Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Voila j'vien de faire un hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 14:48:16, on 21/08/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\System32\intell32.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\eMule\emule.exe

C:\WINDOWS\system32\d3qg.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\addlp32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Romain\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pecyy.dll/sp.html#17702

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pecyy.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pecyy.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pecyy.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pecyy.dll/sp.html#17702

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\pecyy.dll/sp.html#17702

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {D43DD295-4905-E516-5B93-3DF47AC37138} - C:\WINDOWS\system32\apprg32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [crof.exe] C:\WINDOWS\crof.exe

O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe

O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

O4 - HKLM\..\Run: [addlp32.exe] C:\WINDOWS\addlp32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E64FC7E-34F1-4707-B587-06729C381241}: NameServer = 212.27.32.5,215.225.0.168

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Que dois-je faire ?

Merci d'avance tout le monde

Posté(e)

Bonjour NuNuX, bonjour à tous,

 

Déroule la procédure "Pré-Nettoyage d'un PC infecté" - http://forum.zebulon.fr/index.php?showtopic=69176 et poste le rapport HijackThis en mode sans échec tel que demandé !

 

Platform: Windows XP
Ton système a des années et des années de retard... des tonnes et des tonnes de failles ! :P

 

Pour plus tard (j'aimerais que quelqu'un prenne le relais car je n'ai pas mes fichers habituels pour répondre), tu dois utiliser le programme SpSeHjfix !

Posté(e)

En fait je vien de formaté, avec un vieu cd d'xp ki trainait,

J'ai mis a jour, et j'ai fait la manipulation demandé, voila le raport:

Logfile of HijackThis v1.99.1

Scan saved at 17:39:50, on 21/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Romain\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ifrec.dll/sp.html#17702

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lvqvx.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pecyy.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aztln.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aztln.dll/sp.html#17702

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ifrec.dll/sp.html#17702

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {D43DD295-4905-E516-5B93-3DF47AC37138} - C:\WINDOWS\system32\apprg32.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [crof.exe] C:\WINDOWS\crof.exe

O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe

O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1124632932155

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1124632918577

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E64FC7E-34F1-4707-B587-06729C381241}: NameServer = 212.27.32.5,215.225.0.168

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\javacv.exe (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Posté(e)

Rebonjour NuNuX, rebonjour à tous,

 

En fait je vien de formaté, avec un vieu cd d'xp ki trainait,

J'ai mis a jour, et j'ai fait la manipulation demandé, voila le raport:

Je ne comprends plus rien !

 

Qu'appelles-tu "formatage" ?

Pour moi, un formatage remet tout en place et le système est nickel, après !

Dans ton cas, le système est aussi infecté qu'avant !

 

"avec un vieu cd d'xp ki trainait"... ton "vieux" CD est mieux que celui que tu avais ! LOL conserve le bien !... mais SP3 va arriver bientôt !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Posté(e)

Rebonjour NuNuX, rebonjour à tous,

 

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

-3- Utilise SpHjfix/SpSeHjfix de Seeker ( http://www.derbilk.de/404.html ou http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix ) :

. vider les fichiers Temp, le cache d'IE

. lancer SpHjfix/SpSeHjfix à partir d'un répertoire alloué

.. cliquer sur le bouton "start disinfection"

.. en cas d'infection sp.exe, l'ordinateur est redémarré

.. SpHjfix/SpSeHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours.

. examiner, communiquer le fichier log généré

. lancer Spybot Search and Destroy pour compléter la désinfection.

 

 

 

-4- Redémarre l'ordinateur en mode sans échec.

 

-5- Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes :

--- eMule (cette application est prohibée sur Zebulon car source de nombreux problèmes de sécurité)

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

-6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ifrec.dll/sp.html#17702

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lvqvx.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pecyy.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aztln.dll/sp.html#17702

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aztln.dll/sp.html#17702

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ifrec.dll/sp.html#17702

 

R3 - Default URLSearchHook is missing

 

O2 - BHO: Class - {D43DD295-4905-E516-5B93-3DF47AC37138} - C:\WINDOWS\system32\apprg32.dll

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [crof.exe] C:\WINDOWS\crof.exe

 

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1124632932155

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1124632918577

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

 

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\javacv.exe (file missing)

-7- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

-8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\WINDOWS\aztln.dll

--- C:\WINDOWS\crof.exe

--- C:\WINDOWS\javacv.exe

--- C:\WINDOWS\lvqvx.dll

--- C:\WINDOWS\pecyy.dll

--- C:\WINDOWS\system32\apprg32.dll

--- C:\WINDOWS\system32\ifrec.dll

--- C:\Program Files\eMule (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

-9- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

-10- Qu'en est-il des dysfonctionnements ?

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

Posté(e) (modifié)

Bonsoir tout le monde,

en fait je m'était mal exprimé, j'ai formaté mon pc (rien a voir avec ps guard ou un autre virus), mais comme je n'avais plus les config d'origine (c'est un pc compaq, avec la partition de restauration que j'ai malheureusement effacé), j'ai donc pri un vieu cd d'xp familial, que j'ai ensuite mis a jours sur le net.

