[Résolu] Un cheval de Troie dans mon PC : à l'aide !

[Jack_Burton]

Re,

 

Ferme toutes les applications en cours, car cette étape nécessite un redémarrage.

 

Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également.

 

IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !!

**Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix".

[zelive]

voila le rapport 1er rapport :

 

L2mfix 010406

Creating Account.

La commande s'est termin‚e correctement.

 

Adding Administrative privleges.

Checking for L2MFix account(0=no 1=yes):

1

Granting SeDebugPrivilege to L2MFIX ... successful

 

Running From:

C:\WINDOWS\system32

 

Killing Processes!

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 [email protected]

Killing PID 376 'smss.exe'

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 [email protected]

Killing PID 464 'winlogon.exe'

Killing PID 464 'winlogon.exe'

Killing PID 464 'winlogon.exe'

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 [email protected]

Killing PID 1492 'explorer.exe'

Killing PID 1492 'explorer.exe'

Killing PID 1492 'explorer.exe'

Killing PID 1492 'explorer.exe'

Killing PID 1492 'explorer.exe'

Killing PID 1492 'explorer.exe'

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 [email protected]

Killing PID 1208 'rundll32.exe'

Killing PID 1208 'rundll32.exe'

Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrateurs ... successful

 

Scanning First Pass. Please Wait!

 

First Pass Completed

 

Second Pass Scanning

 

Second pass Completed!

1 fichier(s) copi‚(s).

1 fichier(s) copi‚(s).

1 fichier(s) copi‚(s).

1 fichier(s) copi‚(s).

1 fichier(s) copi‚(s).

1 fichier(s) copi‚(s).

Deleting: C:\WINDOWS\system32\aetiveds.dll

Successfully Deleted: C:\WINDOWS\system32\aetiveds.dll

Deleting: C:\WINDOWS\system32\arlui.dll

Successfully Deleted: C:\WINDOWS\system32\arlui.dll

Deleting: C:\WINDOWS\system32\imxsap.dll

Successfully Deleted: C:\WINDOWS\system32\imxsap.dll

Deleting: C:\WINDOWS\system32\k0jsla171d.dll

Successfully Deleted: C:\WINDOWS\system32\k0jsla171d.dll

Deleting: C:\WINDOWS\system32\ktl0l73m1.dll

Successfully Deleted: C:\WINDOWS\system32\ktl0l73m1.dll

Deleting: C:\WINDOWS\system32\wbavideo.dll

Successfully Deleted: C:\WINDOWS\system32\wbavideo.dll

 

msg11?.dll

0 fichier(s) copi‚(s).

 

 

 

Restoring Windows Update Certificates.:

 

The following Is the Current Export of the Winlogon notify key:

****************************************************************************

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

"DLLName"="Ati2evxx.dll"

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000001

"Lock"="AtiLockEvent"

"Logoff"="AtiLogoffEvent"

"Logon"="AtiLogonEvent"

"Disconnect"="AtiDisConnectEvent"

"Reconnect"="AtiReConnectEvent"

"Safe"=dword:00000000

"Shutdown"="AtiShutdownEvent"

"StartScreenSaver"="AtiStartScreenSaverEvent"

"StartShell"="AtiStartShellEvent"

"Startup"="AtiStartupEvent"

"StopScreenSaver"="AtiStopScreenSaverEvent"

"Unlock"="AtiUnLockEvent"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geedd]

"Asynchronous"=dword:00000001

"DllName"="geedd.dll"

"Impersonate"=dword:00000000

"Logon"="Logon"

"Logoff"="Logoff"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reinstall]

"Asynchronous"=dword:00000000

"DllName"="C:\\WINDOWS\\system32\\k0jsla171d.dll"

"Impersonate"=dword:00000000

"Logon"="WinLogon"

"Logoff"="WinLogoff"

"Shutdown"="WinShutdown"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

 

The following are the files found:

****************************************************************************

C:\WINDOWS\system32\aetiveds.dll

C:\WINDOWS\system32\arlui.dll

C:\WINDOWS\system32\imxsap.dll

C:\WINDOWS\system32\k0jsla171d.dll

C:\WINDOWS\system32\ktl0l73m1.dll

C:\WINDOWS\system32\wbavideo.dll

 

Registry Entries that were Deleted:

Please verify that the listing looks ok.

If there was something deleted wrongly there are backups in the backreg folder.

