Demande d'analyse - Rapport Hijackthis.

[Haret]

Bonjour à tous,

 

J'ai suivi la procédure de pré-nettoyage, et je me permet donc de poster le rapport de Hijackthis, en vous remerciant de votre lecture et éventuelle aide.

 

Si cela peut servir, les principaux "symthômes" que présente mon PC sont :

une lenteur importante dans l'exécution de différentes taches, ainsi que l'inaccessibilité du menu "gestionnaire des taches".

 

Voici le rapport en question.

 

=====

 

Logfile of HijackThis v1.99.1

Scan saved at 12:04:02, on 01/02/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

F:\WINNT\System32\smss.exe

F:\WINNT\system32\csrss.exe

F:\WINNT\system32\winlogon.exe

F:\WINNT\system32\services.exe

F:\WINNT\system32\lsass.exe

F:\WINNT\system32\svchost.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

F:\WINNT\system32\spoolsv.exe

F:\WINNT\System32\svchost.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

F:\WINNT\system32\regsvc.exe

F:\WINNT\system32\MSTask.exe

F:\WINNT\system32\stisvc.exe

F:\WINNT\Explorer.exe

F:\WINNT\System32\atiptaxx.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

F:\WINNT\System32\internat.exe

F:\WINNT\System32\CD_Load.exe

F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNetFolder.Exe

F:\Program Files\Norton AntiVirus\navapsvc.exe

F:\Program Files\Norton AntiVirus\SAVScan.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe

F:\ADSLnav\firefox.exe

F:\WINNT\System32\tgic.exe

F:\Documents and Settings\Nom\Bureau\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://F:\WINNT\blank.mht

F2 - REG:system.ini: Shell=Explorer.exe F:\WINNT\System32\kernels32.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {FFF5092F-7172-4018-827B-FA5868FB0478} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Network Services Controller] F:\WINNT\System32\mmsvc32.exe

O4 - HKLM\..\Run: [spools Service Controller] F:\WINNT\System32\spools.exe

O4 - HKLM\..\Run: [system] F:\WINNT\System32\kernels32.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ccApp] "F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [RealTray] F:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AVGCtrl] "F:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [update] F:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [Windows ASN Services] kzjm.exe

O4 - HKLM\..\Run: [Microsoft sddcE Contol] taskmnegr.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] kzjm.exe

O4 - HKLM\..\RunServices: [Microsoft sddcE Contol] taskmnegr.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Cydoor] CD_Load.exe

O4 - HKCU\..\Run: [a-squared] "F:\Program Files\a-squared\a2guard.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Global Startup: DSLMON.lnk = F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

O8 - Extra context menu item: Télécharger en utilisant Download &Express - F:\Program Files\Download Express\Add_Url.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm

O15 - Trusted Zone: http://www.google.fr

O15 - Trusted Zone: www.yahoo.fr

O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINNT\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

O23 - Service: SAVScan - Symantec Corporation - F:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

[bruce lee]

bonjour,

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

2/ Dézipper la totalité de l'archive sur ton bureau.

 

3/* Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)

* Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

 

redemarre en mode normal et poste le rapport de smitfraud. ainsi qu'un nouveau log hijackthis

Modifié le 1 février 2006 par bruce lee

[Haret]

Bonsoir Bruce Lee,

Bonsoir à tous,

 

Merci de votre intervention,

 

J'ai suivi la procedure en question, le gestionnaire des taches est redevenu accessible, bien que la lenteur d'exécution persiste toujours.

 

Voici les rapports demandés:

 

1- SmitFraudFix v2.16

 

Rapport fait à 16:05:33,46 le mer. 01/02/2006

Executé à partir de F:\Documents and Settings\Nom\Bureau\Zebulon\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

------

 

2- Logfile of HijackThis v1.99.1

Scan saved at 19:54:31, on 01/02/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

F:\WINNT\System32\smss.exe

F:\WINNT\system32\csrss.exe

F:\WINNT\system32\winlogon.exe

F:\WINNT\system32\services.exe

F:\WINNT\system32\lsass.exe

F:\WINNT\system32\svchost.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

F:\WINNT\system32\spoolsv.exe

F:\WINNT\System32\svchost.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

F:\WINNT\system32\regsvc.exe

F:\WINNT\system32\MSTask.exe

F:\WINNT\system32\stisvc.exe

F:\WINNT\Explorer.exe

F:\WINNT\System32\atiptaxx.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

F:\WINNT\System32\internat.exe

F:\WINNT\System32\CD_Load.exe

F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

F:\Program Files\Norton AntiVirus\navapsvc.exe

F:\Program Files\Norton AntiVirus\SAVScan.exe

F:\WINNT\System32\erhl.exe

C:\WINDOWS\Temp\Find%20My%20IP.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNetFolder.Exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe

F:\Program Files\a-squared\a2guard.exe

F:\ADSLnav\firefox.exe

F:\WINNT\system32\NOTEPAD.EXE

F:\Documents and Settings\Nom\Bureau\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F:\windows\system32\blank.htm

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Network Services Controller] F:\WINNT\System32\mmsvc32.exe

O4 - HKLM\..\Run: [spools Service Controller] F:\WINNT\System32\spools.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ccApp] "F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [RealTray] F:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AVGCtrl] "F:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [update] F:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [Windows ASN Services] erhl.exe

O4 - HKLM\..\Run: [Microsoft sddcE Contol] taskmnegr.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] erhl.exe

O4 - HKLM\..\RunServices: [Microsoft sddcE Contol] taskmnegr.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Cydoor] CD_Load.exe

O4 - HKCU\..\Run: [a-squared] "F:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: DSLMON.lnk = F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

O8 - Extra context menu item: Télécharger en utilisant Download &Express - F:\Program Files\Download Express\Add_Url.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm

O15 - Trusted Zone: http://www.google.fr

O15 - Trusted Zone: www.yahoo.fr

O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINNT\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

O23 - Service: SAVScan - Symantec Corporation - F:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

 

---

 

NB: Norton Antivirus m'indique la détéction du virus W32.Spybot.Worm, au niveau du fichier taskmnegr.exe (dont le chemin est: F:\WINNT\System32). et que l'accès au fichier a été refusé.

 

Bien à vous,

Merci encore.

[bruce lee]

re,

je verifie ton log.

Norton Antivirus m'indique la détéction du virus W32.Spybot.Worm

ah je connais cette bestiole je l'ai eu il a quelques temps sur mon PC tout marchait au ralenti.

[bruce lee]

re,on peut dire que tu es sacrement infecté!

 

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

lance hijackthis en cliquant sur do a scan system only coche et clique sur fixchecked

 

O4 - HKLM\..\Run: [Microsoft Network Services Controller] F:\WINNT\System32\mmsvc32.exe

O4 - HKLM\..\Run: [spools Service Controller] F:\WINNT\System32\spools.exe

O4 - HKLM\..\Run: [Windows ASN Services] erhl.exe

O4 - HKLM\..\Run: [Microsoft sddcE Contol] taskmnegr.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] erhl.exe

O4 - HKLM\..\RunServices: [Microsoft sddcE Contol] taskmnegr.exe

O4 - HKCU\..\Run: [Cydoor] CD_Load.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm

 

quitte hijackthis.

 

supprimes ce qui est en gras:

F:\WINNT\System32\ mmsvc32.exe

F:\WINNT\System32\ spools.exe

F:\WINNT\web\ related.htm

C:\WINDOWS\Temp\ Find%20My%20IP.exe

F:\WINNT\System32\ erhl.exe

 

fais:

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

tu recherches ces fichiers la(si trouvés tu les supprimes):

taskmnegr.exe

CD_Load.exe

 

redémarre en mode normal

 

lance hijackthis en cliquant sur do a scan system only coche et clique sur fixchecked

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F:\windows\system32\blank.htm

 

connecte toi a internet va dans les options de firefox, onglet general et tu choisis ta page d'acceuil.

 

déconnecte toi du net ferme les applications en cours.

 

et repost un nouveau log hijackthis a titre de verification.

Modifié le 1 février 2006 par bruce lee

[Haret]

Re,

 

Je trouve intéressant de signaler, que pendant l'application des instructions indiquées, certains fichiers à supprimer n'ont pas été trouvés:

-mmsvc32.exe

-spools.exe

-Find%20My%20IP.exe

-taskmnegr.exe

 

J'aimerai signaler cependant, que la lenteur d'exécution des taches a regressé, (jusqu'à preuve du contraire), objectivement parlant: un logiciel fesant fonction de gestionnaire des taches (Faber toys) m'indiquait hier: que 99 Mo de la mémoire est occupé (juste au démarrage), alors qu'après application de tes instructions: on m'indique 66 Mo de mémoire occupé, soit un "gain" de 33%.

