resolu à l'aide, virus win 32

[carene88]

Bonjour a tous

 

Tout d'abord je suis nouvelle, excusez moi d'avance si je ne comprend pas tout.

Cela fait plusieurs jour que avast detecte un cheval de troie sur mon pc et je n'arrive pas à l'enlever. Un lisant les différents post, je vois que vous dites de télécharger hijackthis et de poster le résultat. Je vous le mets ci-dessous. Faut il faire une sauvegarde de tout mes documents avant de me lancer dans l'avanture. Merci d'avance pour votre réponse.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:02:50, on 18/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

C:\WINDOWS\vsnpstd.exe

C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

C:\WINDOWS\wkssvr.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\OLITEC\Common\RaUI.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebuyclub.com/Accueil5.jsp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {D4576C73-52BD-4401-B966-5A128C4433D4} - C:\WINDOWS\system32\efcbywv.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

O4 - HKLM\..\Run: [MSN] wkssvr.exe

O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Moniteur réseau 802.11g OLITEC.lnk = C:\Program Files\OLITEC\Common\RaUI.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader4.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab

O20 - Winlogon Notify: efcbywv - C:\WINDOWS\SYSTEM32\efcbywv.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 7296 bytes

Modifié le 19 janvier 2008 par carene88

[angelique]

'soir ; tu es bien infectée

 

1/Upload ce fichier en gras à !aur3n7 ::

 

C:\WINDOWS\wkssvr.exe

 

tuto>> http://www.infos-du-net.com/forum/272805-1...-supects-msnfix

 

2/ Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:

http://sosvirus.changelog.fr/MSNFix.zip

 

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.

- Exécutez l'option R.

-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

 

Note :

Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

 

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

3/ relance Hijackthis " do a system scan only" coche uniquement les cases correspondant aux lignes ci dessous , puis clic fixchecked::

 

 

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {D4576C73-52BD-4401-B966-5A128C4433D4} - C:\WINDOWS\system32\efcbywv.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [MSN] wkssvr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O20 - Winlogon Notify: efcbywv - C:\WINDOWS\SYSTEM32\efcbywv.dll

 

 

4/-Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau.

 

http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

 

* Copie le texte ci-bas et RIEN D'AUTRE!!!!!!!!!! (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

 

C:\WINDOWS\SYSTEM32\efcbywv.dll
C:\WINDOWS\wkssvr.exe

 

 

 

* Double-clique sur OTMoveIt.exe afin de lancer le programme.

* Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée

* Fais un Clique-droit sur le cadre de gauche puis choisis Coller.

* Clique à présent sur le bouton "MoveIt!".

 

Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\

Le nom du rapport est la date de sa création.

 

5/Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

 

http://www.atribune.org/ccount/click.php?id=4

 

Double-clique VundoFix.exe afin de le lancer.

.

Clique sur le bouton Scan for Vundo.

Lorsque le scan est complété, clique sur le bouton Remove Vundo.

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

Redémarre le pc et Copie/colle le contenu du rapport situé dans C:\vundofix.txt

 

 

6/Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

 

-------------------

 

tu joins à ta reponses tous ces rapports!

 

-----

 

Faut il faire une sauvegarde de tout mes documents avant de me lancer dans l'avanture. Merci d'avance pour votre réponse.

 

Bien sur qu'il faut sauvegarder ses docs , txt , logs sur support amovible ou CD , il faut TOUJOURS le faire!!

[carene88]

Merci beaucoup pour ton aide. Voici les rapports:

combofix

 

ComboFix 08-01-18.5 - carene 2008-01-19 0:06:59.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.662 [GMT 1:00]

Running from: C:\Documents and Settings\carene\Bureau\ComboFix.exe

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\efcbywv.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-18 to 2008-01-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-19 00:06 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-18 23:38 . 2008-01-18 23:59 <REP> d-------- C:\VundoFix Backups

2008-01-18 19:10 . 2008-01-18 19:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Minnetonka Audio Software

2008-01-18 18:02 . 2008-01-18 18:02 <REP> d-------- C:\Program Files\Trend Micro

2008-01-13 17:37 . 2008-01-13 21:42 5,197 --a------ C:\is9.exe

2008-01-02 23:22 . 2008-01-02 23:22 <REP> d-------- C:\Program Files\MOVAVI

2008-01-02 23:21 . 2008-01-02 23:22 <REP> d-------- C:\Program Files\ConvertMovie 5.0

2008-01-02 23:10 . 2008-01-02 23:10 <REP> d-------- C:\Program Files\WinAVI Video Converter

2007-12-27 20:14 . 2007-12-27 20:14 <REP> d-------- C:\Documents and Settings\Propriétaire\Mes documents

2007-12-27 11:51 . 2007-12-27 11:51 <REP> d-------- C:\Program Files\XnFoto

2007-12-19 21:05 . 2007-12-19 21:05 97,216 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-18 23:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\WholeSecurity