****************************************************************************

Windows Registry Editor Version 5.00

 

[HKEY_CLASSES_ROOT\CLSID\{371B952E-5834-40C0-95F1-0803F96C5F72}]

@=""

"IDEx"="ADDR"

 

[HKEY_CLASSES_ROOT\CLSID\{371B952E-5834-40C0-95F1-0803F96C5F72}\Implemented Categories]

@=""

 

[HKEY_CLASSES_ROOT\CLSID\{371B952E-5834-40C0-95F1-0803F96C5F72}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]

@=""

 

[HKEY_CLASSES_ROOT\CLSID\{371B952E-5834-40C0-95F1-0803F96C5F72}\InprocServer32]

@="C:\\WINDOWS\\system32\\imxsap.dll"

"ThreadingModel"="Apartment"

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{371B952E-5834-40C0-95F1-0803F96C5F72}"=-

[-HKEY_CLASSES_ROOT\CLSID\{371B952E-5834-40C0-95F1-0803F96C5F72}]

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

****************************************************************************

Desktop.ini Contents:

****************************************************************************

 

****************************************************************************

Checking for L2MFix account(0=no 1=yes):

0

Zipping up files for submission:

adding: dlls/aetiveds.dll (164 bytes security) (deflated 5%)

adding: dlls/arlui.dll (164 bytes security) (deflated 5%)

adding: dlls/imxsap.dll (164 bytes security) (deflated 4%)

adding: dlls/k0jsla171d.dll (164 bytes security) (deflated 4%)

adding: dlls/ktl0l73m1.dll (164 bytes security) (deflated 5%)

adding: dlls/wbavideo.dll (164 bytes security) (deflated 4%)

adding: backregs/371B952E-5834-40C0-95F1-0803F96C5F72.reg (212 bytes security) (deflated 69%)

adding: backregs/notibac.reg (164 bytes security) (deflated 88%)

adding: backregs/shell.reg (164 bytes security) (deflated 73%)

 

 

Et voila le rapport hijack!

Logfile of HijackThis v1.99.1

Scan saved at 15:54:12, on 22/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Brother\ControlCenter2\brctrcen.exe

C:\windows\winsysban.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Yahoo!\Messenger\ypager.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\Lol\Mes documents\Utilitaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {5D29C749-5FD1-0004-A1EB-05D58C25E49F} - C:\WINDOWS\System32\klpj.dll

R3 - URLSearchHook: (no name) - {6804F749-72E2-3530-8CDB-35F8BC15C9AF} - C:\WINDOWS\System32\klpj.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O2 - BHO: (no name) - {5D29C749-5FD1-0004-A1EB-05D58C25E49F} - C:\WINDOWS\System32\klpj.dll

O2 - BHO: (no name) - {6804F749-72E2-3530-8CDB-35F8BC15C9AF} - C:\WINDOWS\System32\klpj.dll

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\geedd.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd.exe

O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: geedd - C:\WINDOWS\SYSTEM32\geedd.dll

O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\k0jsla171d.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

[Mark]

Bonjour zelive, et coucou Jack

 

Beau travail vous deux !! Look2Me est neutralisé. Prochaine étape :

 

Supprime l'ancien VundoFix de ton Bureau (le dossier VundoFix et le fichier d'installation - VundoFix.exe).

 

Installe le nouveau fichier Vundofix.exe (que tu as téléchargé en même temps que L2MFix) sur le Bureau.

 

Lance HijackThis! (en mode Normal) et clique "Do a system scan only", puis coche cette ligne :

 

O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\k0jsla171d.dll (file missing)

 

Ferme tous les autres programmes/fenêtres et clique "Fix checked". Ferme HijackThis!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

• Double-clique VundoFix.exe (le nouveau) afin de le lancer.
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  
• Démarre ton PC à nouveau.
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

[zelive]

et voila! tout c'est bien passé!

 

Ca cest le rapport vundox fix!

VundoFix V4.0

 

Listing files found while scanning....

 

C:\WINDOWS\system32\geedd.dll

 

Attempting to delete C:\WINDOWS\system32\geedd.dll

C:\WINDOWS\system32\geedd.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

 

Et ca le rapport de hijack!

