Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

cheval de troie et adware

yver

Par yver
dans Analyses et éradication malwares

 Partager

Messages recommandés

yver Junior Member

yver

Posté(e)
Posté(e)

:P bonjours à tous.

J'ai entendu parlé de ce forum très efficace et je viens demander de l'aide.

Depuis deux semaines mon antivirus Avast me signal la présence d'un cheval de troie et d'un Adware ds mon ordinateur. En suivant ses conseils qui st de les mettre en quarenteine je n'ai aucun résultat. Régulièrement il m'affiche un message d'alerte et il ne fait que cela. En faisant un scan je n'arrive pas à les supprimer et ils polluent tjs mon ordi.

Le rapport Hijackthis est:Logfile of HijackThis v1.99.1

Scan saved at 22:42:17, on 01/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE

C:\windows\system32\tdpmx.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

c:\windows\system32\vmqsan.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\ULTIMA~1.0\uzip.exe

C:\DOCUME~1\HP\LOCALS~1\TEMP\UZ_2411\HIJACKTHIS.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...ilion&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB002" /M "Stylus C66"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [tdpmx] c:\windows\system32\tdpmx.exe /nocomm

O4 - HKLM\..\Run: [wrneoehw] c:\windows\system32\wrneoehw.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [nmgjpii] c:\windows\system32\vmqsan.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PicoZip] C:\Program Files\PicoZip\PicoZipTray.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

 

 

 

Merci de m'aider.

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e) (modifié)

Bonsoir et bienvenue sur Zébulon Sécurité, télécharge, installe, mets à jour Ewido:

http://www.ewido.net/en/download/

 

Démarre en mode sans échec (F5 ou F8) et lance le. Colle le rapport ici ainsi qu'un nouveau rapport Hijackthis.

 

Installe Hijackthis correctement: navigue jusqu'à C:\Program files et ouvre un nouveau dossier. Nomme le HJT et dézippe Hijackthis à l'intérieur. Tu obtiendras le chemin suivant:

 

C:\HJT\Hijackthis.exe

Modifié par Stonangel
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir yver, Stonangel, Pollux_63, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum ! :P

 

Zut ! Grillé par Stonangel ! Cà devient comme sur PCA ici ! LOL

 

Ton rapport montre de beaux malwares : ewido et Stonangel vont se régaler !

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e) (modifié)

Bonsoir ipl :P , bonsoir à tous, la partie risque d'être difficile. Nail.exe c'est particulièrement coriace...

Modifié par Stonangel
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)
... la partie risque d'être difficile. Nail.exe c'est particulièrement coriace...
pfff ! Pas pour toi ! :P
yver Junior Member

yver

Posté(e)
  • Auteur
Posté(e)
Bonsoir et bienvenue sur Zébulon Sécurité, télécharge, installe, mets à jour Ewido:

http://www.ewido.net/en/download/

 

Démarre en mode sans échec (F5 ou F8) et lance le. Colle le rapport ici ainsi qu'un nouveau rapport Hijackthis.

 

Installe Hijackthis correctement: navigue jusqu'à C:\Program files et ouvre un nouveau dossier. Nomme le HJT et dézippe Hijackthis à l'intérieur. Tu obtiendras le chemin suivant:

 

C:\HJT\Hijackthis.exe

511436[/snapback]

 

le scan a prit un peu de temps ms ca y ait c'est fini.

