rapport

kugi15 · le 20 janvier 2006

bonsoir a tous j'envois ce message pour une demande d 'analyse pour un pc assez infecter: nombreux bug , impossible d'ouvrir le gestionnaire de tache , quelques problemes avec Lsass

Merci

voici le rapport :

Logfile of HijackThis v1.99.1

Scan saved at 20:05:01, on 20/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - - (no file)

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Zango Search Assistant Helper - {56F1D444-11BF-4879-A12B-79CF0177F038} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Display Control Panel] C:\DispCtrl-2000\vi_grm.exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [keybdll] startman.exe

O4 - HKLM\..\Run: [sYSTRAV] prgsys0984.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Microsoft messenger] msnger.exe

O4 - HKLM\..\Run: [Microsoft Conference] msconf.exe

O4 - HKLM\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe

O4 - HKLM\..\Run: [elitemedia] C:\WINDOWS\elitemediapop.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\pwriyk.exe reg_run

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [OneClick] "C:\Program Files\oneclick\oneclick.exe"

O4 - HKLM\..\Run: [{07-73-3E-EC-ZN}] C:\windows\system32\rqdsregj.exe FI002

O4 - HKLM\..\Run: [browserUpdateSched] C:\WINDOWS\System32\swinrsap.exe FI002

O4 - HKLM\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKLM\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKLM\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\idemlog.exe

O4 - HKCU\..\Run: [userSp1] mozilla-text.exe

O4 - HKCU\..\Run: [slamm] SetupExeDll.exe

O4 - HKCU\..\Run: [sYSTRAV] trycrt.exe

O4 - HKCU\..\Run: [Microsoft messenger] msnger.exe

O4 - HKCU\..\Run: [Microsoft Conference] msconf.exe

O4 - HKCU\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKCU\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\swinrsap.exe

O4 - Startup: Z_Start.lnk = C:\WINDOWS\system32\dwdsregt.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO

O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll

O15 - Trusted Zone: *.elitemediagroup.net

O15 - Trusted Zone: http://click.getmirar.com (HKLM)

O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)

O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)

O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://videohd.m6.fr.ipercast.net/installer-hidden.cab

O16 - DPF: {4E7BD74F-2B8D-469E-D7EC-ED6DB68DFA7D} - http://www.xbarre.com/barre/xbarre.cab

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} (elitectl.DemoCtl) - http://cabs.elitemediagroup.net/cabs/mediaview.cab

O16 - DPF: {CA356D79-679B-4B4C-8E49-5AF97014F4C1} - http://files-pl.starware.com/installs/4.0....tarware_323.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{744C6F5A-E269-442A-BD1F-C4763105E83E}: NameServer = 85.255.114.56,85.255.112.138

O17 - HKLM\System\CCS\Services\Tcpip\..\{869443FC-00EE-4214-90F0-66CAB7BDC2EC}: NameServer = 85.255.114.56,85.255.112.138

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Windows XP Advanced User Launcher - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

Jack_Burton · le 20 janvier 2006

Bonsoir,

Rapport tres infecté!!

Commençons par Wareout!

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{744C6F5A-E269-442A-BD1F-C4763105E83E}: NameServer = 85.255.114.56,85.255.112.138

O17 - HKLM\System\CCS\Services\Tcpip\..\{869443FC-00EE-4214-90F0-66CAB7BDC2EC}: NameServer = 85.255.114.56,85.255.112.138

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Modifié le 20 janvier 2006 par Jack_Burton

kugi15 · le 20 janvier 2006

ok merci je fais ca tout de suite je dis quoi apres

kugi15 · le 20 janvier 2006

quand j'ai essayer de lancer FixWareout j'ai eu un message d 'erreur " acces refusé " puis j'ai reessayer et maintenant il ne se lance plus du tout

kugi15 · le 20 janvier 2006

voici un rapport plus recent après quelque manipulation mais je n'ai toujours pas reussis a lancer Fixwareout

Logfile of HijackThis v1.99.1

Scan saved at 21:41:55, on 20/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Display Control Panel] C:\DispCtrl-2000\vi_grm.exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [keybdll] startman.exe

O4 - HKLM\..\Run: [sYSTRAV] prgsys0984.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Microsoft messenger] msnger.exe

O4 - HKLM\..\Run: [Microsoft Conference] msconf.exe

O4 - HKLM\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe

O4 - HKLM\..\Run: [elitemedia] C:\WINDOWS\elitemediapop.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\pwriyk.exe reg_run

O4 - HKLM\..\Run: [OneClick] "C:\Program Files\oneclick\oneclick.exe"

O4 - HKLM\..\Run: [{07-73-3E-EC-ZN}] C:\windows\system32\rqdsregj.exe FI002

O4 - HKLM\..\Run: [browserUpdateSched] C:\WINDOWS\System32\swinrsap.exe FI002

O4 - HKLM\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKLM\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\idemlog.exe

O4 - HKCU\..\Run: [userSp1] mozilla-text.exe

O4 - HKCU\..\Run: [slamm] SetupExeDll.exe

O4 - HKCU\..\Run: [sYSTRAV] trycrt.exe

O4 - HKCU\..\Run: [Microsoft Conference] msconf.exe

O4 - HKCU\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKCU\..\Run: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKCU\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\swinrsap.exe

O4 - Startup: Z_Start.lnk = C:\WINDOWS\system32\dwdsregt.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O15 - Trusted Zone: *.elitemediagroup.net

O15 - Trusted Zone: http://click.getmirar.com (HKLM)

O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)

O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/Bridge-c139.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DCF163AC-53CD-4E78-9C2A-762D4A46B86E}: NameServer = 195.238.2.21 195.238.2.22

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Windows XP Advanced User Launcher - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

Jack_Burton · le 21 janvier 2006

Bon passons sur wareout! Nous le supprimerons plus tard! Nettoyons le reste du rapport tres infecté!