Logfile of HijackThis v1.99.1

Scan saved at 17:08:52, on 22/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Brother\ControlCenter2\brctrcen.exe

C:\windows\winsysban.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Yahoo!\Messenger\ypager.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\Documents and Settings\Lol\Mes documents\Utilitaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {5D29C749-5FD1-0004-A1EB-05D58C25E49F} - C:\WINDOWS\System32\klpj.dll

R3 - URLSearchHook: (no name) - {6804F749-72E2-3530-8CDB-35F8BC15C9AF} - C:\WINDOWS\System32\klpj.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O2 - BHO: (no name) - {5D29C749-5FD1-0004-A1EB-05D58C25E49F} - C:\WINDOWS\System32\klpj.dll

O2 - BHO: (no name) - {6804F749-72E2-3530-8CDB-35F8BC15C9AF} - C:\WINDOWS\System32\klpj.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd.exe

O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

 

voila!

[Mark]

Beau travail !!

 

Ok, il nous reste un outil spécial à utiliser, et un peu de nettoyage à faire :

 

Imprime ces instructions pour lecture en mode Sans Échec (ou colle les dans un fichier texte).

 

Télécharge SmitfraudFix (de S!Ri, Balltrap34 et Moe31) de ce lien :

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

..et dézippe le contenu sur le Bureau (le dossier SmitfraudFix). Double-clique sur ce dossier, puis lance smitfraudfix.cmd Sélectionne 1 dans le menu afin de créer un rapport. Sauvegarde ce rapport.

 

Redémarre en mode Sans Échec, puis lance HijackThis! et clique "Do a system scan only", et coche ces lignes :

 

R3 - URLSearchHook: (no name) - {5D29C749-5FD1-0004-A1EB-05D58C25E49F} - C:\WINDOWS\System32\klpj.dll

R3 - URLSearchHook: (no name) - {6804F749-72E2-3530-8CDB-35F8BC15C9AF} - C:\WINDOWS\System32\klpj.dll

 

O2 - BHO: (no name) - {5D29C749-5FD1-0004-A1EB-05D58C25E49F} - C:\WINDOWS\System32\klpj.dll

O2 - BHO: (no name) - {6804F749-72E2-3530-8CDB-35F8BC15C9AF} - C:\WINDOWS\System32\klpj.dll

 

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd.exe

O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban.exe

Ferme tous les autres programmes/fenêtres et clique "Fix checked". Ferme HijackThis!

 

Supprime ce fichier (s'il existe toujours) :

 

C:\WINDOWS\System32\klpj.dll <<

 

 

Toujours en mode Sans Échec, ouvre le dossier SmitfraudFix et lance smitfraudfix.cmd ; sélectionne 2 afin d'amorcer le nettoyage. Répond O pour oui aux questions, si demandées. Sauvegarde le rapport.

 

Redémarre en mode Normal. Poste les deux rapports de SmitfraudFix, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. On y est presque !!

[zelive]

Alors voila le 1er rapport smitfraudfix :

SmitFraudFix v2.15

 

Rapport fait à 18:03:24,12 le 22/01/2006

Executé à partir de C:\Documents and Settings\Lol\Bureau\SMITFRAUD\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

C:\drsmartload1.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

C:\WINDOWS\drsmartload.dat PRESENT !

C:\WINDOWS\winsysupd.exe PRESENT !

C:\WINDOWS\winsysban.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Lol\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

le 2ème rapport :

SmitFraudFix v2.15

 

Rapport fait à 18:10:22,93 le 22/01/2006

Executé à partir de C:\Documents and Settings\Lol\Bureau\SMITFRAUD\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\drsmartload1.exe supprimé

C:\WINDOWS\drsmartload.dat supprimé

C:\WINDOWS\winsysupd.exe supprimé

C:\WINDOWS\winsysban.exe supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

 

Et le rapport hijack :

Logfile of HijackThis v1.99.1

Scan saved at 18:15:21, on 22/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Brother\ControlCenter2\brctrcen.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Yahoo!\Messenger\ypager.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\Documents and Settings\Lol\Mes documents\Utilitaire\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

 

[Mark]

Ah voui !! que c'est beau maintenant..

 

Les outils spéciaux ont bien fait le boulot. Ouff... y avait longtemps que je n'avais vu un PC aussi infecté !!

 

Je suis de retour, et je dois quitter aussi vite...

 

Pas grave, on terminera un peu plus tard ; les infections sont éradiquées, donc c'est l'essentiel pour l'instant.

 

As-tu accès à l'internet maintenant ? Si oui, lance Ewido et mets le à jour. Redémarre en Sans Échec et fais un scan complet. Sauvegarde le rapport. Redémarre en mode Normal.

