Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Problème de Virus à répétition

maverick1027

Par maverick1027
dans Analyses et éradication malwares

 Partager

Messages recommandés

maverick1027 Junior Member

maverick1027

Posté(e)
Posté(e)

[/b]Bonjour à Tous..

 

Je suis nouveau dans le forum et je viens vous demander conseil car j'ai une petit, non gros soucis avec mon PC.

 

Bien que j'ai norton antivirus 2002 mis quotidienement à jour j'ai chopé "W32.destophijack.dll et intmon.exe" et je n'arrive pas à m'en defaire. :P

De plus j'ai à chaque démarage une page genre windows messenger qui se mait en place toute seule et le triangle de panne qui s'allume lui aussi. J'arrive quand je vais sur internet sur : "about blank" et après une page "genre" windows qui me propose des solutions contre les spywares et autres et des médicaments à bas prix ??

 

J'ai bien vu que ce deux sujets ont déjà été traités pour d'autres personnes dans le forum mais je n'arrive pas au mêmes logs et je ne suis pas un super doué de la programmation et encore quand il faut enlever des trucs.

 

Pouvez-vous m'expliquer la marche à suivre très clairement car j'ai vraiment de la peine avec le PC

 

Je vous mets pour votre info le dernier log fait avec highjackthis...

 

Merci d'avance et bonne après-midi

 

Maverick1027

 

Logfile of HijackThis v1.99.1

Scan saved at 13:41:36, on 02.07.2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\shnlog.exe

C:\WINDOWS\System32\msole32.exe

C:\WINDOWS\popuper.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\Motherboard Monitor 5\MBM5.EXE

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe

C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Webshots\WebshotsTray.exe

C:\WINDOWS\System32\intmonp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe

C:\WINDOWS\System32\hpoipm07.exe

C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe

C:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lojur.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lojur.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lojur.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpD215.tmp

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8A6DB961-D8CA-453E-86F1-6E3E8B0B62FF}: NameServer = 195.186.1.108 195.186.4.108

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Workstation NetLogon Service (?%AFå¤À¨) - Unknown owner - C:\WINDOWS\system32\ieqs.exe (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Re, clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne

 

Workstation NetLogon Service (?%AF夶À¨)

 

Double clique sur la ligne

Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\WINDOWS\system32\ieqs.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.

 

1 Assure toi d'avoir accès à tous les fichiers.

 

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

2 Télécharge les outils suivants:

 

*PocketKillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

*DelDomain.inf

http://www.mvps.org/winhelp2002/restricted.htm

 

*EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

*Hoster

http://www.funkytoad.com/download/hoster.zip

 

*Smitfraud.reg

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

IMPORTANT

Tu dois effectuer toutes les corrections HORS CONNEXION. Imprime cette page

 

-3-Désinstalle via Ajout/suppression des programmes le(s) programme(s) suivant(s) s'ils ont présents:

 

Security IGuard

Virtual Maid

Search Maid

Spywarevanisher

 

 

-4-Clic droit sur ce fichier > Enregistrer la cible sous, et tu télécharges ce fichier sur ton bureau.

Une fois téléchargé, double-clique sur smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.

Lorsque tu reçois un message du bon déroulement, supprime le fichier smitfraud.reg

 

-5-Lance PocketKillBox, coche la case "Delete on reboot". Ne pas fermer le programme.

Fais Démarrer ->Exécuter, tape notepad, un fichier bloc-notes s'ouvre

Ensuite tu fais Ctrl-A pour sélectionner tout le texte suivant , Ctrl-C pour le copier dans le presse papier.

 

 

C:\wp.exe

C:\wp.bmp

C:\bsw.exe

C:\Windows\sites.ini

C:\Windows\popuper.exe

C:\Windows\System32\helper.exe

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\System32\ole32vbs.exe

C:\Windows\system32\msole32.exe

C:\WINDOWS\system32\hpA708.tmp

C:\WINDOWS\System32\shnlog.exe

C:\WINDOWS\System32\intmon.exe

 

 

Sur PocketKillBox-->File-->Paste from Clipboard,tu cliques ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"

 

6 Redémarre en mode sans échec.

 

7 Lance Hijackthis, scan, et coche les lignes ci-dessous:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lojur.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lojur.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lojur.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpD215.tmp

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O23 - Service: Workstation NetLogon Service (?%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\ieqs.exe (file missing)

 

8 Ferme toutes les fenêtres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

 

9 Supprime les fichiers et dossiers suivants.

 

C:\Program Files\Search Maid

C:\Program Files\Virtual Maid

C:\Windows\System32\Log Files

C:\Program Files\Security IGuard

C:\Program Files\Spywarevanisher

C:\WINDOWS\System32\hpD215.tmp

C:\WINDOWS\system32\ieqs.exe

 

Vide la corbeille.

