[Résolu] Un cheval de Troie dans mon PC : à l'aide !

[zelive]

Bon, g pu faire tout les scan demandés! Par contre bonjour le tps ke ca a pris!! Mon ordi rame komm un fou!!

Malheureusment, kan g redémarré l'ordi à la suite du scan avaec spy sweeper et bien impossible de me reconnecter à Internet!!! alors rebelott g désinstaller mon modem et je l ai remis et la ca a l air de fonctionner! Alors bon pour l'instant si ca marche comm ca je vai pas être tro exigeante...

 

Allez place aux rapports!

 

Voici le ptit Jotti!

 

File: steam.dll

Status:

POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)

MD5 13840b5b0c6723cdb6a8b8b4d012306f

Packers detected:

PETITE

 

 

Scanner results

 

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

UNA

Found nothing

VBA32

Found Backdoor.xBot.1 (paranoid heuristics) (probable variant)

 

 

Ensuite Spy sweeper!

********

16:21: | Début de session, lundi 23 janvier 2006 |

16:21: Spy Sweeper démarrée

16:21: Analyse lancée avec la version des définitions 604

16:21: Démarrage de l’analyse de la mémoire

16:30: Analyse de la mémoire terminée, temps passé : 00:09:21

16:30: Démarrage de l’analyse du Registre

16:31: Trouvé Adware: targetsaver

16:31: HKLM\software\microsoft\windows\currentversion\uninstall\tsa\ (2 traces secondaires) (ID = 143607)

16:31: Trouvé Adware: command

16:31: HKLM\software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}\ (7 traces secondaires) (ID = 892523)

16:31: HKLM\system\currentcontrolset\services\cmdservice\ (12 traces secondaires) (ID = 958670)

16:31: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\0000\ (6 traces secondaires) (ID = 1016064)

16:31: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\ (8 traces secondaires) (ID = 1016072)

16:31: HKLM\software\microsoft\windows\currentversion\uninstall\{a394e835-c8d6-4b4b-884b-d2709059f3be}\ (7 traces secondaires) (ID = 1110756)

16:31: Trouvé Adware: findthewebsiteyouneed hijack

16:31: HKU\S-1-5-21-1292428093-1202660629-1801674531-1003\software\microsoft\internet explorer\search\searchassistant explorer\main\ || default_search_url (ID = 555437)

16:31: Analyse du Registre terminée, temps passé :00:00:36

16:31: Démarrage de l’analyse des cookies

16:31: Trouvé Spy Cookie: atlas dmt cookie

16:31: lol@atdmt[1].txt (ID = 2253)

16:31: Trouvé Spy Cookie: xiti cookie

16:31: lol@xiti[1].txt (ID = 3717)

16:31: Analyse des cookies terminée, temps passé : 00:00:00

16:31: Démarrage de l’analyse des fichiers

16:32: Trouvé Adware: dollarrevenue

16:32: a0019365.exe (ID = 235307)

16:33: Trouvé Adware: look2me

16:33: a0019234.dll (ID = 159)

16:33: Trouvé Adware: findthewebsiteyouneed hijacker

16:33: a0006096.exe (ID = 233481)

16:34: drevil[1].exe (ID = 233781)

16:34: sadf.exe (ID = 233781)

16:35: a0016672.exe (ID = 233781)

16:35: a0019236.dll (ID = 159)

16:35: a0016717.exe (ID = 235307)

16:35: drsmartload[1].exe (ID = 235307)

16:35: a0019449.exe (ID = 233781)

16:36: a0019223.dll (ID = 195129)

16:37: a0019229.dll (ID = 159)

16:37: a0005592.exe (ID = 233481)

16:37: a0015239.dll (ID = 159)

16:37: a0016165.exe (ID = 233482)

16:38: a0017086.dll (ID = 195129)

16:39: a0006628.exe (ID = 233482)

16:39: a0007105.dll (ID = 195129)

16:39: drevil[1].exe (ID = 233781)

16:40: a0005922.exe (ID = 235307)

16:40: a0006196.dll (ID = 159)

16:43: a0019280.dll (ID = 159)

16:43: a0015708.exe (ID = 235307)

16:45: a0019444.dll (ID = 159)

16:45: a0019445.dll (ID = 159)

16:46: a0015522.exe (ID = 231443)

16:46: a0005879.exe (ID = 231443)

16:46: a0019296.dll (ID = 159)

16:47: a0019226.dll (ID = 159)

16:47: a0015525.exe (ID = 233481)

16:54: a0015235.dll (ID = 159)

16:55: uninstall_nmon.vbs (ID = 231442)

16:57: Avertissement: Failed to open file "c:\system volume information\_restore{1be6d9d5-1482-4ca7-a2ef-29984dbc865e}\rp28\a0019237.dll". Accès refusé

16:57: a0005571.dll (ID = 159)

16:58: a0019294.dll (ID = 159)

16:59: a0006813.exe (ID = 233781)

16:59: a0006835.exe (ID = 235307)

16:59: a0019446.dll (ID = 159)

16:59: a0019447.dll (ID = 159)

16:59: Avertissement: Failed to open file "c:\system volume information\_restore{1be6d9d5-1482-4ca7-a2ef-29984dbc865e}\rp28\a0019221.exe". Accès refusé

17:00: Avertissement: Failed to open file "c:\system volume information\_restore{1be6d9d5-1482-4ca7-a2ef-29984dbc865e}\rp22\a0005527.dll". Accès refusé

17:00: a0005544.dll (ID = 159)

17:00: a0019448.dll (ID = 159)

17:01: a0019293.dll (ID = 159)

17:01: a0019228.dll (ID = 159)

17:01: Trouvé Adware: apropos

17:01: atmtd.dll (ID = 166754)

17:01: atmtd.dll._ (ID = 166754)

17:01: a0019451.exe (ID = 233812)

17:01: tsuninst.exe (ID = 193501)

17:01: a0019266.dll (ID = 159)

17:02: a0019295.dll (ID = 159)

17:02: a0005597.dll (ID = 159)

17:02: a0005601.dll (ID = 159)

17:02: a0015713.dll (ID = 159)

17:02: a0019235.dll (ID = 159)

17:02: a0019232.dll (ID = 159)

17:03: a0006384.exe (ID = 231443)

17:03: a0006389.exe (ID = 233481)

17:09: a0016184.dll (ID = 159)

17:10: a0019230.dll (ID = 159)

17:11: a0012125.dll (ID = 166754)

17:17: a0019225.dll (ID = 159)

17:19: a0019231.dll (ID = 159)

17:20: a0013811.exe (ID = 233812)

17:21: a0019227.dll (ID = 159)

17:21: a0014826.exe (ID = 193501)

17:22: a0015166.vbs (ID = 231442)

17:22: a0019211.dll (ID = 159)

17:22: a0016303.exe (ID = 231443)

17:22: a0015699.exe (ID = 231443)

17:22: a0019241.dll (ID = 159)

17:23: a0015862.exe (ID = 231443)

17:23: a0016164.exe (ID = 233481)

17:24: a0019233.dll (ID = 159)

17:25: a0019443.dll (ID = 159)

17:25: a0019240.dll (ID = 159)

17:30: Avertissement: The file sweep got stuck and had to be terminated and restarted in "safe" (slow) mode..

17:31: Analyse des fichiers terminée, temps passé : 00:59:21

17:31: Analyse complète terminée. Durée 01:09:26

17:31: Traces trouvées : 124

17:31: Processus de suppression lancé.

17:31: Mise en quarantaine de toutes les traces : look2me

17:32: Mise en quarantaine de toutes les traces : apropos

17:32: Mise en quarantaine de toutes les traces : dollarrevenue

17:32: Mise en quarantaine de toutes les traces : command

17:32: Mise en quarantaine de toutes les traces : findthewebsiteyouneed hijacker

17:32: Mise en quarantaine de toutes les traces : findthewebsiteyouneed hijack

17:32: Mise en quarantaine de toutes les traces : targetsaver

17:32: Mise en quarantaine de toutes les traces : atlas dmt cookie

17:32: Mise en quarantaine de toutes les traces : xiti cookie

17:33: Processus de suppression lancé. Durée 00:01:43

********

16:07: | Début de session, lundi 23 janvier 2006 |

16:07: Spy Sweeper démarrée

16:07: Analyse lancée avec la version des définitions 604

16:07: Démarrage de l’analyse de la mémoire

16:15: Analyse annulée

16:20: Analyse de la mémoire terminée, temps passé : 00:13:07

16:20: Traces trouvées : 0

16:21: | Fin de session, lundi 23 janvier 2006 |

********

16:01: | Début de session, lundi 23 janvier 2006 |

16:01: Spy Sweeper démarrée

16:07: | Fin de session, lundi 23 janvier 2006 |

 

 

 

et enfin notre petit Hijack!

Logfile of HijackThis v1.99.1

Scan saved at 17:50:33, on 23/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\Lol\Mes documents\Utilitaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINDOWS\System32\steam.dll,start

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

A bientot pour de nouvelle aventure!