 

Je vais également te faire passer un scan en ligne avec Panda ActiveScan (en supposant que tu as ta connexion !!) ; Avast! va détecter un fichier d'ActiveScan comme étant nuisible et va le bloquer... C'est un faux-positif, alors désactive Avast! juste avant d'aller sur le site de Panda (tu fais un clic-droit sur l'icône d'Avast! près de l'horloge et choisis "Arrêter la protection résidente", puis fais le scan à partir de ce lien :

 

http://www.pandasoftware.com/activescan/fr...n_principal.htm

 

..clique sur "Analyser votre PC". On te demandera de t'inscrire avec adresse électronique, etc... Suis la procédure, et fais un scan complet de ton ordi. Sauvegarde le rapport généré. Redémarre, puis poste le rapport dans ta prochaine réponse, avec le rapport d'Ewido également.

[zelive]

Bon me revoila !

 

g fait la mise à jour ewido, les scan sur panda (rapport ci joint pr le poste de travail et les disk locaux). Par contre une fois tout ca fai et l'ordi redémarré et bien je ne pouvai plus me connecté à Internet!! (gross crise de désespoir! )! Alors g réinstaller mon modem et la ca march pour le momen!!! (mai juska kan?! ) en plus ewido me signal des objet infecté et avast un virus! Bon vous verrez ca surment avec mes différents rapports! En espérant pouvoir me reconnecté demain!! Je vais me coucher après toute c émotions!!!!

 

Rapport Ewido

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 00:06:01, 23/01/2006

+ Somme de contrôle: 20787AD4

 

+ Résultats du scan:

 

C:\Documents and Settings\Lol\Bureau\l2mfix\backup.zip/dlls/aetiveds.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\backup.zip/dlls/arlui.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\backup.zip/dlls/imxsap.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\backup.zip/dlls/k0jsla171d.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\backup.zip/dlls/ktl0l73m1.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\backup.zip/dlls/wbavideo.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\dlls\aetiveds.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\dlls\arlui.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\dlls\imxsap.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\dlls\k0jsla171d.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\dlls\ktl0l73m1.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Bureau\l2mfix\dlls\wbavideo.dll -> Spyware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\drsdf.exe -> Downloader.Adload.j : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Mes documents\Utilitaire\backups\backup-20060121-183048-816.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\ca32.exe/rm32.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\ca32.exe/dr32.exe -> Downloader.Adload.j : Nettoyer et sauvegarder

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BQ7NQ7W7\ca32[1].zip/rm32.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BQ7NQ7W7\ca32[1].zip/dr32.exe -> Downloader.Adload.j : Nettoyer et sauvegarder

C:\WINDOWS\system32\dr32.exe -> Downloader.Adload.j : Nettoyer et sauvegarder

C:\WINDOWS\system32\svchost.dll -> Backdoor.IRCBot.nf : Nettoyer et sauvegarder

C:\WINDOWS\system32\wgxmhcey.dll -> Backdoor.IRCBot.nf : Nettoyer et sauvegarder

C:\WINDOWS\system32\winzip81.exe -> Backdoor.Rbot.ann : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

 

Rapport Panda

 

Diskes locaux :

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\l2mfix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\l2mfix.exe[Process.exe]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\SMITFRAUD\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\SmitfraudFix.zip[Process.exe]

Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-1292428093-1202660629-1801674531-1003\Dc2\VundoFix\process.exe

Virus:W32/Sdbot.GDQ.worm Désinfecté C:\WINDOWS\msnet32.exe

Adware:adware/commad No Désinfecté C:\WINDOWS\system32\atmtd.dll

Virus:W32/Sdbot.ftp Désinfecté C:\WINDOWS\system32\i

Adware:adware/swimsuitnetwork No Désinfecté C:\WINDOWS\system32\MYDLL.dll

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Adware:Adware/Sqwire No Désinfecté C:\WINDOWS\system32\tsuninst.exe

Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\teller2.chk

 

 

 

poste de travail :

Incident Statut Analyse

 

Adware:adware/commad No Désinfecté C:\WINDOWS\SYSTEM32\atmtd.dll

Adware:adware/swimsuitnetwork No Désinfecté C:\WINDOWS\SYSTEM32\MYDLL.dll

Adware:adware/sqwire No Désinfecté C:\WINDOWS\SYSTEM32\tsuninst.exe

Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\teller2.chk

Adware:adware/secure32 No Désinfecté C:\WINDOWS\System32\drivers\etc\hosts

Spyware:spyware/virtumonde No Désinfecté Registre Windows

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\l2mfix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\l2mfix.exe[Process.exe]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\SMITFRAUD\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\SmitfraudFix.zip[Process.exe]

Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-1292428093-1202660629-1801674531-1003\Dc2\VundoFix\process.exe

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\system32\drivers\etc\hosts

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Adware:Adware/Sqwire No Désinfecté C:\WINDOWS\system32\tsuninst.exe

 

 

[/b]rapport Hijack!