 

10 Redémarre normalement

 

11 Ouvre Hoster, et clique sur "Restore Original Hosts" ---> "OK"

Quitte le programme.

 

12 Fais un clic droit le fichier Del_Domains.inf -->Installer

 

13 Lance et exécute EasyCleaner

N'utilise que les fonctions Inutiles et Registre.

Supprime tout ce qu'il te propose.

 

-14-Redémarre et poste un nouveau rapport Hijackthis effectué en mode ans échec.

 

Méthodologie: queruak

Lien vers le commentaire
Partager sur d’autres sites
maverick1027 Junior Member

maverick1027

Posté(e)
  • Auteur
Posté(e)

Merci Stonangel,

 

J'ai fait ce que tu as dis... mais pas tout, le programme Easycleaner ne fonctionne pas et j'ai toujours l'alerte pour ce foutu virus...

 

voilà ci-après le rapport d'hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 15:49:51, on 02.07.2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Hijackthis\HijackThis.exe

 

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

et si tu pouvais m'aider encore pour qqch j'ai un pop-up qui se met en branle chaque fois que je mets mon PC en route et qui me demande une connexion internet car un programme l'a demandé et il me met l'adresse suivante "update.tinysw.cz" et je ne sais pas d'ou ça vient...

 

Merci d'avance pour tes réponses...

 

Maverick1027

Lien vers le commentaire
Partager sur d’autres sites
chercheur Mega Power Member

chercheur

Posté(e)
Posté(e)

Bonjour,

 

Le rapport Hijackthis ne montre plus d'infection.

 

Tu vas faire une analyse antivirus en ligne sur Panda

http://www.pandasoftware.com/activescan/fr...n_principal.htm

Colle son rapport ici.

 

Mais attention, tu es très en retard dans les mises à jours de Windows et d'Internet Explorer. Juste quelques années ...

 

Pour Windows

Pack SP1

http://www.microsoft.com/france/WINDOWS/xp...P1Commande.html

 

ou mieux, Pack SP2

http://www.microsoft.com/france/windows/xp/sp2/default.mspx

 

Pour Internet Explorer

http://www.microsoft.com/windows/ie_intl/f...ad/default.mspx

 

Cela permettra de corriger de nombreuses failles de sécurité.

Lien vers le commentaire
Partager sur d’autres sites
maverick1027 Junior Member

maverick1027

Posté(e)
  • Auteur
Posté(e)

voilà le rapport de panda

 

Incident Statut Analyse

 

Spyware:Spyware/New.net No Désinfecté C:\WINDOWS\NDNuninstall*.exe

Adware:Adware/Smitfraud No Désinfecté C:\WINDOWS\System32\oleadm.dll

Adware:Adware/BrilliantDigitalNo Désinfecté C:\Program Files\KaZaA\bdcore.dll

Adware:Adware/BrilliantDigitalNo Désinfecté C:\Program Files\KaZaA\bdcore.dll.updpnd

Spyware:Spyware/New.net No Désinfecté C:\WINDOWS\NDNuninstall5_64.exe

Spyware:Spyware/New.net No Désinfecté C:\WINDOWS\NDNuninstall6_10.exe

Adware:Adware/Popuper No Désinfecté C:\WINDOWS\system32\hhk.dll

Adware:Adware/EasySearch No Désinfecté C:\WINDOWS\system32\lojur.dll

et norton me dit toujours que le virus est là ????

 

 

Que faire ?

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir maverick1027, tesgaz, Stonangel, chercheur, bonsoir à tous,

 

msmsgs.exe légitime est dans C:\Program Files\Messenger !

 

Selon moi, C:\System32\msmsgs.exe est infectieux !!!... ceci juste pour l'avoir à l'oeil et ne pas le rater ! Pour commencer, fais ce que demande tesgaz !

Lien vers le commentaire
Partager sur d’autres sites
maverick1027 Junior Member

maverick1027

Posté(e)
  • Auteur
Posté(e)

Bonjour tesgaz, Stonangel, ipl_001, chercheur, bonjour à tous,

 

J'ai fait ce qu tesgaz m'a conseillé et voilà les résultats :

 

le log d'hijackthis et le rapport d'antivir....

