Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infecté

Rokiu

Par Rokiu
dans Analyses et éradication malwares

 Partager

Messages recommandés

Rokiu Junior Member

Rokiu

Posté(e)
Posté(e)

Bonjour a tous et merci d'avance,

 

Je ne sais pas par ou commencer alors je me remet à votre science.

 

Voici donc mon log Hijackthis.... j'ai peur qu'il y ai beaucoup de travail a faire.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 13:48:39, on 2007-08-13

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\TWFydGlu\command.exe

C:\WINDOWS\system32\msbind32.exe

C:\WINDOWS\system32\pmhlfylu.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Network Monitor\netmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\WINDOWS\ehome\mcrdsvc.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HP\QuickPlay\QPService.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\outlook\outlook.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\retadpu27.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\TEMP\sdadlrow-t2.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\ComPlus Applications\horyfyz2.exe

C:\WINDOWS\system32\kernelwind32.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\WinPop\winpop.exe

C:\WINDOWS\SMANTE~1\winlogon.exe

C:\Program Files\Common Files\?ppPatch\?serinit.exe

C:\WINDOWS\system32\dllh8jkd1q2.exe

C:\WINDOWS\system32\dllh8jkd1q6.exe

C:\WINDOWS\system32\dllh8jkd1q7.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\totalcmd\TOTALCMD.EXE

C:\DOCUME~1\Martin\LOCALS~1\Temp\_tc\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A

O4 - HKLM\..\Run: [systemOptimizer] rundll32.exe "C:\WINDOWS\system32\nsttvavb.dll",forkonce

O4 - HKLM\..\Run: [bantool] C:\WINDOWS\TEMP\sdadlrow-t2.exe

O4 - HKLM\..\Run: [{ZN}] C:\Documents and Settings\Martin\TISKY008.exe SKY008

O4 - HKLM\..\Run: [horyfyz] C:\Program Files\ComPlus Applications\horyfyz2.exe

O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe

O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\kernelwind32.exe

O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [WinPop] C:\Program Files\WinPop\winpop.exe

O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\Run: [scbu] "C:\WINDOWS\SMANTE~1\winlogon.exe" -vt yazb

O4 - HKCU\..\Run: [Elf] "C:\Program Files\Common Files\?ppPatch\?serinit.exe"

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Startup: TA_Start.lnk = C:\Documents and Settings\Martin\TISKY008.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=EN_CA&c=Q106&bd=pavilion&pf=laptop

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - AppInit_DLLs: dxclib303562752.dll

O21 - SSODL: CxZhWTPZ - {AC8E0CCF-0624-A665-30EA-1FCE9FDD0939} - C:\WINDOWS\system32\gyw.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFydGlu\command.exe

O23 - Service: DomainService - - C:\WINDOWS\system32\pmhlfylu.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

eclypse Extrem Member

eclypse

Posté(e)
Posté(e) (modifié)

Salut

 

1°) Ouvre hijackthis et coche

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll

O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A

O4 - HKLM\..\Run: [systemOptimizer] rundll32.exe "C:\WINDOWS\system32\nsttvavb.dll",forkonce

O4 - HKLM\..\Run: [bantool] C:\WINDOWS\TEMP\sdadlrow-t2.exe

O4 - HKLM\..\Run: [{ZN}] C:\Documents and Settings\Martin\TISKY008.exe SKY008

O4 - HKLM\..\Run: [horyfyz] C:\Program Files\ComPlus Applications\horyfyz2.exe

O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe

O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\kernelwind32.exe

O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKCU\..\Run: [WinPop] C:\Program Files\WinPop\winpop.exe

O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe

O4 - HKCU\..\Run: [Elf] "C:\Program Files\Common Files\?ppPatch\?serinit.exe"

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O20 - AppInit_DLLs: dxclib303562752.dll

O21 - SSODL: CxZhWTPZ - {AC8E0CCF-0624-A665-30EA-1FCE9FDD0939} - C:\WINDOWS\system32\gyw.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFydGlu\command.exe

O23 - Service: DomainService - - C:\WINDOWS\system32\pmhlfylu.exe

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

 

FERME TOUT LES LOGICIELS ET Clique sur fix checked

 

2°) Télécharge smitfraud dispo ici

3°) Une fois l'application lancée choisis 1 puis poste le rapport

4°) Téléchage navilog1 (IL-MAFIOSO) dispo ici

5°) Une fois l'application lancée choisis 1 puis poste le rapport

6°) Fais un scan panda dispo ici UNIQUEMENT PAR INTERNET EXPLORER

 

 

7°) Fais demarrer executer => services.msc

 

cherche des lignes correspondant a ses services :

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFydGlu\command.exe

O23 - Service: DomainService - - C:\WINDOWS\system32\pmhlfylu.exe

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

 

Si tu les trouves arrete puis desactive le service

 

ATTENTION : Pour le scan désactive ton antivirus le temps de celui ci

 

 

 

Amicalement

 

Eclypse

Modifié par eclypse
eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Re c'est encore moi

 

Va dans ton panneau de configuration Ajout suppression de programme puis desinstalle DeluxeCommunications

Il te sera alors demandé de saisir le code apparaissant sur la ligne Security Code : xxxxx

 

DeluxeCommunications.jpg

 

Un message t'indique que tu dois fermer tous les navigateurs internet.

 

Fermez les puis clique sur le bouton YES.

 

Redemarre l'ordi

 

De visu je te prepare la marche à suivre pour demain

 

@+

 

eclypse

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...