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll

2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll

2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll

2007-10-25 09:01 2,109,440 ------w C:\WINDOWS\system32\dllcache\wmvcore.dll

2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll

2007-10-25 09:00 230,912 ------w C:\WINDOWS\system32\dllcache\wmasf.dll

2007-08-02 13:52 37,176 ----a-w C:\Documents and Settings\carene\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AnyDVD"="C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe" [2007-12-21 13:34 1649600]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 10:12 139264]

"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-08-17 21:48 439872]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2003-04-24 15:53 54784 C:\WINDOWS\SOUNDMAN.EXE]

"EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-01-28 08:43 35328]

"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 15:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]

"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-19 12:31 335872]

"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 10:00 49152]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 10:45 63712]

"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]

"eBayToolbar"="C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe" [2008-01-18 17:40 623856]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Moniteur r‚seau 802.11g OLITEC.lnk - C:\Program Files\OLITEC\Common\RaUI.exe [2007-07-08 14:40:22]

 

 

*Newly Created Service* - PROCEXP90

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-07-08 13:36:32 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job"

- C:\WINDOWS\System32\OOBE\oobebaln.exe

"2007-07-08 13:36:32 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job"

- C:\WINDOWS\System32\OOBE\oobebaln.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-19 00:08:55

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-19 0:09:35

ComboFix-quarantined-files.txt 2008-01-18 23:09:14

.

2008-01-11 22:36:58 --- E O F ---

 

 

vundofix

 

 

VundoFix V6.7.7

 

Checking Java version...

 

Sun Java not detected

Scan started at 23:38:02 18/01/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\efcbywv.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\efcbywv.dll

C:\WINDOWS\system32\efcbywv.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\efcbywv.dll

C:\WINDOWS\system32\efcbywv.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

otmoveit

 

DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\efcbywv.dll

C:\WINDOWS\SYSTEM32\efcbywv.dll NOT unregistered.

File move failed. C:\WINDOWS\SYSTEM32\efcbywv.dll scheduled to be moved on reboot.

File/Folder C:\WINDOWS\wkssvr.exe not found.

 

Created on 01/18/2008 23:31:27

 

 

hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:15:32, on 19/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\OLITEC\Common\RaUI.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebuyclub.com/Accueil5.jsp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Moniteur réseau 802.11g OLITEC.lnk = C:\Program Files\OLITEC\Common\RaUI.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader4.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 6563 bytes

 

 

 

Est que tout est ok maintenant ?

[angelique]

*j'aurai aimé voir le rapport de MsnFix.....

 

*desinstalle ComboFix de cette maniere::

 

Menu Démarrer>Exécuter> et copie colle le contenu du cadre ci dessous, valide par Ok ou "enter"

 

 

"%userprofile%\Bureau\combofix.exe" /u

 

*

 

supprime la sauvegarde de HijackThis, le dossier en gras::

 

C:\Program Files\Trend Micro\HijackThis\Backup

 

*

Vas sur le site http://virusscan.jotti.org/

• Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : C:\is9.exe
  
• Clique sur submit toujours en haut à droite
  
• Le scan va se lancer, ça va prendre un petit instant
  
• A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
  
• Poste ce fichier dans ta prochaine réponse
  

*

 

Il va falloir te debarrasser de Avast pour une solution plus performante::

 

http://forum.malekal.com/ftopic4192.php

 

pourquoi> http://forum.malekal.com/viewtopic.php?f=45&t=3528

 

Réalise un scan avec antivir, et poste le rapport généré.

[carene88]

bonjour,

j'ai suvi le lien http://virusscan.jotti.org/

 

j'ai fait parcourir et selectionner le fichier C:\is9.exe, mais le bouton submit rest grisé.

 

cela ne fonctionne pas

 

que dois je faire

 

voici le rapport msnfix

 

MSNFix 1.635

 

C:\Documents and Settings\carene\Bureau\MSNFix

Fix exécuté le 18/01/2008 - 23:16:56,54 By carene

mode normal

 

************************ Recherche les fichiers présents

 

... C:\DOCUME~1\carene\LOCALS~1\Temp\removalfile.bat

... C:\WINDOWS\images.zip

... C:\WINDOWS\images.zip

... C:\WINDOWS\wkssvr.exe

... C:\WINDOWS\images.zip

 

************************ MSNCHK ***** /!\ beta test /!\

 

[!] C:\WINDOWS\images.zip is INFECTED

 

 

************************ Recherche les dossiers présents

 

... C:\Temp\

 

 

 

 

************************ Suppression des fichiers

 