 

 

Je te remerci, et me permet de te faire part à présent du nouveau rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 10:25:51, on 02/02/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

F:\WINNT\System32\smss.exe

F:\WINNT\system32\csrss.exe

F:\WINNT\system32\winlogon.exe

F:\WINNT\system32\services.exe

F:\WINNT\system32\lsass.exe

F:\WINNT\system32\svchost.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

F:\WINNT\system32\spoolsv.exe

F:\WINNT\System32\svchost.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

F:\WINNT\system32\regsvc.exe

F:\WINNT\system32\MSTask.exe

F:\WINNT\system32\stisvc.exe

F:\WINNT\Explorer.exe

F:\WINNT\System32\atiptaxx.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

F:\WINNT\System32\twew.exe

F:\WINNT\System32\internat.exe

F:\Program Files\a-squared\a2guard.exe

F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

F:\Program Files\Norton AntiVirus\navapsvc.exe

F:\Program Files\Norton AntiVirus\SAVScan.exe

F:\Documents and Settings\Nom\Bureau\Hijackthis\HijackThis.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNetFolder.Exe

 

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ccApp] "F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [RealTray] F:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AVGCtrl] "F:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [update] F:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [Windows ASN Services] twew.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] twew.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [a-squared] "F:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: DSLMON.lnk = F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

O8 - Extra context menu item: Télécharger en utilisant Download &Express - F:\Program Files\Download Express\Add_Url.htm

O15 - Trusted Zone: http://www.google.fr

O15 - Trusted Zone: www.yahoo.fr

O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINNT\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

O23 - Service: SAVScan - Symantec Corporation - F:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

 

----

 

Rq: O4 - HKLM\..\RunServices: [Windows ASN Services] twew.exe

 

Cette entrée n'existait pas dans le scan précédent, et je me demande de quoi s'agit [Windows ASN Services]?.. c'était l'entrée qui comportait hier le fichier Erhl.exe et que tu a préconisé de la fixer et supprimer le fichier en question (s'agit il du même problème qui est entrain de "muter" sous une autre forme?)..

 

Bien à toi,

Merci de ta patience !

Modifié le 2 février 2006 par Haret

[bruce lee]

Cette entrée n'existait pas dans le scan précédent, et je me demande de quoi s'agit

[Windows ASN Services]?.. c'était l'entrée qui comportait hier le fichier Erhl.exe et

que tu a préconisé de la fixer et supprimer le fichier en question

(s'agit il du même problème qui est entrain de "muter" sous une autre forme?)..

 

je pense qu'il s'est recrée tout seul, fais ce que j'ai marqué si dessous et si il revient encore

 

je vais demander de l'aide a un conseiller en securité.

 

*Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

lance hijackthis en cliquant sur do a scan system only coche et clique sur fixchecked

 

 

O4 - HKLM\..\Run: [Windows ASN Services] twew.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] twew.exe

 

je suppose que tu n'utilises pu antivir alors fixe aussi celle la.

 

O4 - HKLM\..\Run: [AVGCtrl] "F:\Program Files\AVPersonal\AVGNT.EXE" /min

 

affiches les fichiers et dossiers cachés(quand tu es dans le system32 tu cliques sur outils options des dossiers

tu cliques sur l'onglet affichage et tu coches affichers les fichiers et dossiers cachés.

 

supprime ce qui est en gras:

 

F:\WINNT\System32\ twew.exe

 

lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

Modifié le 2 février 2006 par bruce lee

[Haret]

Bosnoir Bruce Lee,

 

J'ai appliqué la procédure tel que décrite. Aussi, lorsque j'allais supprimer le fichier twew.exe, j'ai trouvé d'autres fichiers qui m'ont parus être "apparentés", d'autant que le scan d'Hijackthis en mode sans échec m'indiqait une nouvelle entrée, toujours avec [Windows ASN service], mais avec un autre fichier: bbmz.exe, j'ai donc supprimé l'ensemble de ces fichier (une vigntaine au total), qui partagaient: taille (488Ko), date et heure de création, même leur noms était tous composé de 4 lettres! (voir image)

 

 

 

Quant au rapprt d'Ewido: le voici (41 fichier infectés et nettoyés (=suppresion et sauvegade ds la quarentaine).

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 19:18:26, 02/02/2006

+ Somme de contrôle: 9A30F136

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\CLSID -> Spyware.PurityScan : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0\Level_4 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0\Level_4\Seqn_1493 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0\Level_4\Seqn_1517 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0\Level_4\Seqn_1668 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0\Level_4\Seqn_3110 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0\Level_4\Seqn_3242 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0\Level_4\Seqn_3243 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor\Adwr_169\Loct_0\Level_4\Seqn_3244 -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor Services -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor Services\Queue -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor Services\Status -> Spyware.Cydoor : Nettoyer et sauvegarder

HKU\S-1-5-21-583907252-492894223-854245398-1000\Software\Cydoor Services\Status\cd_SWF -> Spyware.Cydoor : Nettoyer et sauvegarder

