PC=> Freeze + rapport HIJACKTHIS/ merci

[chrifleur]

relance hijackthis

va dans voir les sauvegardes

coche ces deux lignes

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [siSUSBRG] D:\WINDOWS\SiSUSBrg.exe

et clique sur "réparer"

et dis moi si cela reboot encore

 

et dis moi quelles lignes tu as supprimées de toi même?

Modifié le 18 juillet 2007 par chrifleur

[Minkus]

J'ai hijackthis en anglais , je vais dans les Backsups et j'ai pas "reparer" comme commande mais "restore" : c'est ça, je les restaure ?

 

Ensuite pour ta question :

 

j'ai fixé "seule"

02 - BHO: Google Toolbar Helper (+ serie de chiffres et lettre et l'emplacement) googletoolbar 1 .dll

02 - BHO: Google Toolbar Notifier BHO (+ idem) swg.dll

03 - Toolbar : &Google (+ idem) googletoolbar1.dll

Il faut que je les restaure aussi ??

 

Bitdefender est en train de bosser, il a "réveillé" AVG Pro qui vient d'identifier des troyans (je les ai placé en quarantaine)... Bouuuuuuuuh ça finira donc JAMAIS ????

Le scan se finit dans une vingtaine de minutes...

[chrifleur]

non pas la peine de les restaurer

pour AVG Pro il prend bit defender pour un virus?

désactive le le temps du scan...

donne moi le nom et le chemin de ces troyens

Modifié le 18 juillet 2007 par chrifleur

[Minkus]

Non, AVG est souple il accepte des scans en ligne ...

Mais ça lui a "ouvert les yeux " sur ces troyens...

Atta, voilà :

 

"";"";"Cheval de Troie BackDoor.Agent.INQ";"D:\System Volume Information\_restore{AFF565D1-E6A4-40E9-A14E-3FBFB033B49E}\RP72\A0024040.exe";"18/07/2007 21:20:03";"A0024040.exe";"538.23 KB"

"";"";"Cheval de Troie BackDoor.Agent.IAT";"D:\System Volume Information\_restore{AFF565D1-E6A4-40E9-A14E-3FBFB033B49E}\RP67\A0023812.dll";"18/07/2007 21:19:56";"A0023812.dll";"25 KB"

"";"";"Cheval de Troie Agent.CUS";"D:\System Volume Information\_restore{AFF565D1-E6A4-40E9-A14E-3FBFB033B49E}\RP51\A0021224.exe";"18/07/2007 21:19:42";"A0021224.exe";"105.24 KB"

"";"";"Cheval de Troie BackDoor.Agent.INQ";"D:\WINDOWS\update.exe";"17/07/2007 16:48:13";"update.exe";"538.23 KB"

"";"";"Cheval de Troie BackDoor.Agent.IAT";"D:\WINDOWS\system32\ctccw32.dll";"11/07/2007 20:04:47";"ctccw32.dll";"25 KB"

"";"";"Cheval de Troie Generic4.SVC";"D:\System Volume Information\_restore{AFF565D1-E6A4-40E9-A14E-3FBFB033B49E}\RP40\A0010806.exe";"01/07/2007 01:08:15";"A0010806.exe";"101.74 KB"

"";"";"Cheval de Troie Generic4.SVC";"D:\Documents and Settings\sophie\Bureau\Adobe Photoshop 10 CS3 Fr activation crack serial keygen\setup.exe";"26/06/2007 14:59:29";"setup.exe";"101.74 KB"

"";"";"Cheval de Troie Generic4.SVC";"D:\Documents and Settings\sophie\Bureau\Adobe Photoshop 10 CS3 Fr activation crack serial keygen.zip";"26/06/2007 14:59:29";"Adobe Photoshop 10 CS3 Fr activation crack serial keygen.zip";"200.42 KB"

"";"";"Cheval de Troie BackDoor.Agent.11.N";"D:\WINDOWS\system32\osa9.exe";"25/06/2007 14:19:46";"osa9.exe";"45.24 KB"

"";"";"Programme potentiellement nuisible Logger.ANZ";"G:\System Volume Information\_restore{77E22FFB-9B83-4A90-84ED-F242115A916E}\RP188\A0057260.exe";"25/02/2007 13:50:22";"A0057260.exe";"685.46 KB"

"";"";"Programme potentiellement nuisible Logger.ANZ";"G:\LOgiciels\winrar_28_fr.exe";"24/02/2007 15:45:32";"winrar_28_fr.exe";"685.46 KB"

[chrifleur]

ok on attends la fin du scan en ligne et on attaque ces bestioles!

comme tu le vois tes fichiers "disparus" sont toujours là

osa9 et ctccw32.dll, il va falloir que nous les débusquions...

[Minkus]

Le scan en ligne a planté à 7 mn de la fin...Il bloquait sur un .rar...J'ai dû terminer l'analyse et là, il est planté avec arrêt en cours grisé et exporter le R.A aussi ! PFFFF !

[chrifleur]

on va faire ceci

* Télécharge SDFix sur ton bureau

 

 

* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 

* Redémarre ton ordinateur en mode sans échec

 

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

 

* Appuie sur Y pour commencer le processus de nettoyage.

 

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

 

* Appuie sur une touche pour redémarrer le PC.

