.dll |30/04/2007 19:22:40

C:\WINDOWS\system32\iccvid.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\ir32_32.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\isrdbg32.dll |30/04/2007 19:24:50

C:\WINDOWS\system32\jgaw400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgdw400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgmd400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgpl400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgsd400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\jgsh400.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\kbdtup.dll |30/04/2007 20:07:22

C:\WINDOWS\system32\mdwmdmsp.dll |23/08/2001 19:47:06

C:\WINDOWS\system32\msdmo.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\msencode.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\paqsp.dll |23/08/2001 19:47:16

C:\WINDOWS\system32\pmnljji.dll |30/04/2007 19:42:39

C:\WINDOWS\system32\qedwipes.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\rpcc.dll |30/04/2007 19:42:47

C:\WINDOWS\system32\sbe.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\slbcsp.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\slbiop.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\slbrccsp.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\spnike.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\sprio600.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\sprio800.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\spxcoins.dll |30/04/2007 20:16:36

C:\WINDOWS\system32\tsd32.dll |30/08/2002 14:00:00

C:\WINDOWS\system32\usrcntra.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrcoina.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrdpa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrdtea.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrfaxa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrlbva.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrrtosa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrsdpia.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrsvpia.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrv42a.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrv80a.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrvoica.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrvpa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\win87em.dll |30/08/2002 14:00:00

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B02C-FD2A

 

Répertoire de C:\WINDOWS\system

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B02C-FD2A

 

Répertoire de C:\WINDOWS\system32

 

30/08/2002 14:00 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 38 524 497 920 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B02C-FD2A

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

30/04/2007 19:27 <REP> .

30/04/2007 19:27 <REP> ..

30/04/2007 19:25 65 desktop.ini

14/10/1997 18:52 697 DirectAnimation Java Classes.osd

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

3 fichier(s) 1 924 octets

 

Total des fichiers listés :

3 fichier(s) 1 924 octets

2 Rép(s) 38 524 497 920 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

 

 

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006

http://www.gmer.net

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

Liste des programmes installes

 

HijackThis 1.99.1

WebFldrs XP

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B02C-FD2A

 

Répertoire de C:\Program Files

 

30/04/2007 20:53 <REP> .

30/04/2007 20:53 <REP> ..

30/04/2007 19:23 <REP> ComPlus Applications

30/04/2007 20:54 <REP> Diaghelp

30/04/2007 19:24 <REP> Fichiers communs

30/04/2007 20:52 <REP> Hijack This

30/04/2007 19:25 <REP> Internet Explorer

30/04/2007 19:22 <REP> Messenger

30/04/2007 19:27 <REP> microsoft frontpage

30/04/2007 19:25 <REP> Movie Maker

30/04/2007 19:23 <REP> MSN

30/04/2007 19:22 <REP> MSN Gaming Zone

30/04/2007 19:24 <REP> NetMeeting

30/04/2007 19:24 <REP> Outlook Express

30/04/2007 19:25 <REP> Services en ligne

30/04/2007 19:34 <REP> Windows Media Player

30/04/2007 19:22 <REP> Windows NT

30/04/2007 19:27 <REP> xerox

0 fichier(s) 0 octets

18 Rép(s) 38 524 252 160 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B02C-FD2A

 

Répertoire de C:\Program Files\fichiers communs

 

30/04/2007 19:24 <REP> .

30/04/2007 19:24 <REP> ..

30/04/2007 19:34 <REP> Microsoft Shared

30/04/2007 19:24 <REP> MSSoap

30/04/2007 20:16 <REP> ODBC

30/04/2007 19:24 <REP> Services

30/04/2007 20:16 <REP> SpeechEngines

30/04/2007 19:24 <REP> System

0 fichier(s) 0 octets

8 Rép(s) 38 524 252 160 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B02C-FD2A

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

30/04/2007 19:34 <REP> .

30/04/2007 19:34 <REP> ..

