Scan de HiJackThis, mais après ??

[TontonFragger]

Voila un dernier rapport de SmitFraudFix v2.303 :

 

Rapport fait à 11:00:59,31, 19/03/2008

Executé à partir de E:\Documents and Settings\Vincent\Mes documents\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\svchost.exe

D:\Logiciels\avast-antivirus\aswUpdSv.exe

D:\Logiciels\avast-antivirus\ashServ.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\PnkBstrA.exe

E:\WINDOWS\system32\PnkBstrB.exe

E:\WINDOWS\system32\PSIService.exe

E:\WINDOWS\system32\svchost.exe

D:\Logiciels\avast-antivirus\ashMaiSv.exe

D:\Logiciels\avast-antivirus\ashWebSv.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\LOGICI~1\AVAST-~1\ashDisp.exe

D:\Logiciels\Jetico\fwsrv.exe

E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

D:\Logiciels\winamp\winampa.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

D:\Logiciels\Olympus master 2\MMonitor.exe

E:\WINDOWS\system32\wuauclt.exe

E:\Program Files\Windows Live\Messenger\usnsvc.exe

E:\Program Files\Mozilla Firefox\firefox.exe

E:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Julien

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Julien\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\Julien\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="file:///E:\\WINDOWS\\privacy_danger\\index.htm"

"SubscribedURL"=""

"FriendlyName"="Privacy Protection"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: SiS191 1000/100/10 Ethernet Device - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

DNS Server Search Order: 0.0.0.0

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS2\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

Le scan en ligne avec Panda m'a indiqué aucune infection, serais-je sauvé !?! lol

 

Encore merci pour ton aide précieuse et pour tout le temps que tu m'as consacré :P

[Thanos]

salut

 

Panda n'a rien trouvé ? c'est bon signe

On va nettoyer le reste de l'infection zlob en repassant un coup de SmitfraudFix option 2 en mode sans échec stp.

Ca va rétablir certaines clés de registre.

 

1) Redémarre ton pc en mode sans échec

 

2) Double clique sur SmitfraudFix.exe

• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répond O (oui) et presse [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (oui) et presse [Entrée] pour remplacer le fichier corrompu.
  
• Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
  

3) Après ca, on nettoie les programmes téléchargés comme ceci >

• Télécharge ToolsCleaner sur ton Bureau.
  
• Clique sur Recherche et laisse le scan se terminer.
  
• Clique sur Suppression pour finaliser.
  
• Tu peux, si tu le souhaites, te servir des Options facultatives.
  
• Clique sur Quitter, pour que le rapport puisse se créer.
  
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
  

Poste stp le rapport de Smitfraudfix option 2 puis, après passage de ToolsCleaner2.exe, poste son rapport.

 

On touche au but...

[TontonFragger]

SmitFraudFix v2.303

 

Rapport fait à 11:00:59,31, 19/03/2008

Executé à partir de E:\Documents and Settings\Vincent\Mes documents\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\svchost.exe

D:\Logiciels\avast-antivirus\aswUpdSv.exe

D:\Logiciels\avast-antivirus\ashServ.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\PnkBstrA.exe

E:\WINDOWS\system32\PnkBstrB.exe

E:\WINDOWS\system32\PSIService.exe

E:\WINDOWS\system32\svchost.exe

D:\Logiciels\avast-antivirus\ashMaiSv.exe

D:\Logiciels\avast-antivirus\ashWebSv.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\LOGICI~1\AVAST-~1\ashDisp.exe

D:\Logiciels\Jetico\fwsrv.exe

E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

D:\Logiciels\winamp\winampa.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

D:\Logiciels\Olympus master 2\MMonitor.exe

E:\WINDOWS\system32\wuauclt.exe

E:\Program Files\Windows Live\Messenger\usnsvc.exe

E:\Program Files\Mozilla Firefox\firefox.exe

E:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Julien

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Julien\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\Julien\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="file:///E:\\WINDOWS\\privacy_danger\\index.htm"

"SubscribedURL"=""

"FriendlyName"="Privacy Protection"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: SiS191 1000/100/10 Ethernet Device - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

DNS Server Search Order: 0.0.0.0

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{5DBB75C4-E14F-495F-A0AD-70ABC95B4CD5}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS2\Services\Tcpip\..\{FE734757-66C9-4B9C-8E02-91977FA5CB9F}: NameServer=192.186.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

TCleaner

-->- Recherche:

 

E:\_OtMoveIt: trouvé !

E:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

E:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

E:\Documents and Settings\Julien\Bureau\SdFix.exe: trouvé !

E:\Documents and Settings\Julien\Bureau\HijackThis.lnk: trouvé !

E:\Documents and Settings\Julien\Bureau\SDFIX: trouvé !

E:\Documents and Settings\Julien\Recent\MSNFix.lnk: trouvé !

E:\Documents and Settings\Julien\Recent\HijackThis.lnk: trouvé !

E:\Documents and Settings\Vincent\Bureau\HijackThis.lnk: trouvé !

E:\Documents and Settings\Vincent\Bureau\OtMoveIt2.exe: trouvé !

E:\Documents and Settings\Vincent\Mes documents\Msnfix.zip: trouvé !

E:\Documents and Settings\Vincent\Mes documents\HijackThis.exe: trouvé !

E:\Documents and Settings\Vincent\Mes documents\SmitFraudFix.exe: trouvé !

E:\Documents and Settings\Vincent\Mes documents\MsnFix: trouvé !

E:\Documents and Settings\Vincent\Mes documents\SmitFraudfix: trouvé !

E:\Documents and Settings\Vincent\Recent\MSNFix.lnk: trouvé !

 

---------------------------------

-->- Suppression:

 

E:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !

E:\Documents and Settings\Julien\Bureau\SdFix.exe: supprimé !

E:\Documents and Settings\Julien\Bureau\HijackThis.lnk: supprimé !

E:\Documents and Settings\Julien\Recent\MSNFix.lnk: supprimé !

E:\Documents and Settings\Julien\Recent\HijackThis.lnk: supprimé !

E:\Documents and Settings\Vincent\Bureau\HijackThis.lnk: supprimé !

E:\Documents and Settings\Vincent\Bureau\OtMoveIt2.exe: supprimé !

E:\Documents and Settings\Vincent\Mes documents\Msnfix.zip: supprimé !

E:\Documents and Settings\Vincent\Mes documents\HijackThis.exe: supprimé !

E:\Documents and Settings\Vincent\Mes documents\SmitFraudFix.exe: supprimé !

E:\Documents and Settings\Vincent\Recent\MSNFix.lnk: supprimé !

E:\_OtMoveIt: supprimé !

E:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

E:\Documents and Settings\Julien\Bureau\SDFIX: supprimé !

E:\Documents and Settings\Vincent\Mes documents\MsnFix: supprimé !

E:\Documents and Settings\Vincent\Mes documents\SmitFraudfix: supprimé !

 

Corbeille vidée!

Fichiers temporaires nettoyés !

 

 

 

Voila, verdict ? Y-a-t'il encore quelque chose à faire ??

Merci beaucoup Thanos :P:P

[Thanos]

salut

 

Heu...tu m'a posté le même rapport SmitfraudFix que celui de ce matin (avec l'option 1) : je te demandais de le passer en mode sans échec avec l'option 2

 

 

Pas grave, on va vérifier autrement (smitfraudfix n'est plus sur ton pc) >

 

Rend toi sur cette page afin de télécharger le fichier look.bat > http://www.sendspace.com/file/vo5isi

pour cela, clique sur le lien en bas de page > Download Link: look.bat

 

Double-clique sur le fichier et poste son rapport stp.

Modifié le 19 mars 2008 par Thanos

[TontonFragger]

Oh mince je suis un boulet !

Quand je lance l'application "look" quasiment instantanément j'ai mon bloc note qui ouvre une page vierge...

[Thanos]

élimine le fichier et télécharge le de nouveau.

Relance le > le rapport doit s'afficher aussitôt. Sinon, tu trouveras le fichier look.txt sur ton bureau.