.. OK ... C:\DOCUME~1\carene\LOCALS~1\Temp\removalfile.bat

.. OK ... C:\WINDOWS\images.zip

.. OK ... C:\WINDOWS\images.zip

/!\ ... C:\WINDOWS\wkssvr.exe

.. OK ... C:\WINDOWS\images.zip

 

 

************************ Suppression des dossiers

 

.. OK ... C:\Temp\

 

 

************************ Nettoyage du registre

 

 

 

Les fichiers encore présents seront supprimés au prochain redémarrage

 

 

************************ Suppression des fichiers

 

.. OK ... C:\WINDOWS\wkssvr.exe

 

 

 

************************ Fichiers suspects

 

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

 

[C:\is9.exe] 4F24F7C5EAAD7CE6AD051F9B181788F0

 

==> SVP merci d'envoyer le fichier C:\DOCUME~1\carene\Bureau\Upload_Me.zip sur http://upload.changelog.fr

 

 

 

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 18012008_23212459.zip

 

 

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

 

--------------------------------------------- END ---------------------------------------------

[angelique]

j'ai fait parcourir et selectionner le fichier C:\is9.exe, mais le bouton submit rest grisé.

 

Il faut parcourir avec l'onglet browse

 

http://img256.imageshack.us/img256/5820/plopab0.jpg

[carene88]

voici le resultat

 

Service load: 0% 100%

 

File: is9.exe

Status: OK

MD5: 4f24f7c5eaad7ce6ad051f9b181788f0

Packers detected: -

Bit9 reports: File not found

 

Scanner results

Scan taken on 19 Jan 2008 10:23:47 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

[angelique]

OK!! poursuit par la desinstallation d'Avast, l'installation d'antivir comme expliqué plus haut, et poste le rapport antivir.

[carene88]

J'ai enlevé avast et j'ai mis antivir

voici le rapport:

 

 

 

AntiVir PersonalEdition Classic

Report file date: samedi 19 janvier 2008 12:17

 

Scanning for 1056958 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: SN400213120005

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 11:07:52

ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 11:07:52

ANTIVIR3.VDF : 7.0.2.20 225792 Bytes 18/01/2008 11:07:52

AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 19/01/2008 11:07:53

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/01/2008 11:07:53

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: samedi 19 janvier 2008 12:17

 

Starting search for hidden objects.

'47036' objects were checked, '0' hidden objects were found.

 

The scan of running processes will be started

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'slserv.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'NMIndexStoreSvr.exe' - '1' Module(s) have been scanned

Scan process 'AnyDVD.exe' - '1' Module(s) have been scanned

Scan process 'RaUI.exe' - '1' Module(s) have been scanned

Scan process 'PicasaMediaDetector.exe' - '1' Module(s) have been scanned

Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'eBayTBDaemon.exe' - '1' Module(s) have been scanned

Scan process 'apdproxy.exe' - '1' Module(s) have been scanned

Scan process 'opwareSE2.exe' - '1' Module(s) have been scanned

Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned

Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

33 processes with 33 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '30' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <HDD>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\carene\Bureau\Upload_Me.zip

[0] Archive type: ZIP

--> DOCUME~1/carene/Bureau/Upload_Me/images.zip

[1] Archive type: ZIP

--> IMG34814.pif

[DETECTION] Contains detection pattern of the worm WORM/IrcBot.173056.32

--> DOCUME~1/carene/Bureau/Upload_Me/wkssvr.exe

[DETECTION] Contains detection pattern of the worm WORM/IrcBot.173056.32

[iNFO] The file was moved to '47fde40e.qua'!

C:\Documents and Settings\carene\Bureau\MSNFix\18012008_23212459.zip

[0] Archive type: ZIP

--> backup/images.zip

[1] Archive type: ZIP

--> IMG34814.pif

[DETECTION] Contains detection pattern of the worm WORM/IrcBot.173056.32

--> backup/wkssvr.exe

[DETECTION] Contains detection pattern of the worm WORM/IrcBot.173056.32

[iNFO] The file was moved to '47c1e3d9.qua'!

C:\Documents and Settings\carene\Mes documents\Mes fichiers reçus\ImgBurn_1.0.0.0_Fr.exe

[DETECTION] Is the Trojan horse TR/Ransom.A.5

[iNFO] The file was moved to '47f8e459.qua'!

 

 

End of the scan: samedi 19 janvier 2008 13:17

Used time: 1:00:48 min

 

The scan has been done completely.

 

3122 Scanning directories

171397 Files were scanned

5 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

3 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

171392 Files not concerned

6914 Archives were scanned

1 Warnings

0 Notes

47036 Objects were scanned with rootkit scan

0 Hidden objects were found

[angelique]

c'est ok

 

**vide la quarantaine d'antivir

 

**supp. MsnFix,son rapport,et Upload_Me.zip de ton bureau

 

As tu encore des soucis?? sinon édite ton premier message et met [resolu] dans son titre.