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 00:32:39, 02/06/2005

+ Somme de contrôle: 5EDC9EF2

 

+ Date des signatures: 01/06/2005

+ Version du moteur de recherche: v3.0

 

+ Temps: 70 min

+ Fichiers scannés: 161774

+ Vitesse: 38.15 Fichiers/Secondes

+ Fichers infectés: 55

+ Fichiers supprimés: 28

+ Fichiers mis en quarantaine: 28

+ Fichiers ne pouvant pas être ouverts: 0

+ Fichiers ne pouvant pas être nettoyés: 27

 

+ Liés: Oui

+ Cryptés: Oui

+ Archives: Oui

 

+ Elements scannés:

C:\

C:\

 

+ Résultats du scan:

C:\Documents and Settings\hp\Cookies\hp@bluestreak[2].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Cookies\hp@www.smartadserver[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Cookies\hp@xiti[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\D1316\aurora.exe -> Spyware.BetterInternet.c -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\D3656\aurora.exe -> Spyware.BetterInternet.c -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\D3748\aurora.exe -> Spyware.BetterInternet.c -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\D996\aurora.exe -> Spyware.BetterInternet.c -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\DFG\aurareco.exe -> Spyware.BetterInternet -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\FCB\aurareco.exe -> Spyware.BetterInternet -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\HMO\aurareco.exe -> Spyware.BetterInternet -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\MBG\aurareco.exe -> Spyware.BetterInternet -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\qdelwbi.tmp -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\ss16.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Local Settings\Temp\YUN\aurareco.exe -> Spyware.BetterInternet -> Nettoyer et sauvegarder

C:\WINDOWS\Nail.exe -> Trojan.Nail -> Nettoyer et sauvegarder

C:\WINDOWS\svcproc.exe -> Trojan.Stervis.c -> Nettoyer et sauvegarder

C:\WINDOWS\system32\arkomtpw.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\ctohrxns.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\ejrytgnj.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\gkylub.exe -> Trojan.Agent.cp -> Nettoyer et sauvegarder

C:\WINDOWS\system32\klmuyeqz.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\mantzyos.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\mwdvfibo.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\phdkjeyg.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\pnxgqhce.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\tdpmx.exe -> TrojanDownloader.Small.qw -> Nettoyer et sauvegarder

C:\WINDOWS\system32\xogpxe.exe -> Trojan.Agent.cp -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Cookies\hp@bluestreak[2].txt -> Spyware.Tracking-Cookie -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Cookies\hp@www.smartadserver[1].txt -> Spyware.Tracking-Cookie -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Cookies\hp@xiti[1].txt -> Spyware.Tracking-Cookie -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\D1316\aurora.exe -> Spyware.BetterInternet.c -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\D3656\aurora.exe -> Spyware.BetterInternet.c -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\D3748\aurora.exe -> Spyware.BetterInternet.c -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\D996\aurora.exe -> Spyware.BetterInternet.c -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\DFG\aurareco.exe -> Spyware.BetterInternet -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\FCB\aurareco.exe -> Spyware.BetterInternet -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\HMO\aurareco.exe -> Spyware.BetterInternet -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\MBG\aurareco.exe -> Spyware.BetterInternet -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\qdelwbi.tmp -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\ss16.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\Documents and Settings\hp\Local Settings\Temp\YUN\aurareco.exe -> Spyware.BetterInternet -> Erreur durant le nettoyage

C:\WINDOWS\Nail.exe -> Trojan.Nail -> Erreur durant le nettoyage

C:\WINDOWS\svcproc.exe -> Trojan.Stervis.c -> Erreur durant le nettoyage

C:\WINDOWS\system32\arkomtpw.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\WINDOWS\system32\ctohrxns.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\WINDOWS\system32\cxuswczg.exe -> TrojanDownloader.Dluca -> Nettoyer et sauvegarder

C:\WINDOWS\system32\ejrytgnj.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\WINDOWS\system32\gkylub.exe -> Trojan.Agent.cp -> Erreur durant le nettoyage

C:\WINDOWS\system32\klmuyeqz.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\WINDOWS\system32\mantzyos.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\WINDOWS\system32\mwdvfibo.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\WINDOWS\system32\phdkjeyg.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\WINDOWS\system32\pnxgqhce.exe -> TrojanDownloader.Dluca -> Erreur durant le nettoyage

C:\WINDOWS\system32\tdpmx.exe -> TrojanDownloader.Small.qw -> Erreur durant le nettoyage