 

Logfile of HijackThis v1.99.1

Scan saved at 12:24:48, on 03.07.2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Hijackthis\HijackThis.exe

 

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

Creation date of the report file: dimanche, 3. juillet 2005 10:26

 

AntiVir®/XP (2000 + NT) PersonalEdition Classic

Build 1047 vom 07.06.2005

Mainprogram 6.31.00.03 of 10.05.2005

VDF file 6.31.0.137 (0) of 01.07.2005

 

 

This program is for PERSONAL USE only.

Any other use is PROHIBITED.

Informations regarding commercial versions of AntiVir may be obtained from:

www.hbedv.com.

 

 

Scanning for 184030 virus strains and unwanted programs.

 

Licensed for: AntiVir Personal Edition

Serial number: 0000149996-WURGE-0001

 

Please enter the workstation and

contact name with phone number in this form:

 

Name ___________________________________________

 

Street ___________________________________________

 

Town ___________________________________________

 

Phone/Fax ___________________________________________

 

Email ___________________________________________

 

Platform: Windows NT Workstation

Windows version: 5.1 Build 2600 ()

Username: SEBASTIEN

Processor: Pentium

Working memory: 523760 KB free

 

Version information:

AVWIN.DLL : 6.31.00.03 561192 10.05.2005 16:50:16

AVEWIN32.DLL : 6.31.0.5 823808 06.06.2005 12:44:28

AVGNT.EXE : 6.31.00.01 168039 10.05.2005 16:50:16

AVGUARD.EXE : 6.31.00.01 238120 29.04.2005 08:07:12

GUARDMSG.DLL : 6.30.00.02 94248 01.02.2005 11:24:10

AVGCMSG.DLL : 6.31.00.00 295029 29.04.2005 08:07:16

AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:07:16

AVPACK32.DLL : 6.31.00.03 323664 25.05.2005 10:43:02

AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 18:10:20

AVWIN.DLL : 6.31.00.03 561192 10.05.2005 16:50:16

AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 18:10:22

AVSched32.EXE : 6.30.00.00 110632 01.02.2005 11:24:10

AVSched32.DLL : 6.30.00.00 122880 01.02.2005 11:24:10

AVREG.DLL : 6.30.00.03 41000 10.02.2005 18:47:48

AVRep.DLL : 6.31.00.120 1200168 29.06.2005 07:48:28

INETUPD.EXE : 6.31.00.02 249915 29.04.2005 08:07:14

INETUPD.DLL : 6.31.00.02 143360 29.04.2005 08:07:14

CTL3D32.DLL : 2.31.000 27136 28.08.2001 14:00:00

MFC42.DLL : 6.00.8665.0 995383 28.08.2001 14:00:00

MSVCRT.DLL : 7.0.2600.0 (xpclient.010817-1148

MSVCRT.DLL : 7.0.2600.0 (xp 322560 28.08.2001 14:00:00

CTL3DV2.DLL : No information

 

Configuration file:

 

Name of configuration file: C:\Program Files\AVPersonal\AVWIN.INI

Name of report file: C:\Program Files\AVPersonal\LOGFILES\AVWIN.LOG

Start path: C:\Program Files\AVPersonal

Command line:

Start mode: unknown

 

Mode of report file:

[ ] Do not create report

[X] Overwrite report

[ ] Append new report

 

Data in report file:

[X] Infected files

[ ] Infected files with paths

[ ] All scanned files

[ ] Full information

 

Abridge report file:

[ ] Abridge report file

 

Warnings in report:

[X] Access denied/file locked

[X] Wrong file size in directory

[X] Wrong creation time in directory

[ ] COM file is too large

[X] Invalid start address

[X] Invalid EXE header

[X] Possibly damaged

 

Summary report:

[X] Create summary report

Output file: AVWIN.ACT

Maximum number of entries: 100

 

Where to search:

[X] Memory

[X] Boot record of selected drives

[ ] Report unknown boot sectors

[X] All files

[ ] Program files

 

Response in case of a detection:

[X] Repair with prompt

[ ] Repair without prompt

[ ] Delete with prompt

[ ] Delete without prompt

[ ] Write in report file only

[X] Acoustic alarm

 

Response in case of destroyed files:

[X] Delete with prompt

[ ] Delete without prompt

[ ] Ignore

 

Response in case of destroyed files:

[X] No change

[ ] Current system time

[ ] Correct date

 

Drag&drop settings:

[X] Scan subdirectories

 

Profile settings:

[X] Scan subdirectories

 

Archive options

[X] Search archive

[X] Archive types to leave out

1000 1001 1002

 

Miscellaneous options:

Temporary path: %TEMP% -> C:\Program Files\AVPersonal\BUILD.DAT

[X] Overwrite infected files

[ ] Detect idle time

[X] Allow interruptions of scan

[ ] Load AVWin®/NT Guard on System start

 

General settings:

[X] Save options on exiting AntiVir

Priority: medium

 

Drives:

A: Floppy drive

C: Hard disk

D: Hard disk

E: Hard disk

F: CD-ROM

G: CD-ROM

H: Floppy drive

I: Hard disk

 

Start of scan: dimanche, 3. juillet 2005 10:26

 

Memory test OK

Master boot record of hard disk HD0 OK

Master boot record of hard disk HD1 OK

Master boot record of hard disk HD2

The record could not be read!

Error code: 0x0015

Boot record of drive A:

The record could not be read!

Error code: 0x0015

Boot record of drive C: OK

Boot record of drive D: OK

Boot record of drive E: OK

Boot record of drive H:

The record could not be read!

Error code: 0x0057

Boot record of drive I: OK

 

 

C:\

pagefile.sys

Access denied! Error during file opening!

This is a Windows swap file. This file is locked by Windows.

Error code: 0x000D

WARNING! Access error/file locked!

C:\Documents and Settings\SEBASTIEN

NTUSER.DAT

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

ntuser.dat.LOG

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

C:\Documents and Settings\SEBASTIEN\Local Settings\Application Data\Microsoft\Windows

UsrClass.dat

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

UsrClass.dat.LOG

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

C:\Documents and Settings\SEBASTIEN\Local Settings\Temp

temp.frC282

[DETECTION] Is the Trojan horse TR/Puper.K

WAS DELETED!

C:\Documents and Settings\SEBASTIEN\Mes documents\Sébastien\Téléchargement internet\Ahead.Nero.Burning.ROM.v6.6.0.8.Incl.Keygen-ORiON

o-4c2sia.zip

ArchiveType: ZIP

--> ORiON.rar

ArchiveType: RAR

NOTE! The archive is created by multiple volumes

C:\Documents and Settings\SEBASTIEN\Mes documents\Sébastien\Téléchargement internet\Ahead.Nero.Media.Player.v1.4.0.29.Incl.Keygen-ORiON

o-a5seza.zip

ArchiveType: ZIP

--> ORiON.rar

ArchiveType: RAR

NOTE! The archive is created by multiple volumes

C:\Documents and Settings\SEBASTIEN\Mes documents\Sébastien\Téléchargement internet\Ahead.NeroMix.v1.4.0.29.Incl.Keygen-ORiON

o-j2ihda.zip

ArchiveType: ZIP

--> ORiON.rar

ArchiveType: RAR

NOTE! The archive is created by multiple volumes

C:\Documents and Settings\SEBASTIEN\Mes documents\Sébastien\Téléchargement internet\Trojan intmonp remover\hijackthis_199\backups

backup-20050621-200233-526.dll

[DETECTION] Is the Trojan horse TR/Click.Agent.DJ.1

WAS DELETED!

C:\Program Files\VaudTax2003\update\download\taxme

html.jar

ArchiveType: ZIP

NOTE! No files to extract.

C:\Program Files\WinRAR

rarnew.dat

ArchiveType: RAR

NOTE! The archive is created by multiple volumes

Error! Could not change directory: System Volume Information

C:\WINDOWS

clock.avi:ulqaw

[DETECTION] Is the Trojan horse TR/Dldr.Agent.BC

WAS DELETED!

DHCPUPG.LOG:fmbss

[DETECTION] Is the Trojan horse TR/Lefeat.1

WAS DELETED!

earnmoney.ico:qgedop

[DETECTION] Is the Trojan horse TR/Lefeat.DLL1

WAS DELETED!

KPCMS.INI:tzvdmh

[DETECTION] Is the Trojan horse TR/Lefeat.DLL1

WAS DELETED!

Mur de Santa Fe.bmp:qehehs

[DETECTION] Is the Trojan horse TR/StartPa.DU.DLL.1

WAS DELETED!

ODBC.INI:mjsmeu

[DETECTION] Is the Trojan horse TR/Lefeat.1

WAS DELETED!

