je comprend rien

[lebalourd]

bonjour,

 

mon pote ma dit de vous envoyer ce fichier sur votre forum parce que vous etes pro y parait

je suis pas chez moi puisque je peu plus me connecter, alors il est venu et ma mis un logiciel qui donne des resultats, mais y comprend pas plus que moi toutes ces choses, pourtant il m'a dit que mon pc est bien protégé

 

donc, je suis connecté de chez lui, alors, je reviendrais demain voir si c'est bon

 

les symptômes :

voila, mon pc n'avance plus, j'arrive pas à me connecter et j'ai du mal a télécharger de la zic, c'est navrant, quand meme j'ai payé cher mon ordinateur

 

bon, moi, je comprend rien, alors si vous voyait un truc qui cloche, faudra bien m'expliquer parce que je débute juste

 

Logfile of HijackThis v1.99.1

Scan saved at 21:24:06, on 16/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Personal Firewall\NYSUM.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spolsv.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\System32\qtttask.exe

C:\WINDOWS\System32\KYSVCXD.EXE

C:\WINDOWS\System32\cftmon.exe

c:\windows\system32\xygzcc.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Norton Personal Firewall\ccPxySvc.exe

C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\notepaad.exe

C:\WINDOWS\system32\sdktr.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\System32\rpcclient.exe

C:\Program Files\WinAce\WinAce.exe

C:\hijackthis\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {E0350BF8-394C-AE8C-EE9B-3393D618F172} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk

O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk

O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk

O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 24.14.38.190 www.nwolb.com

O1 - Hosts: 24.14.38.190 banesnet.banesto.es

O1 - Hosts: 24.14.38.190 extranet.banesto.es

O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O2 - BHO: Internet Explorer Hot Fix - {A90C7D63-2042-4BD9-93EC-EEABE2820245} - C:\WINDOWS\System32\yedse.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrompt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qtttask.exe" -atboottime

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Startup: eMule.lnk = C:\Program Files\eMule\emule.exe

O4 - HKLM\..\Run: [sdktr.exe] C:\WINDOWS\system32\sdktr.exe

O4 - HKLM\..\Run: [notes] notepaad.exe

O4 - HKLM\..\Run: [msnToolbaar] msnmsgesc.exe

O4 - HKLM\..\Run: [checkrun] c:\windows\system32\elitejwm32.exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\temp532.exe -N

O4 - HKLM\..\RunServices: [msnToolbaar] msnmsgesc.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\Run: [Open Service Drivers] opiater.exe

O4 - HKLM\..\Run: [llncad] c:\windows\system32\xygzcc.exe r

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\cftmon.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [strmsnmsgr] msnmsgrs.exe

O4 - HKLM\..\Run: [boarddata] c:\windows\system32\repcale.exe c:\windows\system32\palsp.exe

O4 - HKCU\..\Run: [rqmq] C:\PROGRA~1\COMMON~1\rqmq\rqmqm.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Zilla Popup Killer] C:\Program Files\Zilla Popup Killer\ZillaPop.exe

O4 - HKCU\..\Run: [Open Service Drivers] opiater.exe

O4 - HKCU\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe

O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe

O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [NvCplScan] kav32.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [ETB Tester] etbtest.exe

O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe

O4 - HKCU\..\Run: [Compaq32 Service Drivers] ms32.exe

O4 - HKCU\..\Run: [Microsoft Media player 9] msmedia32.exe

O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] ms32.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://c: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.servicesalacarte.wanad...gamesplayer.cab

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: locator - C:\WINDOWS\SYSTEM32\locator.exe

O20 - Winlogon Notify: mshta - C:\WINDOWS\SYSTEM32\mshta.exe

O23 - Service: Application COM+ (COMSisApp) - Unknown owner - C:\WINDOWS\System32\comsisapp.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\ccPxySvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe (file missing)

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navpsvcc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NYSUM.EXE

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECQ.EXE

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServe.exe

O23 - Service: Symantec Network Drivers Service (SNDSrsvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrsvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDBA.EXE

O23 - Service: SymWMI Service (SymWSCW) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSCWZ.exe

 

 

c'est fini, y a plus rien d'autre

 

merci beaucoup de m'aider

[queruak]

Bonjour,

 

Bienvenue !

 

Je regarde ton rapport,réponse dans quelques instants.

[ipl_001]

Bonsoir lebalourd, queruak, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum !

 

Oh que oui, tu as beaucoup de parasites... et des coriaces !

 

J'attire votre attention sur les lignes O17 avec leurs 69.50.184.84,195.225.176.37 et mon message -> http://forum.zebulon.fr/index.php?showtopic=68594&hl=

[queruak]

Re,

 

Le pc et trés,trés infecté,mai il y'a aussi ceci:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

 

C'est le trojan Trojan.Flush.B

 

http://www.symantec.com/avcenter/venc/data...an.flush.b.html

[FLORIAN]

bonjour,

 

Bonsoir

 

Je crois que si ton PC rame c'est en parti a cause de cela

C:\Program Files\eMule\emule.exe

 

pour le reste je laisse mon ami queruak te donner la solution

 

 

@+

 

Cordialement

[megataupe]

Re,

 

Le pc et trés,trés infecté,mai il y'a aussi ceci:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

 

Et oui queruak, cette saleté se planque bien, la preuve :

 

IP: 195.225.176.37

Country: Ukraine

City: New York, New York

 

Country Code: UA

Merchant Note: Country may have high rate of fraud [6]

Private IP? No

Known Proxy? No

 

Bon courage !!!

[queruak]

Re,

 

Nom de dieu !!!

Je n'arrive presque plus à trouver un fichier sain !

lebalourd a décroché le gros lot !!!

[megataupe]

Re,

 

Nom de dieu !!!

Je n'arrive presque plus à trouver un fichier sain !

lebalourd a décroché le gros lot !!!

519059[/snapback]

 

Je dirais plutot : lecaslourd (pas souvent vu un PC aussi infecté).

 

Dors bien si tu peux.

[ipl_001]

C'est le résultat de çà :

C:\Program Files\eMule\emule.exe

contraire à la charte de Zebulon !

 

A lire avant de poster !

6 - Pas de Warez, pas de cracks, rien d'illégal. Le p2p («peer to peer»), procédé permettant d'échanger tous types de fichiers entre deux ordinateurs connectés sur le réseau, n'est pas toléré !

[queruak]

Rebonsoir à tous,

 

C'est le résultat de çà :contraire à la charte de Zebulon !

519073[/snapback]

 

Je reponds ou pas ?