Logfile of HijackThis v1.99.1

Scan saved at 01:47:36, on 23/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Brother\ControlCenter2\brctrcen.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\Lol\Mes documents\Utilitaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINDOWS\System32\steam.dll,start

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)

 

 

Bon voila, j avou ke je suis en stress : en voyan ke ca remarchai le net g t toute fofoll!! mai g crié victoire tro vite vu ke ca ma refai le coup de connexion impossibl Alors suspense, demain vais je pouvoir me reconnecté? Merci bocoup pour votre aide en tout cas!!! A demain gspr !

[Mark]

Bonjour zelive

 

Hmmm... de toute évidence, il reste des trucs là-dessous... Panda et Ewido ont très bien bossé par contre (plusieurs de ces détections étaient des bestioles en quarantaine, donc pas dangeureuses... mais y en a d'autres !!). Je regardais toute la discussion, et je me pose une question : tu avais Kaspersky Antivirus au début, que tu as viré en faveur d'Avast! J'aimerais savoir pourquoi ! car Kaspersky (à jour), aurait stoppé la plupart des virus/vers qui se sont installés ; tu me diras dans ton prochain post.

 

Ok, j'ai besoin d'une analyse de fichier. Tu dois pouvoir connecter le PC malade pour la faire, donc si tu peux pas, passe à l'étape suivante.

 

Va sur le site de Jotti ici :

http://virusscan.jotti.org/

 

...clique sur "Parcourir", puis cherche ce fichier : C:\WINDOWS\System32\steam.dll <<

 

...sélectionne-le, puis clique sur "Submit". Les résultats d'analyse apparaîtront ; colle les dans un fichier texte (du Bloc Notes) et sauvegarde le.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Je te fais passer un autre scanneur. Si tu peux pas faire sa mise à jour, pas grave... installe le et scanne (en mode Normal) :

 

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper

• Clique sur "Essayer".
  
• Installe le programme. Une fois installé, il se lancera.
  
• L'option de le mettre à jour s'affichera; clic Yes.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Sweep Options.
  
• Sous What to Sweep, coche les options suivantes:
  • 
    
  • Sweep Memory
    
  • Sweep Registry
    
  • Sweep Cookies
    
  • Sweep All User Accounts
    
  • Enable Direct Disk Sweeping
    
  • Sweep Contents of Compressed Files
    
  • Sweep for Rootkits
    
  • DÉCOCHE Do not Sweep System Restore Folder.
    

  [*]Clic Sweep Now sur la gauche.

  [*]Clic sur Start.

  [*]Quand le scan est terminé, clic sur Next.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Next.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Summary, puis clic sur Finish.

  [*]Colle le contenu du "Session Log" dans un fichier texte, et sauvegarde le.

Redémarre après le scan (si l'outil ne l'a pas fait..). Colle le rapport ici, avec le résultat du scan de Jotti, et un nouveau rapport HijackThis! s'il te plaît.

 

Dis moi aussi au sujet de Kaspersky !!

[zelive]

Hello qc001!

 

Voila ma ptite réponse concernant Kaspersky : je vais revenir sur l'histoire de notre ptit malade! Voila il y a une semaine du jour au lendemain impossible de me connecter à internet! Alors g appelé une amie à la rescousse histoire kel reformate le tout et kan prime ell m'install Windows XP (g t sous win98 avan...)! Bref on lutte car la bestiol été très malade! Par contre on install plein d antivirus et ccie (ewido, avast, Zone alarm...) car avant j'avai Norton mai apparement pas très bon... Et un ami nous a conseiller d'installer kaspersky histoire de virer les virus afin de pouvoir se connecter à nouvo! Donc ptite analyse concluante avec Kaspersky mais après g vu kil n'été pas compatible avec Avast (message d'alerte d'Avast à chak démarrage!) Donc bye bye Kaspersky!

G fai une bétise??? Voili voilou!

 

Bon je vais faire tout les ptit scan en espérant pouvoir me reconnecté à internet après le redémarrage! (je n'ai pas étein mon ordi depuis hier soir! je suis tromatisée lol)!

 

A tout à leur Gspr!