Modifié le 23 janvier 2006 par zelive

[Mark]

Bonsoir

 

Et Merci pour ce rapport, et pour les explications concernant Kaspersky (qui était une version d'essai je suppose..). Kaspersky est très fort, mais payant. Avast! est bon, donc pas à s'en faire !

 

Spy Sweeper a fait un bon ménage, mais ton PC rame toujours... Je vais donc pousser les analyses à nouveau. Imprime ces instructions, ou colle les dans un fichier texte.

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) d'ici -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

 

- dézippe l'outil sur ton Bureau

- Redémarre en Mode Sans Échec (**très important**) et choisis ton compte usuel.

- double clique sur RegSearch.exe

- copie colle la ligne ci-bas (ou tape là) dans la première ligne de la zone de recherche :

 

adchannel

 

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- ferme RegSearch par Cancel

- Redémarre en mode Normal.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Refais un scan avec Panda ActiveScan, mais juste pour le Poste de travail cette fois-ci. Sauvegarde le rapport.

 

Colle le rapport de Panda, ainsi que le rapport de l'outil Regsearch dans ta prochaine réponse. On fera ensuite un petit nettoyage supplémentaire

[zelive]

oh la la je vien de mettre 35 min rien ke pour imprimer t explikations!! Eh la je clik sur le 1er lien et sniff error!! cette page n existe pas! ke faire!

 

 

en faisan ma ptite recherche g reussi a le trouver sur le site!! ouff ptite frayeur! allez o boulo!

[zelive]

Bonjour, bonjour!

 

Bon je n ai pas de bonne nouvelle! Alors hier g voulu fair tout ce ke tu ma dis alors pour regseach pas de pb! G le Scan! par contre kan g voulu faire panda impossible ke ca démarre! Après je me suis souvenu kil fallai désactiver avast ce ke g fai! Je relance une analyse Panda et pas moyen ca n avancai pas! PAs d'analyse Panda! Je me suis pas di bon je vai aller poster un ptit msg sur le forum pour demander kommen faire et la c le drame : PLUS D internet!!!!!!!!! Alors depuis hier soir g fait tout les scan possible et desinstaller reinstaller mon modem : et tjs aps d internet.

La après avoir fai un scan spy sweeper jai reussi a me reconnecter! Alors vite je t envoi mes différent rapports

 

Les Rapport de Scan :

 

Regsearch

REGEDIT4

 

; Registry Search by Bobbi Flekman © 2005

; Version: 1.0.2.4

 

; Results at 23/01/2006 22:48:18 for strings:

; 'adchannel'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

 

 

Après ce scan l'analyse Panda ne voulai pas démarrer! alors g redéammrer mon ordi et après plus d Internet! Alors g fai différent scan :

 

avast => cheval de troie dans C:/WINDOWS/System32/eraseme_08148.exe (mis en quarantaine)

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 14:33:06, 24/01/2006

+ Somme de contrôle: A0007B4D

 

+ Résultats du scan:

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K1AFSTA3\exe1[1].exe -> Proxy.Small.dv : Nettoyer et sauvegarder

:mozilla.10:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.17:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.18:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.19:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.20:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

:mozilla.28:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.29:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder

:mozilla.30:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder

:mozilla.47:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder

:mozilla.58:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder

:mozilla.71:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.72:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.73:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.74:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.75:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.76:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.77:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.78:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.79:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.103:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder

:mozilla.104:C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\Cookies\lol@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Lol\sa4fdgf.exe -> Downloader.Adload.j : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Spy Sweeper

********

15:29: | Début de session, mardi 24 janvier 2006 |

15:29: Spy Sweeper démarrée

15:29: Analyse lancée avec la version des définitions 604

15:29: Démarrage de l’analyse de la mémoire

15:36: Analyse de la mémoire terminée, temps passé : 00:07:39

15:36: Démarrage de l’analyse du Registre

15:37: Analyse du Registre terminée, temps passé :00:00:33

15:37: Démarrage de l’analyse des cookies

15:37: Analyse des cookies terminée, temps passé : 00:00:00

15:37: Démarrage de l’analyse des fichiers

15:37: Trouvé Adware: dollarrevenue

15:37: a0020675.exe (ID = 233781)

15:38: a0021134.exe (ID = 233781)

15:39: a0020823.exe (ID = 233781)

16:02: Trouvé Adware: command

16:02: a0020676.vbs (ID = 231442)

16:04: Trouvé Adware: targetsaver

16:04: a0020677.exe (ID = 193501)

16:05: Trouvé Adware: apropos

16:05: a0020674.dll (ID = 166754)

16:21: a0019217.exe (ID = 231443)

16:22: Trouvé Adware: look2me

16:22: a0019257.dll (ID = 159)

16:22: Trouvé Adware: findthewebsiteyouneed hijacker

16:22: a0019366.exe (ID = 233482)

16:22: a0019367.exe (ID = 233481)

16:28: a0019222.vbs (ID = 185675)

16:28: Trouvé Trojan Horse: sdbot

16:28: a0020499.ini (ID = 74768)

16:29: Analyse des fichiers terminée, temps passé : 00:51:54

16:29: Analyse complète terminée. Durée 01:00:14

16:29: Traces trouvées : 12

16:47: Processus de suppression lancé.