Mais voila a peine 2 jours après mon formatage psguard pointe le bout de son nez, bref j'ai fait ta manip, mais le problème reste plus ou moin le meme au niveau de l'explorateur: "about:blank"

 

je post mon raport après avoir suivit tes instructions:

 

Logfile of HijackThis v1.99.1

Scan saved at 00:47:49, on 22/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\sdkxb.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Romain\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzuss.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzuss.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pzuss.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pzuss.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pzuss.dll/sp.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pzuss.dll/sp.html#37049

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {F672C21B-A6D3-5A1A-57D9-FA17425A21F1} - C:\WINDOWS\system32\apimu32.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe

O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [sdkxb.exe] C:\WINDOWS\sdkxb.exe

O4 - HKLM\..\RunOnce: [atlyh.exe] C:\WINDOWS\system32\atlyh.exe

O4 - HKLM\..\RunOnce: [atlsi32.exe] C:\WINDOWS\atlsi32.exe

O4 - HKLM\..\RunOnce: [crrp.exe] C:\WINDOWS\crrp.exe

O4 - HKLM\..\RunOnce: [mfcaj32.exe] C:\WINDOWS\mfcaj32.exe

O4 - HKLM\..\RunOnce: [crye.exe] C:\WINDOWS\crye.exe

O4 - HKLM\..\RunOnce: [crpy32.exe] C:\WINDOWS\crpy32.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E64FC7E-34F1-4707-B587-06729C381241}: NameServer = 212.27.32.5,215.225.0.168

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\javacv.exe (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Modifié par NuNuX
Posté(e)

Je vien de voir dans le raport, qu'il y avait une référence au "SP", j'ai donc essayé la manip avec "SpSeHjfix112" ...

Quand tu me dit "d'après un repertoire aloué" tu pense à quoi ? parce que moi je le lance sur le bureau ... Faut-il faire autrement, en tous cas merci pour ton aide :P

Posté(e) (modifié)

le lien pour SmitfraudFix est mort sur ton topic, de plus je n'arive pas a virer "SP" ...

J'ai re re refai la manip, voila mon raport:

Logfile of HijackThis v1.99.1

Scan saved at 12:02:58, on 22/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Romain\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {B1B856A8-E2CF-6D0D-E2E2-6F519F010848} - C:\WINDOWS\wineh32.dll

O2 - BHO: Class - {F672C21B-A6D3-5A1A-57D9-FA17425A21F1} - C:\WINDOWS\system32\apimu32.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe

O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [sdkxb.exe] C:\WINDOWS\sdkxb.exe

O4 - HKLM\..\RunOnce: [atlyh.exe] C:\WINDOWS\system32\atlyh.exe

O4 - HKLM\..\RunOnce: [atlsi32.exe] C:\WINDOWS\atlsi32.exe

O4 - HKLM\..\RunOnce: [sysah.exe] C:\WINDOWS\system32\sysah.exe

O4 - HKLM\..\RunOnce: [appda.exe] C:\WINDOWS\system32\appda.exe

O4 - HKLM\..\RunOnce: [crnp32.exe] C:\WINDOWS\system32\crnp32.exe

O4 - HKLM\..\RunOnce: [sdkta.exe] C:\WINDOWS\sdkta.exe

O4 - HKLM\..\RunOnce: [netbz32.exe] C:\WINDOWS\system32\netbz32.exe

O4 - HKLM\..\RunOnce: [apizs.exe] C:\WINDOWS\system32\apizs.exe

O4 - HKLM\..\RunOnce: [ipyy32.exe] C:\WINDOWS\ipyy32.exe

O4 - HKLM\..\RunOnce: [sdkyl.exe] C:\WINDOWS\system32\sdkyl.exe

O4 - HKLM\..\RunOnce: [addtv32.exe] C:\WINDOWS\addtv32.exe

O4 - HKLM\..\RunOnce: [crxt.exe] C:\WINDOWS\crxt.exe

O4 - HKLM\..\RunOnce: [appfq.exe] C:\WINDOWS\appfq.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E64FC7E-34F1-4707-B587-06729C381241}: NameServer = 212.27.32.5,215.225.0.168

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\javacv.exe (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

et pour celui fai avec SPSeHjFix:

 

 

(8/22/05 11:29:36) SPSeHjFix started v1.1.2

(8/22/05 11:29:36) OS: WinXP Service Pack 2 (5.1.2600)

(8/22/05 11:29:36) Language: français

(8/22/05 11:29:36) Win-Path: C:\WINDOWS

(8/22/05 11:29:36) System-Path: C:\WINDOWS\system32

(8/22/05 11:29:36) Temp-Path: C:\DOCUME~1\Romain\LOCALS~1\Temp\

(8/22/05 11:29:42) Disinfection started

(8/22/05 11:29:42) Bad-Dll(IEP): c:\windows\xsqcq.dll

(8/22/05 11:29:42) UBF: 4 - UBB: 2 - UBR: 17

(8/22/05 11:29:42) UBF: 4 - UBB: 2 - UBR: 17

(8/22/05 11:29:42) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\xsqcq.dll/sp.html#37049