P2kRotate.ini:ekdryw

[DETECTION] Is the Trojan horse TR/Lefeat

WAS DELETED!

regopt.log:kwyaxp

[DETECTION] Is the Trojan horse TR/Lefeat.1

WAS DELETED!

Rhododendron.bmp:couher

[DETECTION] Is the Trojan horse TR/Lefeat.DLL1

WAS DELETED!

Rosace bleue 16.bmp:cwqfrz

[DETECTION] Is the Trojan horse TR/Lefeat

WAS DELETED!

sessmgr.setup.log:oymbtt

[DETECTION] Is the Trojan horse TR/Lefeat.DLL1

WAS DELETED!

Setup1.exe:sfbfju

[DETECTION] Is the Trojan horse TR/Lefeat

WAS DELETED!

ST6UNST.001:aygjyq

[DETECTION] Is the Trojan horse TR/Lefeat.1

WAS DELETED!

ST6UNST.004:tzrpst

[DETECTION] Is the Trojan horse TR/Lefeat

WAS DELETED!

taskman.exe:eihzxb

[DETECTION] Is the Trojan horse TR/Lefeat.1

WAS DELETED!

tsoc.log:xjafzl

[DETECTION] Is the Trojan horse TR/Lefeat

WAS DELETED!

win.ini:dogyn

[DETECTION] Is the Trojan horse TR/Dldr.Agent.BC

WAS DELETED!

Windows Update.log:zfijka

[DETECTION] Is the Trojan horse TR/Lefeat

WAS DELETED!

WW_A_SET.EXE:kjnpzv

[DETECTION] Is the Trojan horse TR/Lefeat.1

WAS DELETED!

xjafz.log:ptqjpm

[DETECTION] Is the Trojan horse TR/StartPa.DU.DLL.1

WAS DELETED!

C:\WINDOWS\system32

hhk.dll

[DETECTION] Is the Trojan horse TR/Click.Agent.DJ.9

WAS DELETED!

hpD215.tmp

[DETECTION] Is the Trojan horse TR/Click.Agent.DJ.1

WAS DELETED!

lojur.dll

[DETECTION] Is the Trojan horse TR/StartPa.DU.DLL.1

WAS DELETED!

oleadm.dll

[DETECTION] Is the Trojan horse TR/Dldr.Agent.NS.1

Could not be deleted!

C:\WINDOWS\system32\ActiveScan

imscan.dll

[DETECTION] Contains signature of the Micro-128 © virus

WAS DELETED!

C:\WINDOWS\system32\config

default

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

default.LOG

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

SAM

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

SAM.LOG

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

SECURITY

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

SECURITY.LOG

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

software

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

software.LOG

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

system

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

system.LOG

Access denied! Error during file opening!

Error code: 0x000D

WARNING! Access error/file locked!

 

 

D:\FS 2002 ADD ON\Avions\Boeing B52

b52pan.zip

ArchiveType: ZIP

NOTE! No files to extract.

D:\FS 2002 ADD ON\Scenes\FRP

Frp5.zip

ArchiveType: ZIP

NOTE! No files to extract.

Error! Could not change directory: System Volume Information

 

 

E:\Program Files2\I1081531350\Windows\resource\jre\lib

i18n.jar

ArchiveType: ZIP

NOTE! No files to extract.

 

 

Error! Could not change directory: System Volume Information

 

 

 

End of scan: dimanche, 3. juillet 2005 12:19

Time taken: 113:27 min

 

 

6170 directories were scanned

208472 files were scanned

16 warning messages were issued

26 files were deleted

0 files were repaired

27 detections

 

mais j'ai toujours des alertes de Norton concernant ces virus...

 

 

Bien à vous tous et merci d'avance

 

Maverick1027

Lien vers le commentaire
Partager sur d’autres sites
Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e) (modifié)

Bonjour, démarre en mode sans échec, assure toi d'avoir accès à tous les fichiers.

 

Démarre Hijackthis Do a system scan only, assure toi que l'option Make backups before fixing items est activée et coche la ligne suivante:

 

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

 

Ferme toutes les fenêtres, tous les programmes puis Fix checked.

 

Supprime le fichier incriminé si toujours présent (attention à la localisation):

 

C:\WINDOWS\System32\msmsgs.exe

 

Recache les fichiers sytème. Redémarre et poste un nouveau rapport effectué en mode sans échec pour vérification.

Modifié par Stonangel
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...