18/05/2001 17:57 561 209 MSONSEXT.DLL

03/06/1999 14:09 122 937 MSOWS409.DLL

07/03/2001 09:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 38 524 252 160 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B02C-FD2A

 

Répertoire de C:\

 

11/11/2001 00:00 68 096 diff.exe

30/04/2007 20:22 21 504 evubbeq.exe

27/08/2006 14:10 103 424 grep.exe

30/04/2007 20:07 7 200 hqsxyp.exe

30/04/2007 20:07 48 128 igmcxjwe.exe

5 fichier(s) 248 352 octets

0 Rép(s) 38 524 252 160 octets libres

c:\Documents and Settings\Propriétaire\Bureau\setupfre.exe

 

 

 

Le 2eme rapport:

Logfile of HijackThis v1.99.1

Scan saved at 20:58:01, on 30/04/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system\msnntlp.exe

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\System32\csrs.exe

C:\WINDOWS\System32\fnxciurd.exe

C:\WINDOWS\System32\tcpipmon.exe

C:\WINDOWS\System32\tcpipmon.exe

C:\WINDOWS\System32\lssas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\explorer.exe

C:\WINDOWS\System32\woxc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\nhck.exe

C:\WINDOWS\System32\wpabaln.exe

C:\Program Files\Hijack This\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://glassofwhisky.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {f284abeb-a00c-40d9-9ea1-f89fc52b6673} - C:\WINDOWS\System32\kbdtup.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\nhck.exe

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [Windows Update] ssms.exe

O4 - HKLM\..\RunServices: [Windows Update] ssms.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - AppInit_DLLs: c:\windows\system32\geedcax.dll

O20 - Winlogon Notify: kbdtup - C:\WINDOWS\SYSTEM32\kbdtup.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: msnntlp - Unknown owner - C:\WINDOWS\system\msnntlp.exe

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Stinger :P

 

Dis moi : est ce que tu as utilisé un antivirus ou autre pour scanner ton pc?

 

La procédure est sensiblement la même! on va commencer par attaquer l'infection SDBot >

 

1) Avant de désinfecter, il faut impérativement installer un firewall!! sinon l'infection reviendra: ne fais pas l'impasse là dessus car le pc n'est pas protégé!! >

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

--------------------------------------------------------------

 

2) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

colle donc un nouveau rapport hijackthis (netier stp!! le dernier n'était pas complêt!) + le rapport de SDFix .

stinger13 Junior Member

stinger13

Posté(e)
  • Auteur
Posté(e)

Voiçi le rapport :

SDFix: Version 1.81

 

Run by Propri‚taire - 30/04/2007 - 21:29:32,03

 

Microsoft Windows XP [version 5.1.2600]

Service Pack 1

 

Running From: C:\DOCUME~1\PROPRI~1\Bureau\SDFix

 

Safe Mode:

Checking Services:

 

Name:

msnntlp

msnntlp

 

ImagePath:

"C:\WINDOWS\system\msnntlp.exe"

 

msnntlp - Deleted

 

Killing PID 128 'smss.exe'

Killing PID 204 'winlogon.exe'

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\HQSXYP.EXE - Deleted

C:\-13392~1 - Deleted

C:\WINDOWS\SYSTEM32\PMNLJ.EXE - Deleted

C:\WINDOWS\system\msnntlp.exe - Deleted

C:\WINDOWS\system32\csrs.exe - Deleted

C:\WINDOWS\system32\explorer.exe - Deleted

C:\WINDOWS\system32\i - Deleted

C:\WINDOWS\system32\lssas.exe - Deleted

C:\WINDOWS\system32\max1d1641.exe - Deleted

C:\WINDOWS\system32\rpcc.dll - Deleted

C:\WINDOWS\system32\ssms.exe - Deleted

C:\WINDOWS\system32\tcpipmon.exe - Deleted

C:\WINDOWS\system32\TFTP5084 - Deleted

C:\WINDOWS\Temp\removalfile.bat - Deleted

 

 

 

Removing Temp Files

 

ADS Check:

 

Checking if ADS is attached to system32 Folder

C:\WINDOWS\system32

No streams found.

 

Checking if ADS is attached to svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

 

Remaining Files:

---------------

 

 

Checking For Files with Hidden Attributes:

 

C:\WINDOWS\system32\xdeg.exe

 

Finished

 

 

 

Le 2eme:

Logfile of HijackThis v1.99.1

Scan saved at 21:33:45, on 30/04/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Hijack This\HijackThis.exe

C:\WINDOWS\System32\wpabaln.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://glassofwhisky.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {f284abeb-a00c-40d9-9ea1-f89fc52b6673} - C:\WINDOWS\system32\kbdtup.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - AppInit_DLLs: c:\windows\system32\geedcax.dll

O20 - Winlogon Notify: kbdtup - C:\WINDOWS\SYSTEM32\kbdtup.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

ok SDFix a bien bossé!!

 

Il faut installer le parefeu!! sinon le pc sera infecté de nouveau car les ports de ton pc sont ouverts!!

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

Poste avec le rapport de VundoFix un rapport hijackthis mais comme ceci >>

 

Lance HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique sur Generate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...