Analyse HJT

[deathlife]

Suite à une erreur de forum je reposte ici )

 

Bonjour à tous,

 

après avoir fait le nettoyage préliminaire voici le log HJT

 

pour infos aussi j'ai le pc avec un fond decran où il y a marqué spyware detection et un message pour dire que je suis infecté etc

De plus, j'ai un message en bas a droite qui me dit que je suis infecté par des spyware et depuis ca me bloque l'accés au gestionnaire des taches et j'ai un rond rouge avec une croix blanche en bas a droite a coté de l'horloge.

 

voila pour les infos et donc voici mon log icon_smile.gif

 

Merci d'avance et j'espère que ça ira mieux bientôt :/

 

Logfile of HijackThis v1.99.1

Scan saved at 03:01:32, on 06/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\Explorer.EXE

G:\Documents and Settings\seb\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [Yahoo! Pager] G:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - G:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - G:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131047809843

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe

 

 

Re bonjour,

 

en lisant le forum j'ai fait en sorte de pouvoir accéder au gestionnaire de taches

 

je continue a lire pendant ce temps pour voir si je trouve pas d'autre solution à certains symptomes

[Thanos]

salut deathlife

 

télécharge l'utilitaire de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

 

Cela va générer un rapport,poste le. Redémarre en mode sans échec:

 

Relance le et choisis cette fois l’option 2 et réponds ouià tout

 

Redémarre et communique le nouveau rapport avec un nouveau rapport Hijackthis

[deathlife]

Bonsoir heu bonjour Charles

 

oki je m'y mets de suite

 

merci beaucoup de prendre de ton temps pour mon souci

[Thanos]

no problem J'attend tes rapports! On va se débarrasser de Smitfraud !

[deathlife]

héhé

 

voila le dernier rapport tout chaud tout beau !

 

Logfile of HijackThis v1.99.1

Scan saved at 03:37:53, on 06/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\Explorer.EXE

G:\Documents and Settings\seb\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVGCtrl] "G:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKCU\..\Run: [Yahoo! Pager] G:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - G:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - G:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131047809843

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe

 

à de suite =)

[Thanos]

 

1-tu double cliques dessus et tu choisis l’option 1 .Cela va générer un rapport,poste le.

 

2-Redémarre en mode sans échec:

 

Relance le et choisis cette fois l’option 2 et réponds ouià tout

 

3-Redémarre et communique le nouveau rapport avec un nouveau rapport Hijackthis

 

J'ai besoin des 2 rapports générés par le fix smitfraud!!

Modifié le 6 novembre 2005 par charles ingals

[deathlife]

oups

 

je les avais mais j'ai pas posté

 

voila le premier !!!

 

SmitFraudFix v1.92

 

Rapport fait à 3:34:23,53 le 06/11/2005

Executé à partir de G:\Documents and Settings\seb\Bureau\Nouveau dossier (2)

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\WINDOWS

 

G:\WINDOWS\desktop.html PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\WINDOWS\system32

 

G:\WINDOWS\system32\vxh8jkdq?.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\Documents and Settings\seb\Application Data

 

G:\Documents and Settings\seb\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\Documents and Settings\seb\Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

 

et voila le second

 

SmitFraudFix v1.92

 

Rapport fait à 3:36:58,53 le 06/11/2005

Executé à partir de G:\Documents and Settings\seb\Bureau\Nouveau dossier (2)

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

G:\WINDOWS\desktop.html supprimé

G:\WINDOWS\system32\vxh8jkdq?.exe supprimé

G:\Documents and Settings\seb\Application Data\Install.dat supprimé

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

et voila, et encore désolé

[Thanos]

Pas de mal!

 

Fais ceci stp pour nettoyer le pc:

 

Télécharger la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options"

 

décocher les deux options "Install background guard" et "Install scan via context

 

menu") Mets le à jour.

 

Lorsque tu es passé en mode sans échec,relance Ewido et clique sur le bouton "Scanner" dans le menu de gauche, puis clique sur "Scan complet du système". Ce scan peut prendre un bon moment.

2. Si Ewido trouve quelque chose, il affichera une notification. Nous avons trouvé quelques cas de faux positifs avec la nouvelle version d'Ewido, aussi nous avons besoin de vérifier les corrections une par une. Si Ewido trouve quelque chose que tu SAIS légitime (par exemple, des éléments de AVG Antivirus, AOL, pcAnywhere et le jeu "Risk" ont été repérés), sélectionne "Aucun" comme action. NE COCHE PAS "Effectuer cette action avec toutes les infections". Si tu n'es pas sûr de la donnée, sélectionne "aucune" pour le moment. Nous verrons cela dans le log que tu vas poster plus tard et nous te ferons savoir si Ewido doit être relancé.

[deathlife]

Mode reboot pc ON

 

à de suite =)

[deathlife]

Me revoilou et voila le rapport !! (52min le scan ough)

 

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 04:48:21, 06/11/2005

+ Somme de contrôle: 216584CF

 

+ Résultats du scan:

 

C:\Documents and Settings\nerzhuul\Cookies\[email protected][1].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\nerzhuul\Cookies\nerzhuul@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Nettoyer et sauvegarder

C:\Documents and Settings\nerzhuul\Cookies\nerzhuul@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\Uninstall.exe -> Adware.SpySheriff : Nettoyer et sauvegarder

:mozilla.10:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.12:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder

:mozilla.15:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.16:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.17:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.20:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.21:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.22:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

:mozilla.23:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.32:G:\Documents and Settings\seb\Application Data\Mozilla\Firefox\Profiles\kfpoh5i4.default\cookies.txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder

G:\Documents and Settings\seb\Cookies\seb@pay4klick[1].txt -> Spyware.Cookie.Pay4klick : Nettoyer et sauvegarder

G:\WINDOWS\system32\vx.tll -> Adware.SpySheriff : Nettoyer et sauvegarder

 

 

::Fin du rapport