 

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

 

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

 

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

 

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

 

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

 

avec un nouveau log Hijackthi

[Minkus]

Et si je vidais la quarantaine d'AVG, bêtement ?

C'est pas suffisant hein ?

Bon...

[chrifleur]

pas sur que cela ne revienne pas

SDFix lui il va te les éradiquer

[Minkus]

Chrifleur, pas encore au Dodo ?

 

DSL de monopoliser ton temps...

Voici le rapport SDfix :

 

SDFix: Version 1.92

 

Run by sophie on 18/07/2007 at 22:58

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: D:\DOCUME~1\sophie\Bureau\SDFix\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Missing Security Center Service

Restoring Missing SharedAccess Service

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

D:\WINDOWS

No streams found.

 

D:\WINDOWS\system32

No streams found.

 

D:\WINDOWS\system32\svchost.exe

No streams found.

 

D:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"D:\\WINDOWS\\Temp\\NavBrowser.exe"="D:\\WINDOWS\\Temp\\NavBrowser.exe:*:Enabled:NAVBrowser"

"D:\\Program Files\\Bonjour\\mDNSResponder.exe"="D:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"D:\\Program Files\\Thomson SpeedTouch\\ST330\\WebInstaller\\STHIW\\stInstall.exe"="D:\\Program Files\\Thomson SpeedTouch\\ST330\\WebInstaller\\STHIW\\stInstall.exe:*:Enabled:SpeedTouch Home Install Wizard"

"D:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe"="D:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe:*:Enabled:ST330 service"

"D:\\Program Files\\Skype\\Phone\\Skype.exe"="D:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

D:\Program Files\Canon\Canon Setup Utility 2.0\uinstrsc.dll

D:\Program Files\Canon\Canon Setup Utility 2.0\Maint.exe

D:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

D:\Le trou de Montauban\~WRL0150.tmp

D:\Le trou de Montauban\~WRL1210.tmp

D:\Le trou de Montauban\~WRL2748.tmp

D:\Le trou de Montauban\~WRL2750.tmp

D:\WINDOWS\SoftwareDistribution\Download\c8f95ed251aedea843abb9ea5b1a52d3\download\BIT40.tmp

 

Finished

 

 

 

 

 

 

 

 

Le rapport HJT de 23H13 :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:12:32, on 18/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgamsvr.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgupsvc.exe

D:\WINDOWS\system32\drivers\CDAC11BA.EXE

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\Tablet.exe

D:\WINDOWS\system32\notepad.exe

D:\WINDOWS\system32\RunDll32.exe

D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgcc.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgemc.exe

D:\Program Files\Logitech\VideoCam\LogiTray.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

D:\Program Files\Logitech\iTouch\iTouch.exe

D:\PROGRA~1\Wanadoo\TaskbarIcon.exe

D:\PROGRA~1\Wanadoo\CnxMon.exe

D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

D:\PROGRA~1\MESSAG~1\Demon.exe

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Logitech\MouseWare\system\em_exec.exe

D:\Program Files\Logitech\VideoCam\FxSvr2.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Tablette\TabUserW.exe

D:\Program Files\Dicos\Les 4 Dictionnaires Utiles\MediaDICO4Ut.EXE

D:\Program Files\WinZip\WZQKPICK.EXE

D:\Program Files\OpenOffice.org 2.2\program\soffice.exe

D:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

D:\Program Files\Dicos\Les 4 Dictionnaires Utiles\Rac4Ut.EXE

D:\Program Files\Wanadoo\EspaceWanadoo.exe

D:\Program Files\Wanadoo\ComComp.exe

D:\Program Files\Wanadoo\Watch.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\Tools PC\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

 

http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program

 

Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program

 

Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - D:\Program

 

Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program

 

Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - D:\Program

 

Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "D:\Program Files\Alcatel\SpeedTouch

 

USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\ANTIVI~1\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\ANTIVI~1\AVG7\avgemc.exe

O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\VideoCam\LogiTray.exe

O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Program Files\Logitech\VideoCam\ISStart.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WooCnxMon] D:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"

 

-osboot

O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\VideoCam\ISStart.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Google Desktop Search] "D:\Program Files\Google\Google Desktop

 

Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [Demon] D:\PROGRA~1\MESSAG~1\Demon.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader

 

8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NavRegReminder] "D:\WINDOWS\temp\NavBrowser.exe" /r /i

 

"D:\WINDOWS\temp\NavLoad.ini"

O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MediaDICO4Ut] D:\Program Files\Dicos\Les 4 Dictionnaires

 

Utiles\LanceMediaDICO4Ut.exe Lancement

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - Startup: OpenOffice.org 2.2.lnk = D:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers

 

communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Tablette.lnk = D:\Program Files\Tablette\TabUserW.exe

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF -

 

res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program

 

Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program

 

Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program

 

Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program

 

Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program

 

Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

 

D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

 

(file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -

 

{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program

 

Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program

 

Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file

 

missing) (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

 

http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -

 

http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE6241BE-F634-45B1-95C8-646295D42DB9}: NameServer =

 

80.10.246.130 80.10.246.3

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

 

D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

 

D:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -

 

D:\PROGRA~1\ANTIVI~1\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -

 

D:\PROGRA~1\ANTIVI~1\AVG7\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

 

D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

 

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Voilà !

Je sais pas si ça ira ? Il y a toujours ce satané google desktop ! mais bon...QU'est ce que tu en penses ???