analyse log

[Baobab]

Sorry...j'étais persuadé d'etre dans le bon forum!!!

 

 

on m'a collé cette f@#$.. machine pour le week end...car elle était très

sale....

effectivement, je n'avais jamais vu ça!!!

j'ai nettoyé tout ce que je pouvais avec ce que j'avais...

malgré tout, il reste encore des saloperies que je ne parviens pas à erradiquer:

eUniverse

web specials

p2p networking

backdoor rbot

et quelques autres, qui se réinstallent systématiquement au démarrage, après avoir été virées..(pest patrol, spybot, scan spyware,adaware et j'en passe...)

 

voici le log tel qu'il apparait après tout ça...

 

merci pour tout ...

 

Logfile of HijackThis v1.99.1

Scan saved at 16:17:04, on 07/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe

C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\System32\hphmon05.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

G:\Spy JMC\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [msnmsgr32.exe] msnmsgr.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Reg Services] WINBOOT32.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run

O4 - HKLM\..\RunServices: [Windows Config] svchosts.exe

O4 - HKLM\..\RunServices: [Windows Video Drivers] videons32.exe

O4 - HKLM\..\RunServices: [msnmsgr32.exe] msnmsgr.exe

O4 - HKLM\..\RunServices: [system Security Updaters] vsmons.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] msoffice2.exe

O4 - HKLM\..\RunServices: [Windows Media Player Update] ioopvtx.exe

O4 - HKLM\..\RunServices: [WindowsReg% update] win16update.exe

O4 - HKLM\..\RunServices: [Reg Services] WINBOOT32.EXE

O4 - HKLM\..\RunServices: [Microszoft Update Mach1nezs] svcohst.exe

O4 - HKLM\..\RunServices: [Microsoft Update] windows24.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] kxvdhw.exe

O4 - HKLM\..\RunServices: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [msnmsgr32.exe] msnmsgr.exe

O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run

O4 - HKCU\..\RunServices: [msnmsgr32.exe] msnmsgr.exe

O4 - HKCU\..\RunServices: [Windows Media Player Update] ioopvtx.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Invité Stonangel]

Bonjour Baobab et bienvenue sur Zébulon Sécurité. Je regarde ton rapport réponse dans un moment.

[Invité Stonangel]

Re Baobab, rebonjour à tous.

 

1 Télécharge ces utilitaire CleanUp:

http://downloads.stevengould.org/cleanup/CleanUp40.exe

 

Ewido:

Installe, et mets le à jour.

http://www.ewido.net/en/download/

 

2 Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes en gras suivantes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [msnmsgr32.exe] msnmsgr.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Reg Services] WINBOOT32.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run

O4 - HKLM\..\RunServices: [Windows Config] svchosts.exe

O4 - HKLM\..\RunServices: [Windows Video Drivers] videons32.exe

O4 - HKLM\..\RunServices: [msnmsgr32.exe] msnmsgr.exe

O4 - HKLM\..\RunServices: [system Security Updaters] vsmons.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] msoffice2.exe

O4 - HKLM\..\RunServices: [Windows Media Player Update] ioopvtx.exe

O4 - HKLM\..\RunServices: [WindowsReg% update] win16update.exe

O4 - HKLM\..\RunServices: [Reg Services] WINBOOT32.EXE

O4 - HKLM\..\RunServices: [Microszoft Update Mach1nezs] svcohst.exe

O4 - HKLM\..\RunServices: [Microsoft Update] windows24.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] kxvdhw.exe

O4 - HKLM\..\RunServices: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [msnmsgr32.exe] msnmsgr.exe

O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run

O4 - HKCU\..\RunServices: [msnmsgr32.exe] msnmsgr.exe

O4 - HKCU\..\RunServices: [Windows Media Player Update] ioopvtx.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

video_32sD.exe

 

3 Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

4 Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\WINDOWS\System32\P2P Networking

C:\Program Files\Common files\updmgr

C:\Program Files\WebSpecials

 

Poour ceux-ci utiliser la fonction rechercher

 

msnmsgr32.exe

WINBOOT32.EXE

svchosts.exe < attention à la syntaxe

videons32.exe

vsmons.exe

msoffice2.exe

ioopvtx.exe

win16update.exe

WINBOOT32.EXE

svcohst.exe < attention à la syntaxe

windows24.exe

kxvdhw.exe

mscnsz.exe

video_32sD.exe

ioopvtx.exe

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Lance Cleanup

 

6 Redémarre normalement. Démarre Ewido et poste un nouveau rapport Hijackthis avec celui d'Ewido pour vérification.

Modifié le 7 mai 2005 par Stonangel

[Baobab]

Re Baobab, rebonjour à tous.

 

... édition ipl_001 : Baobab, il est inutile, sauf à rendre la discussion difficilement lisible, de reproduire l'ensemble du post précédent !...

6 Redémarre normalement. Démarre Ewido et poste un nouveau rapport Hijackthis avec celui d'Ewido pour vérification.

499184[/snapback]

 

Merci pour l'aide ...

j'avais déjà procédé à tout ça...

j'ai toujours les memes pb, et deux fenetres au demarrage concernant web specials

impossible de virer tout ça dans le menu demarrer (msconfig)

je n'ai trouvé aucun des fichiers à enlever...

 

 

log

 

Logfile of HijackThis v1.99.1

Scan saved at 19:46:51, on 07/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\wuauclt.exe

G:\Spy JMC\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr10.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr10.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [Reg Services] WINBOOT32.EXE

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [msnmsgr32.exe] msnmsgr.exe

O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run

O4 - HKLM\..\RunServices: [Microszoft Update Mach1nezs] svcohst.exe

O4 - HKLM\..\RunServices: [system Security Updaters] vsmons.exe

O4 - HKLM\..\RunServices: [Microsoft Update] windows24.exe

O4 - HKLM\..\RunServices: [Windows Config] svchosts.exe

O4 - HKLM\..\RunServices: [Windows Video Drivers] videons32.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] kxvdhw.exe

O4 - HKLM\..\RunServices: [Microszoft Update Machinezs] mscnsz.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] msoffice2.exe

O4 - HKLM\..\RunServices: [Windows Media Player Update] ioopvtx.exe

O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe

O4 - HKLM\..\RunServices: [Reg Services] WINBOOT32.EXE

O4 - HKLM\..\RunServices: [WindowsReg% update] win16update.exe

O4 - HKLM\..\RunServices: [msnmsgr32.exe] msnmsgr.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [msnmsgr32.exe] msnmsgr.exe

O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run

O4 - HKCU\..\RunServices: [Windows Media Player Update] ioopvtx.exe

O4 - HKCU\..\RunServices: [msnmsgr32.exe] msnmsgr.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

et ewideo:

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 19:45:18, 07/05/2005

+ Somme de contrôle: 9F79B7E4

 

+ Date des signatures: 07/05/2005

+ Version du moteur de recherche: v3.0

 

+ Temps: 25 min

+ Fichiers scannés: 83283

+ Vitesse: 54.58 Fichiers/Secondes

+ Fichers infectés: 5

+ Fichiers supprimés: 5

+ Fichiers mis en quarantaine: 5

+ Fichiers ne pouvant pas être ouverts: 0

+ Fichiers ne pouvant pas être nettoyés: 0

 

+ Liés: Oui

+ Cryptés: Oui

+ Archives: Oui

 

+ Elements scannés:

C:\

D:\

 

+ Résultats du scan:

C:\WINDOWS\Downloaded Program Files\installer.dll -> Spyware.Downloadware -> Nettoyer et sauvegarder

C:\WINDOWS\system32\a3d36135.exe -> Spyware.AdSrve.a -> Nettoyer et sauvegarder

C:\WINDOWS\system32\atl70550.exe -> Spyware.VB.a -> Nettoyer et sauvegarder

C:\WINDOWS\system32\config\systemprofile\Cookies\system@hb.lycos[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\WINDOWS\system32\config\systemprofile\Cookies\system@search.msn[2].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Je commence à douter...

 

merci pour l'aide...

[Invité Stonangel]

Re Baobab, je suis très surpris... Fais un scan en ligne sur Ravantivirus:

 

http://www.ravantivirus.com/scan/

 

To continue without suscribing> Attendre la mise à jour> Autoclean> Scan my PC

 

Colle le rapport ici.

[ipl_001]

Bonsoir Baobab, Stonangel, bonsoir à tous,

 

on m'a collé cette f@#$.. machine pour le week end...car elle était très

sale....

Es-tu informaticien ? t'a-t-on donné cette machine à nettoyer ?

 

Perso, j'ai l'impression que tu as RBot, sans plus !

 

As-tu bien affiché tous les fichiers ?

[ipl_001]

Rebonsoir Baobab, Stonangel, rebonsoir à tous,

 

-= DirFile-gM =- (Recherche de fichiers)

(création du fichier .bat)

(attention que les commandes Dos entrées ci-dessous peuvent être aussi délicates que la manipulation de la base de registres ! Effectuer un copier-coller sans essayer de bricoler quoi que ce soit d'autre !)

- ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les lignes de tirets-

----- DirFile-gM

@echo off

echo -=DirFile-gM=- ... veuillez patienter s'il vous plait...

echo -=DirFile-gM=->C:\DirFile-gM.txt

echo .>>C:\DirFile-gM.txt

rem

cd\Windows\System32

cd>>C:\DirFile-gM.txt

echo ---fichiers Système/Cachés/Lecture seule--->>C:\DirFile-gM.txt

echo -S->>C:\DirFile-gM.txt

dir /od/as|find "/">>C:\DirFile-gM.txt

echo -H->>C:\DirFile-gM.txt

dir /od/ah|find "/">>C:\DirFile-gM.txt

echo -R->>C:\DirFile-gM.txt

dir /od/ar|find "/">>C:\DirFile-gM.txt

echo ---fichiers Avril--->>C:\DirFile-gM.txt

dir /od|find "/04/2005">>C:\DirFile-gM.txt

echo ---fichiers Mai--->>C:\DirFile-gM.txt

dir /od|find "/05/2005">>C:\DirFile-gM.txt

rem

echo fin -=DirFile-gM=->>C:\DirFile-gM.txt

Notepad C:\DirFile-gM.txt

Del C:\DirFile-gM.txt

----- 13 + 9 lignes

- Fichier / Enregistrer sous

--- Enregistrer dans : Bureau

--- Nom du fichier : DirFile-gM.bat

--- Type : tous les fichiers

--- cliquer sur Enregistrer

- quitter Notepad

-

(utilisation du fichier)

- double cliquer sur le fichier DirFile-gM.bat (bureau)

- il y a affichage d'une fenêtre sur fond noir qui disparaît rapidement

- une fenêtre bloc-notes s'ouvre

- copier-coller le contenu du bloc-notes sur le forum

- quitter Notepad

- supprimer DirFile-gM.bat (bureau)

 

 

 

N.B.: Ce fichier .bat liste 3 séries de fichiers/dossiers du répertoire System32 :

-1- les éléments Système/Cachés/Lecture seule du répertoire

-2- les éléments non cachés modifiés en Avril 2005

-3- les éléments non cachés modifiés en Mai 2005.

[Baobab]

Bonsoir à tous...

 

ok pour Rbot !!! quelqu'un a une solution ?

 

Scan started at 07/05/2005 23:16:29

 

Scanning memory...

Scanning boot sectors...

Scanning files...

C:\WINDOWS\system32\TFTP2548 - Backdoor:Win32/Rbot -> Infected

C:\WINDOWS\system32\TFTP2760 - Backdoor:Win32/Rbot -> Infected

C:\WINDOWS\system32\TFTP2872 - Backdoor:Win32/Rbot.dam#2 -> Infected

C:\WINDOWS\system32\TFTP6028 - Backdoor:Win32/Rbot.dam#2 -> Infected

 

Scanned

============================

Objects: 52469

Directories: 4011

Archives: 13489

Size(Kb): -1210559

Infected files: 4

 

Found

============================

Viruses found: 2

Suspicious files: 0

Disinfected files: 0

Mail files: 224

[Invité Stonangel]

Re essaie ce soft F-Secure F-Bot cleaner tool 1.0.1

 

http://www.softpedia.com/get/Antivirus/F-S...aner-tool.shtml

 

et poste un nouveau rapport Hijackthis

[ipl_001]

Rebonjour Baobab, Stonangel, rebonsoir à tous,

ok pour Rbot !!! quelqu'un a une solution ?

Tu ne réponds pas à mes questions... mes préconisations ne t'intéressent-elles pas ?

Okay!