C:\WINDOWS\system32\xogpxe.exe -> Trojan.Agent.cp -> Erreur durant le nettoyage

 

 

::Fin du rapport

LE NOUVEAU HTJ est:

Logfile of HijackThis v1.99.1

Scan saved at 00:40:19, on 02/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\Documents and Settings\hp\Mes documents\Mes eBooks\security suite\SecuritySuite.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\ULTIMA~1.0\uzip.exe

C:\DOCUME~1\HP\LOCALS~1\TEMP\UZ_1768\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...ilion&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB002" /M "Stylus C66"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [wrneoehw] c:\windows\system32\wrneoehw.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PicoZip] C:\Program Files\PicoZip\PicoZipTray.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\hp\Mes documents\Mes eBooks\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\hp\Mes documents\Mes eBooks\security suite\ewidoguard.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Bonjour, télécharge ces utilitaires:

 

CleanUp

http://downloads.stevengould.org/cleanup/CleanUp40.exe

Pocket KillBox

http://www.bleepingcomputers.com/files/spyware/Killbox.zip

Tu le dézippes sur ton bureau.

 

Ouvre le Bloc notes et copie colle le texte suivant sans les -----------

 

------------------------------------

@ECHO OFF

cd %windir%

Nail.exe /FULLREMOVE

sc config SvcProc start= disabled

sc stop SvcProc

sc delete SvcProc

attrib -s -r -h nail.exe

attrib -s -r -h svcproc.exe

del nail.exe

del svcproc.exe

cd %windir%\system32

attrib -s -r -h DrPMon.dll

del DrPMon.dll

exit

---------------------------------------

 

Enregistre le sur le bureau. Nom du fichier: remove.bat ; Type: Tous les fichiers.

 

Lance CleanUp

 

Démarre en mode sans échec (F5 ouF8). Assure toi d'avoir accès à tous les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Double clique sur remove.bat, une fenêtre va s'ouvrir et se refermer aussitôt.

 

Démarre Hijackthis, scan et coche les lignes suivantes:

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

 

Ferme toutes les fenêtres puis Fix checked

 

Supprime les fichiers s'il existent encore:

 

C:\WINDOWS\Nail.exe

C:\WINDOWS\svcproc.exe

 

Ouvre Killbox. Dans la fenêtre colle le chemin complet des fichiers suivants (un après l'autre):

 

C:\WINDOWS\Nail.exe

C:\WINDOWS\svcproc.exe

 

Coche Delete on reboot. Clique sur la croix blanche sur fond rouge, aux messages qui vont s'afficher, réponds oui.

Recache les fichiers système afin de ne pas commettre d'erreur à l'avenir.

 

Redémarre en mode sans échec. Scanne avec Ewido.

 

Redémarre normalement. Colle le rapport d'Ewido avec un nouveau rapport Hijackthis.

yver Junior Member

yver

Posté(e)
  • Auteur
Posté(e)
Bonjour, télécharge ces utilitaires:

 

CleanUp

http://downloads.stevengould.org/cleanup/CleanUp40.exe 

Pocket KillBox

http://www.bleepingcomputers.com/files/spyware/Killbox.zip

Tu le dézippes sur ton bureau.

 

Ouvre le Bloc notes et copie colle le texte suivant sans les -----------

 

------------------------------------

@ECHO OFF 

cd %windir% 

Nail.exe /FULLREMOVE 

sc config SvcProc start= disabled 

sc stop SvcProc 

sc delete SvcProc 

attrib -s -r -h nail.exe 

attrib -s -r -h svcproc.exe 

del nail.exe 

del svcproc.exe 

cd %windir%\system32 

attrib -s -r -h DrPMon.dll 

del DrPMon.dll 

exit

---------------------------------------

 

Enregistre le sur le bureau. Nom du fichier: remove.bat ; Type: Tous les fichiers.

 

Lance CleanUp

 

Démarre en mode sans échec (F5 ouF8). Assure toi d'avoir accès à tous les fichiers:

Double clique sur remove.bat, une fenêtre va s'ouvrir et se refermer aussitôt.