16:47: Mise en quarantaine de toutes les traces : look2me

16:47: Mise en quarantaine de toutes les traces : sdbot

16:47: Mise en quarantaine de toutes les traces : apropos

16:47: Mise en quarantaine de toutes les traces : command

16:47: Mise en quarantaine de toutes les traces : findthewebsiteyouneed hijacker

16:47: Mise en quarantaine de toutes les traces : targetsaver

16:48: Mise en quarantaine de toutes les traces : dollarrevenue

16:48: Processus de suppression lancé. Durée 00:00:46

 

 

voila après ce dernier scan et une énième installation de mon modem j ai pu me connecter...

 

Voici un rapport Hijack ke je vien de faire

 

Logfile of HijackThis v1.99.1

Scan saved at 17:03:16, on 24/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Brother\ControlCenter2\brctrcen.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Documents and Settings\Lol\Mes documents\Utilitaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINDOWS\System32\steam.dll,start

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

Je t avou ke je commence à desespéré... Mai en tout cas merci pour ta précieuse aide! A tout a leur peu être! Je reste connectée!

[zelive]

Re

 

G essayer de refaire un scan avec Panda ca a fonctionné sauf que lorsque je veu enregistrer le rapport et bien ptit beug et internet explorer se coupe.... Alors g rééssayer et rebelott ... Bon je vai y retourner on ne sai jamai : jamai 2 sans 3!

[zelive]

Me revoila avec .....................;; un rapoort Panda!!!!! Si si !!

 

Panda

Incident Statut Analyse

 

Virus:W32/Akbot.C.worm Désinfecté Système d’exploitation

Adware:adware/swimsuitnetwork No Désinfecté C:\WINDOWS\SYSTEM32\MYDLL.dll

Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\teller2.chk

Adware:adware/sqwire No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/2o7.net No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[.2o7.net/]

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[.adtech.de/]

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[as1.falkag.de/]

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[fe.lea.lycos.fr/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Lol\Application Data\Mozilla\Firefox\Profiles\fvgfkcda.default\cookies.txt[]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\l2mfix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\l2mfix.exe[Process.exe]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\SMITFRAUD\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Lol\Bureau\SmitfraudFix.zip[Process.exe]

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Virus:W32/Akbot.C.worm Désinfecté C:\WINDOWS\system32\steam.dll

Outil indésirable:Application/Processor No Désinfecté F:\l2mfix.exe[Process.exe]

Outil indésirable:Application/Processor No Désinfecté F:\SmitfraudFix.zip[Process.exe]

 

 

Et un rapport Hijack!

Logfile of HijackThis v1.99.1

Scan saved at 20:16:24, on 24/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Brother\ControlCenter2\brctrcen.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\WINDOWS\system32\dslAgent.exe

C:\WINDOWS\system32\gsicon.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\Lol\Mes documents\Utilitaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\RunOnce: [Panda_cleaner_249467] C:\WINDOWS\System32\ActiveScan\pavdr.exe 249467

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{38FF1FBB-217E-4C16-BEC9-673D7EB37A9C}: NameServer = 194.117.200.10 194.117.200.15

O17 - HKLM\System\CS1\Services\Tcpip\..\{38FF1FBB-217E-4C16-BEC9-673D7EB37A9C}: NameServer = 194.117.200.10 194.117.200.15

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

Voila! Bon je tai posté un peu tout je sais mai vu ke je ne mis connai pas du tout... Je préfère en faire tro ke pas assez! Voila!

[zelive]

pas de nouvell? Et bien tan pis ! a demain gspr!!

 

Bonne nuit les petits!

[Mark]

Bonjour zelive

 

Je constate que tu as très bien bossé, malgré l'adversité !! Panda, Spy Sweeper et Ewido ont trouvé plein de belles choses

 

Ok, pas le temps de prendre une pause, alors on continue ! Je soupçonne une bestiole cachée, quoique Panda vient de nous virer un beau virus

 

Clique sur le bouton "Démarrer" >> "Exécuter", puis tape cmd

Valide avec Ok

Dans la fenêtre DOS, tape ces deux commandes, en validant avec "Entrée" après chacune :

 

sc stop Network

 

sc delete Network

 

Tape "Exit" afin de quitter l'invite de commandes.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge Killbox (par Option^Explicit) sur ton Bureau.

Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en gras ci-bas :

 

C:\WINDOWS\SYSTEM32\MYDLL.dll

C:\WINDOWS\teller2.chk

 

Clique sur le menu 'File' (en haut à gauche) et choisis Paste from clipboard

 

Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".

Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !

 

Clique sur le bouton : All Files (!important!)

 

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Poste également un nouveau rapport HijackThis!, et dis nous si la bécane tourne un peu mieux depuis les récents scans

Modifié le 25 janvier 2006 par Qc001

[zelive]

Hello!!

 

Bon g fait toutes t manip! ya pas u de pb sauf concernant Blacklight ou tu me disai de laisser scan through Windows Explorer activé => je n'ai vu ca nul par et dans le rapport ke tu verra plus bas et bien il n y a aps l'ai r d avoir d objet infecté !

Sinon concernant l'état de la bécane voici un ptit récap :

- Je galère toujours pour me conecter à Internet : kan je rallum mon pc pas de connexion, obligée de désinstaller réinstaller mon modem (ce ki me prend 15 min à chak foi!) : pkoi je ne peu pas me connecter sans faire ca??!!

- Sinon kan je navigu sur le net ca va il est plutot réactif

- Par contre dès ke je branche une clé USB ou encore pire mon imprimante la c la fin des haricot! Monsieur tourne au ralenti et en moyenn je met 30 min pour imprimer.... Vive Flash!

 

Mai bon pour le moment ce ki m import c pouvoir d'une manière ou d'une autre pouvoir me connecté pour te poster mes rapports!

 

Rapport Blacklight

01/25/06 14:39:39 [info]: BlackLight Engine 1.0.30 initialized

01/25/06 14:39:39 [info]: OS: 5.1 build 2600 (Service Pack 1)

01/25/06 14:39:40 [Note]: 7019 4

01/25/06 14:39:40 [Note]: 7005 0

01/25/06 14:40:04 [Note]: 7006 0

01/25/06 14:40:04 [Note]: 7011 1404

01/25/06 14:40:08 [Note]: FSRAW library version 1.7.1014

01/25/06 14:40:59 [Note]: 7007 0

 

 

Hijack!

Logfile of HijackThis v1.99.1

Scan saved at 15:01:04, on 25/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Brother\ControlCenter2\brctrcen.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Brother\Brmfcmon\brmfcwnd.exe

C:\WINDOWS\system32\dslAgent.exe

C:\WINDOWS\system32\gsicon.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

C:\Documents and Settings\Lol\Mes documents\Utilitaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{38FF1FBB-217E-4C16-BEC9-673D7EB37A9C}: NameServer = 194.117.200.10 194.117.200.15

O17 - HKLM\System\CS1\Services\Tcpip\..\{38FF1FBB-217E-4C16-BEC9-673D7EB37A9C}: NameServer = 194.117.200.10 194.117.200.15

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

Voila voila,

[Mark]

Salut zelive

 

Bon, j'ai poussé les recherches ; je veux maintenant m'assurer que tu n'es pas infecté par une nouvelle variante d'un rootkit (infection hyper cachée). Peux-tu me dire si ton Gestionnaire de périphériques s'affiche correctement ? Pour vérifier : fait un clic-droit sur l'icône du Poste de Travail >> "Propriétés" et clique sur l'onglet "Matériel", puis sur le bouton "Gestionaire de périphériques". Si tu vois bien l'arborescence à gauche, c'est OK. Ferme les fenêtres.

 

Je vais tout de même te faire faire une autre petite recherche avec l'outil RegSearch :

 

- Au lieu d'imprimer ces instructions (trop long dans ton cas !!), colle les plutôt dans un fichier texte que tu sauvegarderas sur ton Bureau (Bloc Notes ou Word..), car tu devras démarrer en Sans Échec.

- Redémarre en mode Sans Échec (choisis ton compte usuel).

- Lance l'outil RegSearch (double clique RegSearch.exe)

- Copie colle la ligne ci-dessous (ou tape là) dans la première ligne de la zone de recherche:

 

contextplus

 

- rien dans la deuxième ligne de la zone de recherche.

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées.

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch.

- ferme RegSearch par Cancel

- Redémarre en mode Normal.

 

Colle le rapport de RegSearch dans ta prochaine réponse, et dis nous si ton Gestionnaire de périphériques s'affiche

Modifié le 26 janvier 2006 par Qc001