C:\WINDOWS\TEMP\Find%20My%20IP.exe -> Adware.WinAD : Nettoyer et sauvegarder

C:\WINDOWS\Profiles\مست2\Cookies\مست2@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\WINDOWS\Profiles\مست2\Cookies\مست[email protected][1].txt -> Spyware.Cookie.Bluemountain : Nettoyer et sauvegarder

C:\WINDOWS\Profiles\مست2\Cookies\مست2@bluemountain[2].txt -> Spyware.Cookie.Bluemountain : Nettoyer et sauvegarder

C:\WINDOWS\Profiles\internot\Cookies\internot@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

F:\WINNT\system32\vx.tll -> Adware.SpySheriff : Nettoyer et sauvegarder

F:\WINNT\system32\cd_clint.dll -> Spyware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\cd_swf.dll -> Spyware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\Temp -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\b_149300.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\b_149301.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\b_151700.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\b_151701.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\b_166800.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\b_166801.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\b_324200.SWF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\B_311000.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\B_324300.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\AdCache\B_324400.GIF -> Adware.Cydoor : Nettoyer et sauvegarder

F:\WINNT\system32\TFTP2532 -> Backdoor.Rbot.ahn : Nettoyer et sauvegarder

F:\WINNT\system32\TFTP1208 -> Backdoor.Rbot.ahn : Nettoyer et sauvegarder

F:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\W9YNCPE3\Find%20My%20IP[1].exe -> Adware.WinAD : Nettoyer et sauvegarder

F:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\W9YNCPE3\Find%20My%20IP[2].exe -> Adware.WinAD : Nettoyer et sauvegarder

F:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\W9YNCPE3\Find%20My%20IP[3].exe -> Adware.WinAD : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Et si cela t'intéresse, voici le rapport de Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:42:08, on 02/02/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

F:\WINNT\System32\smss.exe

F:\WINNT\system32\csrss.exe

F:\WINNT\system32\winlogon.exe

F:\WINNT\system32\services.exe

F:\WINNT\system32\lsass.exe

F:\WINNT\system32\svchost.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

F:\WINNT\system32\spoolsv.exe

F:\WINNT\System32\svchost.exe

F:\Program Files\ewido anti-malware\ewidoctrl.exe

F:\Program Files\Norton AntiVirus\navapsvc.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

F:\WINNT\system32\regsvc.exe

F:\Program Files\Norton AntiVirus\SAVScan.exe

F:\WINNT\system32\MSTask.exe

F:\WINNT\system32\stisvc.exe

F:\WINNT\Explorer.exe

F:\WINNT\System32\atiptaxx.exe

F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

F:\WINNT\System32\internat.exe

F:\Program Files\a-squared\a2guard.exe

F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNetFolder.Exe

F:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNet.exe

F:\ADSLnav\firefox.exe

F:\WINNT\System32\zgwd.exe

F:\Documents and Settings\Nom\Bureau\Hijackthis\HijackThis.exe

F:\WINNT\system32\asn2.exe

 

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ccApp] "F:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [RealTray] F:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [update] F:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [Windows ASN Services] zgwd.exe

O4 - HKLM\..\RunServices: [Windows ASN Services] zgwd.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [a-squared] "F:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: DSLMON.lnk = F:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

O8 - Extra context menu item: Télécharger en utilisant Download &Express - F:\Program Files\Download Express\Add_Url.htm

O15 - Trusted Zone: http://www.google.fr

O15 - Trusted Zone: www.yahoo.fr

O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINNT\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - F:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - F:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe

O23 - Service: SAVScan - Symantec Corporation - F:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

---

 

Qu'en penses-tu (notamment de ce qui est mis en gras), et quelle sera la prochaine étape ?

 

Merci pour ta patience et de bien vouloir mener "ce combat" jusqu'à sa fin.. comme.. Bruce Lee!

 

Bien à toi,

 

Bonne soirée.

Modifié le 2 février 2006 par Haret

[bruce lee]

re, honnetement la j'ai exploité le maximum de ce que je conaissais, désole de ne pas pouvoir faire plus,mais il me semble que jack burton surveille la question il viendra sinon je lui enverrai un MP.

P.S: je pense qu'il faudra utiliser silent runners mais je ne connais pas trop ce programme et j'ai surtout pas envie de te raconter des conneries!.

Modifié le 2 février 2006 par bruce lee

[Jack_Burton]

Bonsoir a tous, bonsoir Haret & Bruce

 

Le dernier rapport est encore tres infecté!

Je démarre une analyse, réponse dans un moment