 

Démarre Hijackthis, scan et coche les lignes suivantes:

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

 

Ferme toutes les fenêtres puis Fix checked

 

Supprime les fichiers s'il existent encore:

 

C:\WINDOWS\Nail.exe

C:\WINDOWS\svcproc.exe

 

Ouvre Killbox. Dans la fenêtre colle le chemin complet des fichiers suivants (un après l'autre):

 

C:\WINDOWS\Nail.exe

C:\WINDOWS\svcproc.exe

 

Coche Delete on reboot. Clique sur la croix blanche sur fond rouge, aux messages qui vont s'afficher, réponds oui.

Recache les fichiers système afin de ne pas commettre d'erreur à l'avenir.

 

Redémarre en mode sans échec. Scanne avec Ewido.

 

Redémarre normalement. Colle le rapport d'Ewido avec un nouveau rapport Hijackthis.

511597[/snapback]

 

 

j'ai enfin fini d'éxécuter la liste des manipulations. Je n'ai pu cocher O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

car il n'était pas afficgé lors du scan HJT. Le nouveau rapport ewido est:---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 01:14:32, 03/06/2005

+ Somme de contrôle: 178CD50B

 

+ Date des signatures: 01/06/2005

+ Version du moteur de recherche: v3.0

 

+ Temps: 29 min

+ Fichiers scannés: 109574

+ Vitesse: 61.06 Fichiers/Secondes

+ Fichers infectés: 3

+ Fichiers supprimés: 2

+ Fichiers mis en quarantaine: 2

+ Fichiers ne pouvant pas être ouverts: 0

+ Fichiers ne pouvant pas être nettoyés: 1

 

+ Liés: Oui

+ Cryptés: Oui

+ Archives: Oui

 

+ Elements scannés:

C:\

C:\

 

+ Résultats du scan:

C:\WINDOWS\Nail.exe -> Trojan.Nail -> Nettoyer et sauvegarder

C:\Documents and Settings\hp\Cookies\hp@xiti[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\WINDOWS\Nail.exe -> Trojan.Nail -> Erreur durant le nettoyage

 

 

::Fin du rapport

 

Et le nouveau rapport HJT est Logfile of HijackThis v1.99.1

Scan saved at 08:08:17, on 03/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\TLCHAR~2\ashDisp.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Téléchargé Sécurité\Primedius\Firewall\Prifw.exe

C:\Program Files\Téléchargé Sécurité\aswUpdSv.exe

C:\Program Files\Téléchargé Sécurité\ashServ.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Téléchargé Sécurité\ashMaiSv.exe

C:\Program Files\Téléchargé Sécurité\ashWebSv.exe

C:\Program Files\Téléchargé Sécurité\HTJ\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...ilion&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB002" /M "Stylus C66"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [wrneoehw] c:\windows\system32\wrneoehw.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\TLCHAR~2\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PicoZip] C:\Program Files\PicoZip\PicoZipTray.exe

O4 - HKCU\..\Run: [Primedius Firewall] C:\Program Files\Téléchargé Sécurité\Primedius\Firewall\Prifw.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'prifw.dll' missing

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Téléchargé Sécurité\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Téléchargé Sécurité\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Téléchargé Sécurité\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Téléchargé Sécurité\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - Unknown owner - C:\Documents and Settings\hp\Mes documents\Mes eBooks\security suite\ewidoctrl.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Bonjour, télécharge ABIremover.zip:

 

http://forum.hijackthis.de/attachment.php?attachmentid=177

 

-2-Redémarrer en mode sans échec (impérativement en mode sans échec)

 

-3-Installer ABIRemover.exe, patienter... pendant l'installation l'explorateur windows se fermera.

 

-4-Redémarrer en mode sans échec.

 

-4-Lancer Hijackthis et fixer :

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

 

Redémarre normalement et poste un nouveau rapport pour vérification

 

Méthodologie: queruak

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...