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\xsqcq.dll/sp.html#37049

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\xsqcq.dll/sp.html#37049

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\xsqcq.dll/sp.html#37049

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\windows\xsqcq.dll/sp.html#37049

deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\xsqcq.dll/sp.html#37049

(8/22/05 11:29:42) Stealth-String not found

(8/22/05 11:29:42) No locked Files to delete. End without Reboot

 

 

(8/22/05 11:29:46) SPSeHjFix started v1.1.2

(8/22/05 11:29:46) OS: WinXP Service Pack 2 (5.1.2600)

(8/22/05 11:29:46) Language: français

(8/22/05 11:29:46) Win-Path: C:\WINDOWS

(8/22/05 11:29:46) System-Path: C:\WINDOWS\system32

(8/22/05 11:29:46) Temp-Path: C:\DOCUME~1\Romain\LOCALS~1\Temp\

(8/22/05 11:29:47) Disinfection started

(8/22/05 11:29:47) Bad-Dll(IEP): (not found)

(8/22/05 11:29:47) Bad-Dll(IEP) in BHO: (not found)

(8/22/05 11:29:47) UBF: 4 - UBB: 2 - UBR: 17

(8/22/05 11:29:47) UBF: 4 - UBB: 2 - UBR: 17

(8/22/05 11:29:47) Bad IE-pages: (none)

(8/22/05 11:29:47) Stealth-String not found

(8/22/05 11:29:47) Not infected->END

 

 

(8/22/05 11:29:55) SPSeHjFix started v1.1.2

(8/22/05 11:29:55) OS: WinXP Service Pack 2 (5.1.2600)

(8/22/05 11:29:55) Language: français

(8/22/05 11:29:55) Win-Path: C:\WINDOWS

(8/22/05 11:29:55) System-Path: C:\WINDOWS\system32

(8/22/05 11:29:55) Temp-Path: C:\DOCUME~1\Romain\LOCALS~1\Temp\

(8/22/05 11:29:57) Disinfection started

(8/22/05 11:29:57) Bad-Dll(IEP): (not found)

(8/22/05 11:29:57) Bad-Dll(IEP) in BHO: (not found)

(8/22/05 11:29:57) UBF: 4 - UBB: 2 - UBR: 17

(8/22/05 11:29:57) UBF: 4 - UBB: 2 - UBR: 17

(8/22/05 11:29:57) Bad IE-pages: (none)

(8/22/05 11:29:57) Stealth-String not found

(8/22/05 11:29:57) Not infected->END

 

 

(8/22/05 11:38:24) SPSeHjFix started v1.1.2

(8/22/05 11:38:24) OS: WinXP Service Pack 2 (5.1.2600)

(8/22/05 11:38:24) Language: français

(8/22/05 11:38:24) Win-Path: C:\WINDOWS

(8/22/05 11:38:24) System-Path: C:\WINDOWS\system32

(8/22/05 11:38:24) Temp-Path: C:\DOCUME~1\Romain\LOCALS~1\Temp\

(8/22/05 11:38:24) Disinfection started

(8/22/05 11:38:24) Bad-Dll(IEP): c:\windows\system32\fwuwc.dll

(8/22/05 11:38:24) UBF: 4 - UBB: 2 - UBR: 21

(8/22/05 11:38:24) UBF: 4 - UBB: 2 - UBR: 21

(8/22/05 11:38:24) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\system32\fwuwc.dll/sp.html#37049

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\system32\fwuwc.dll/sp.html#37049

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\system32\fwuwc.dll/sp.html#37049

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\system32\fwuwc.dll/sp.html#37049

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\windows\system32\fwuwc.dll/sp.html#37049

deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\system32\fwuwc.dll/sp.html#37049

(8/22/05 11:38:24) Stealth-String not found

(8/22/05 11:38:24) No locked Files to delete. End without Reboot

(8/22/05 11:38:26) Disinfection started

(8/22/05 11:38:26) Bad-Dll(IEP): c:\windows\system32\fwuwc.dll

(8/22/05 11:38:26) UBF: 4 - UBB: 2 - UBR: 21

(8/22/05 11:38:26) UBF: 4 - UBB: 2 - UBR: 21

(8/22/05 11:38:26) Bad IE-pages: (none)

(8/22/05 11:38:26) Stealth-String not found

(8/22/05 11:38:26) No locked Files to delete. End without Reboot

 

Le truc c'est que lorsque je redémar, tout revien, les pop up, les "about:blank" ect .... :P j'aimerai bien avoir le mec qui a crée sa en face de moi ... :P

Modifié par NuNuX
Invité Stonangel
Posté(e) (modifié)

Bonjour, télécharge:

 

About:Buster de Rubber Ducky:

http://www.malwarebytes.biz/AboutBuster5.zip

 

Ewido

http://www.ewido.net/

Installe et mets à jour.

 

Démarre en mode sans échec. Lance deux fois About:Buster

 

Scanne ton ordinateur avec Ewido

 

Poste le rapport d'Ewido avec un nouveau rapport Hijackthis en mode sans échec.

Modifié par Stonangel

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...