Je démarre une analyse, réponse dans un moment

Jack_Burton · le 21 janvier 2006

Re bonjour,

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

*Télécharge la version d'essai d'Ewido ici :

http://www.ewido.net/fr/

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s):

-oneclick

-MediaGateway

5/ Dans le menu Demarrer>Executer >tape: services.msc

Recherche le service avec cette orthographe exacte:

-Windows XP Advanced User Launcher

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

F2 - REG:system.ini: UserInit=userinit.exe

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [keybdll] startman.exe

O4 - HKLM\..\Run: [sYSTRAV] prgsys0984.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Microsoft messenger] msnger.exe

O4 - HKLM\..\Run: [Microsoft Conference] msconf.exe

O4 - HKLM\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe

O4 - HKLM\..\Run: [elitemedia] C:\WINDOWS\elitemediapop.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\pwriyk.exe reg_run

O4 - HKLM\..\Run: [OneClick] "C:\Program Files\oneclick\oneclick.exe"

O4 - HKLM\..\Run: [{07-73-3E-EC-ZN}] C:\windows\system32\rqdsregj.exe FI002

O4 - HKLM\..\Run: [browserUpdateSched] C:\WINDOWS\System32\swinrsap.exe FI002

O4 - HKLM\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKLM\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\idemlog.exe

O4 - HKCU\..\Run: [userSp1] mozilla-text.exe

O4 - HKCU\..\Run: [slamm] SetupExeDll.exe

O4 - HKCU\..\Run: [sYSTRAV] trycrt.exe

O4 - HKCU\..\Run: [Microsoft Conference] msconf.exe

O4 - HKCU\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKCU\..\Run: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKCU\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\swinrsap.exe

O4 - Startup: Z_Start.lnk = C:\WINDOWS\system32\dwdsregt.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O15 - Trusted Zone: *.elitemediagroup.net

O15 - Trusted Zone: http://click.getmirar.com (HKLM)

O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)

O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/Bridge-c139.cab

O23 - Service: Windows XP Advanced User Launcher - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

7/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

-C:\WINDOWS\winlogon.exe

-C:\WINDOWS\System32\Utility.exe

-C:\WINDOWS\elitemediapop.exe

-C:\WINDOWS\System32\pwriyk.exe

-C:\windows\system32\rqdsregj.exe

-C:\WINDOWS\System32\swinrsap.exe

-C:\WINDOWS\System32\idemlog.exe

-C:\WINDOWS\system32\swinrsap.exe

-C:\WINDOWS\system32\dwdsregt.exe

-C:\Program Files\MediaGateway<---supprime tout le dossier

-C:\Program Files\oneclick<---supprime tout le dossier

-startman.exe

-prgsys0984.exe

-msnger.exe

-msconf.exe

-IEEXPLORER.exe

-msconfigu.exe

-mozilla-text.exe

-SetupExeDll.exe

-trycrt.exe

ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

8/ Nettoyage dans la base de registre:

Démarrer -> Exécuter -> tape regedit et va successivement :

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[keybdll] startman.exe<---supprime si présent

[sYSTRAV] prgsys0984.exe<---supprime si présent

[Microsoft messenger] msnger.exe<---supprime si présent

[Microsoft Conference] msconf.exe<---supprime si présent

[Miscrosoft Windows Explorer] IEEXPLORER.exe<---supprime si présent

[Microsoft Configu] msconfigu.exe<---supprime si présent

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

[Microsoft Conference] msconf.exe<---supprime si présent

[Miscrosoft Windows Explorer] IEEXPLORER.exe<---supprime si présent

[Microsoft Configu] msconfigu.exe<---supprime si présent

[Microsoft messenger] msnger.exe<---supprime si présent

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[userSp1] mozilla-text.exe<---supprime si présent

[slamm] SetupExeDll.exe<---supprime si présent

[sYSTRAV] trycrt.exe<---supprime si présent

[Microsoft Conference] msconf.exe<---supprime si présent

[Miscrosoft Windows Explorer] IEEXPLORER.exe<---supprime si présent

[Microsoft Configu] msconfigu.exe<---supprime si présent

[Microsoft messenger] msnger.exe<---supprime si présent

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

[Microsoft messenger] msnger.exe<---supprime si présent

[Microsoft Conference] msconf.exe<---supprime si présent

[Miscrosoft Windows Explorer] IEEXPLORER.exe<---supprime si présent

[Microsoft Configu] msconfigu.exe<---supprime si présent

Ferme ensuite le registre.

9/ lancer Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

10/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

11/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

Tu es tres infecté car tu n as aucun firewall! Installes en un maintenant! Tu en trouveras 3 gratuits & performants, avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature

Modifié le 21 janvier 2006 par Jack_Burton

Connexion

Pas encore inscrit ?

rapport

Messages recommandés

kugi15

Jack_Burton

kugi15

kugi15

kugi15

Jack_Burton

Jack_Burton

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer