Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Pouvez vous analyser mon rapport Hijackthis svp ?

daeve

Par daeve
dans Analyses et éradication malwares

 Partager

Messages recommandés

daeve Member

daeve

Posté(e)
Posté(e)

Salut ! Comme mon anti virus Trend micro m'a signalé il y a deux jours la présence de BKDR_CODBOT.AT j'ai commencé à faire des recherches et je suis tombée sur vous ! Il est vraiment très utile ce site ... Merci d'exister et de nous faire partager vos expériences.

Bon j'ai suivie la procédure proposée par Mégataupe en installant antivir : il m'a trouvé une dizaines de malwares surtout des trojans que j'ai supprimés. Mais le fichier soit disant infecté par CODBOT qui est C:\windows\system32\msvcp.exe n'a pas été remarqué par Antivir.

Je vous joint le rapport de Hijack en espérant que vous allez pouvoir m'aider à faire le ménage.

 

Logfile of HijackThis v1.99.1

Scan saved at 09:28:36, on 02/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ntvdm.exe

C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apple.com/quicktime/resources/qt4/fr/buynow

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\system32\msvcp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/258da83ce53f97...RdxIE601_fr.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.edipole.fr/kits/WebInstall.dll

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

 

Merci d'avance pour vos services

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut et bienvenue daeve :P

 

Tu as 2 antivirus à présent, il faut en désinstaller un pour éviter les plantages!

 

-Télécharge la version d'essai d'Ewido=>ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

 

-TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier)

 

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\system32\msvcp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

 

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/258da83ce53f97...RdxIE601_fr.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.edipole.fr/kits/WebInstall.dll

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\system32\ ALCXMNTR.EXE=> le fichier

-C:\WINDOWS\system32\msvcp.exe=> le fichier

-C:\WINDOWS\System\svchost.exe=> le fichier

Attention!!! => le fichier svchost.exe infecté se trouve dans le dossier C:\WINDOWS\System : ne confond pas avec "svchost.exe" dans C:\WINDOWS\system32 !!! (celui l à est légitime, ne pas l'effacer!)

 

-Vide la corbeille.

 

-Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) .

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification. + le rapport d'Ewido

Modifié par charles ingals
daeve Member

daeve

Posté(e)
  • Auteur
Posté(e)

salut et bienvenue daeve :P

 

Tu as 2 antivirus à présent, il faut en désinstaller un pour éviter les plantages!

 

-Télécharge la version d'essai d'Ewido=>ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

 

-TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier)

 

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

Assure toi d'avoir accès à tous les fichiers.

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\system32\msvcp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

 

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/258da83ce53f97...RdxIE601_fr.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.edipole.fr/kits/WebInstall.dll

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\system32\ ALCXMNTR.EXE=> le fichier

-C:\WINDOWS\system32\msvcp.exe=> le fichier

-C:\WINDOWS\System\svchost.exe=> le fichier

Attention!!! => le fichier svchost.exe infecté se trouve dans le dossier C:\WINDOWS\System : ne confond pas avec "svchost.exe" dans C:\WINDOWS\system32 !!! (celui l à est légitime, ne pas l'effacer!)

 

-Vide la corbeille.

 

-Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) .

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification. + le rapport d'Ewido

 

 

 

 

 

Merci pour tes infos

Puisque j'avais 2 antivirus j'ai désinstallé Antivir.

 

Voilà pour les rapports que tu m'as demandé :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:47:12, on 02/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe

C:\Program Files\HijackThis\HijackThis.exe

C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\WINDOWS\system32\wuauclt.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apple.com/quicktime/resources/qt4/fr/buynow

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msvcp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

 

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 14:17:16, 02/02/2006

+ Somme de contrôle: 1B60B676

 

+ Résultats du scan:

 

HKU\S-1-5-21-3176564731-1145507609-655047284-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -> Spyware.WinFavorites : Nettoyer et sauvegarder

HKU\S-1-5-21-3176564731-1145507609-655047284-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A8A997F-BB9F-48F6-AA2B-2762D50F9289} -> Spyware.SmartShopper : Nettoyer et sauvegarder

HKU\S-1-5-21-3176564731-1145507609-655047284-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{88C51E90-8E9C-4C96-8A45-574D88B63FAF} -> Dialer.Generic : Nettoyer et sauvegarder

HKU\S-1-5-21-3176564731-1145507609-655047284-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{946B3E9E-E21A-49C8-9F63-900533FAFE14} -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3176564731-1145507609-655047284-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B195B3B3-8A05-11D3-97A4-0004ACA6948E} -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3176564731-1145507609-655047284-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E77EDA01-3C56-4A96-8D08-02B42891C169} -> Spyware.HotBar : Nettoyer et sauvegarder

:mozilla.8:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.25:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.26:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.27:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.28:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.29:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.30:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.34:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.35:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.36:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.37:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.43:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.44:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.45:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.46:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

:mozilla.48:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

:mozilla.49:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.50:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.51:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.52:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.53:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder

:mozilla.54:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder

:mozilla.58:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder

:mozilla.59:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Adbrite : Nettoyer et sauvegarder

:mozilla.60:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Adbrite : Nettoyer et sauvegarder

:mozilla.64:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder

:mozilla.65:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder

:mozilla.76:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.77:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.78:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.79:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.80:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

:mozilla.130:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Sitestat : Nettoyer et sauvegarder

:mozilla.131:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Sitestat : Nettoyer et sauvegarder

:mozilla.139:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Hotlog : Nettoyer et sauvegarder

:mozilla.163:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder

:mozilla.181:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder

:mozilla.191:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Spylog : Nettoyer et sauvegarder

:mozilla.195:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder

:mozilla.196:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder

:mozilla.197:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder

:mozilla.198:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder

:mozilla.199:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder

:mozilla.200:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder

:mozilla.211:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Trafficmp : Nettoyer et sauvegarder

:mozilla.212:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Trafficmp : Nettoyer et sauvegarder

:mozilla.224:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

:mozilla.225:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

:mozilla.226:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Adbrite : Nettoyer et sauvegarder

:mozilla.246:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

:mozilla.247:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

:mozilla.248:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

:mozilla.249:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

:mozilla.250:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

:mozilla.270:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder

:mozilla.271:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder

:mozilla.272:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder

:mozilla.275:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Itrack : Nettoyer et sauvegarder

:mozilla.276:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Masterstats : Nettoyer et sauvegarder

:mozilla.288:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Onestat : Nettoyer et sauvegarder

:mozilla.289:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Onestat : Nettoyer et sauvegarder

:mozilla.302:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

:mozilla.322:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.323:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e6uomqiv.default\cookies.txt -> Spyware.Cookie.Googleadservices : Nettoyer et sauvegarder

C:\Documents and Settings\Propriétaire\Local Settings\Temp\ICD2.tmp\hbinstie.dll -> Spyware.HotBar : Nettoyer et sauvegarder

C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\ZE1AKZ1I\91[1].exe -> Logger.Goldun.fq : Nettoyer et sauvegarder

C:\Documents and Settings\Propriétaire\Mes documents\nero\keygen.exe -> Dropper.Delf.gi : Nettoyer et sauvegarder

C:\WINDOWS\91.exe -> Logger.Goldun.fq : Nettoyer et sauvegarder

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut daeve

 

Y a un blème.... :P Relis bien ce que je t'ai mis : tu as fait le scan avec Ewido d'accord, mais tu as oublié l'essentiel!!Tous les fichiers infectés que je t'ai demandé d'éliminer sont encore là , et les lignes que je t'ai demandé de cocher puis fixer avec hijackthis réapparaissent.

 

Il faut que tu suives stp la procédure que je t'ai envoyé!Je l'ai modifiée car tu as déjà posté le praaport d'Ewido=>

 

 

-TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier)

 

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

-Assure toi d'avoir accès à tous les fichiers.

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\system32\msvcp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

 

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/258da83ce53f97...RdxIE601_fr.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.edipole.fr/kits/WebInstall.dll

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\system32\ ALCXMNTR.EXE=> le fichier

-C:\WINDOWS\system32\msvcp.exe=> le fichier

-C:\WINDOWS\System\svchost.exe=> le fichier

Attention!!! => le fichier svchost.exe infecté se trouve dans le dossier C:\WINDOWS\System : ne confond pas avec "svchost.exe" dans C:\WINDOWS\system32 !!! (celui l à est légitime, ne pas l'effacer!)

 

-Vide la corbeille.

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

daeve Member

daeve

Posté(e)
  • Auteur
Posté(e)

salut daeve

 

Y a un blème.... :-( Relis bien ce que je t'ai mis : tu as fait le scan avec Ewido d'accord, mais tu as oublié l'essentiel!!Tous les fichiers infectés que je t'ai demandé d'éliminer sont encore là , et les lignes que je t'ai demandé de cocher puis fixer avec hijackthis réapparaissent.

 

Il faut que tu suives stp la procédure que je t'ai envoyé!Je l'ai modifiée car tu as déjà posté le praaport d'Ewido=>

-TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier)

 

-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

-Assure toi d'avoir accès à tous les fichiers.

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\system32\msvcp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

 

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/258da83ce53f97...RdxIE601_fr.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.edipole.fr/kits/WebInstall.dll

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

-Ferme tous les programmes et clique sur "Fix Checked"

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\system32\ ALCXMNTR.EXE=> le fichier

-C:\WINDOWS\system32\msvcp.exe=> le fichier

-C:\WINDOWS\System\svchost.exe=> le fichier

Attention!!! => le fichier svchost.exe infecté se trouve dans le dossier C:\WINDOWS\System : ne confond pas avec "svchost.exe" dans C:\WINDOWS\system32 !!! (celui l à est légitime, ne pas l'effacer!)

 

-Vide la corbeille.

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

 

 

Salut Charles !

Merci pour ta réponse.

Il y a plusieurs points que je dois te signaler c'est que les lignes 016 que tu me demandes de cocher et de fixer elles n'y étaient plus, et je vois que dans le nouveau rapport elles n'y sont toujours pas ( ni dans celui que je t'ai renvoyé hier après nettoyage ...)

Quant aux lignes 04 je les ai bien fixés mais je vois qu'elles sont réapparues après le redemarrage en mode normal (elles n'y étaient pourtant pas quand j'ai redemandé un rapport après nettoyage en mode sans échec)

Je n'ai pas trouvé les fichiers dossiers incriminés dans Windows.

J'ai cherché un peu chez Trend Micro mon antivirus s'il y avait du nouveau et voilà de quoi ils parlent ce dessous: :P

 

Type: Backdoor

Dans la nature: Oui

Destructif: Non

Langue: English

Plate-forme: Windows 98, ME, NT, 2000, XP, Server 2003

Codé: Non

 

Évaluation globale des risques Faible

Infections signalées: Faible

Dommages potentiels: Élevée

Distribution potentielle: Faible

 

Description:

 

Upon execution, this backdoor drops a copy of itself with the file name MSVCP.EXE in the Windows system folder.

 

It then opens the Internet Explorer, where it injects its code in order to perform its backdoor routine.

 

Using a random port, it allows a remote user to access and perform malicious commands on the affected system. The said routine provides the remote malicious user virtual control over the affected system, thus compromising system security.

 

Description créée: 2006-02-01

 

 

:-PLà j'avoue que même si je comprends pas mal l'anglais je ne sais pas ce que veux dire "third party process" ne ce que c'est que "Windows Task Manager"

ragarde ci dessous et dis moi ce que tu en penses stp

 

Solution

 

Terminating the Malware Program

 

Since this malware terminates the Windows Task Manager, it is necessary to use third party process viewers such as Process Explorer.

 

If the process you are looking for is not in the list displayed by Process Explorer, proceed to the succeeding solution set.

 

1. Download Process Explorer.

2. Extract the contents of the compressed (.ZIP) file to a location of your choice.

3. Execute Process Explorer by double-clicking procexp.exe.

4. In the Process Explorer window, locate the process:

IEXPLORE.EXE

5. Right-click the malware process, then click Kill Process Tree.

6. Close Process Explorer.

 

*NOTE: On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by Process Explorer, but you are unable to terminate it, restart your computer in safe mode.

 

Editing the Registry

 

This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:

 

1. HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME

2. HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0

3. HOW TO: Backup, Edit, and Restore the Registry in Windows 2000

4. HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003

 

Removing Autostart Entries from the Registry

 

Removing autostart entries from the registry prevents the malware from executing at startup.

 

If the registry entries below are not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.

 

1. Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.

2. In the left panel, double-click the following:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>Run

3. In the right panel, locate and delete the entry:

Microsoft Office = "%System%\msvcp.exe"

(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)

4. Close Registry Editor.

 

Important Windows ME/XP Cleaning Instructions

 

Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.

 

Users running other Windows versions can proceed with the succeeding solution set(s).

 

Running Trend Micro Antivirus

 

If you are currently running in safe mode, please restart your computer normally before performing the following solution.

 

Scan your computer with Trend Micro antivirus and delete files detected as BKDR_CODBOT.AT. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.

 

 

Voilà j'espère que j'ai été claire, et pas trop abusive. Merci d'avance :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut daeve

 

Il y a plusieurs points que je dois te signaler c'est que les lignes 016 que tu me demandes de cocher et de fixer elles n'y étaient plus, et je vois que dans le nouveau rapport elles n'y sont toujours pas ( ni dans celui que je t'ai renvoyé hier après nettoyage ...)

Ok pour les lignes 016 ! mais pour ces fichiers infectés:

 

-C:\WINDOWS\system32\ ALCXMNTR.EXE=> le fichier

-C:\WINDOWS\system32\msvcp.exe=> le fichier

-C:\WINDOWS\System\svchost.exe=> le fichier

 

as tu essayé de les éliminer en mode sans échec?sinon,c'est normal que tu retrouves ces lignes 04 au démarrage puisque les fichiers incriminés sont toujours présents sur ton disque dur!!

 

Concernant la description de Trendmicro =>

Upon execution, this backdoor drops a copy of itself with the file name MSVCP.EXE in the Windows system folder.

 

It then opens the Internet Explorer, where it injects its code in order to perform its backdoor routine.

 

Using a random port, it allows a remote user to access and perform malicious commands on the affected system. The said routine provides the remote malicious user virtual control over the affected system, thus compromising system security.

 

En gros ,signifie que ce backdoor s'incruste dans le dossier système de windows sous le nom de " MSVCP.EXE" puis il utilise un port aléatoire du pc pour permettre au pirate de prendre le contrôle du pc.

 

Donc la chose importante à savoir est:est ce que tu as essayé de les éliminer? si ca n'a pas marché il faudra essayer autre chose!

 

un coucou à angélique :P

Modifié par charles ingals
daeve Member

daeve

Posté(e)
  • Auteur
Posté(e)

salut daeve

Ok pour les lignes 016 ! mais pour ces fichiers infectés:

 

-C:\WINDOWS\system32\ ALCXMNTR.EXE=> le fichier

-C:\WINDOWS\system32\msvcp.exe=> le fichier

-C:\WINDOWS\System\svchost.exe=> le fichier

 

as tu essayé de les éliminer en mode sans échec?sinon,c'est normal que tu retrouves ces lignes 04 au démarrage puisque les fichiers incriminés sont toujours présents sur ton disque dur!!

 

Concernant la description de Trendmicro =>

En gros ,signifie que ce backdoor s'incruste dans le dossier système de windows sous le nom de " MSVCP.EXE" puis il utilise un port aléatoire du pc pour permettre au pirate de prendre le contrôle du pc.

 

Donc la chose importante à savoir est:est ce que tu as essayé de les éliminer? si ca n'a pas marché il faudra essayer autre chose!

 

un coucou à angélique :P

 

 

en fait quand j'étais encore en mode sans échec je les ai cherché pour les éliminer et je ne les ai pas trouvé. J'avais bien coché la fonction "afficher les fichiers et dossiers cachés" et les deux autres comme indiqué plus haut. Alors ils sont où à ton avis ?

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

:P ces fichiers sont pourtant bien présents!

 

On va essayer avec kill box:

 

-Télécharge la dernière version de Killbox ici et installe la dans un dossier=>

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

 

-Lancer killbox.exe

Cocher le bouton"Delete on Reboot "

Coller la première ligne ci-dessous:

C:\WINDOWS\system32\ ALCXMNTR.EXE

Cliquer sur la croix rouge

 

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON

Ainsi de suite tu entre les chemins de tout les fichiers :

C:\WINDOWS\system32\msvcp.exe

C:\WINDOWS\System\svchost.exe

Cliquer sur la croix rouge

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

Le PC va redémarrer et supprimer les fichiers de la liste.

 

Refais un rapport avec hijackthis et poste le stp :P

daeve Member

daeve

Posté(e)
  • Auteur
Posté(e)

:P ces fichiers sont pourtant bien présents!

 

On va essayer avec kill box:

 

-Télécharge la dernière version de Killbox ici et installe la dans un dossier=>

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

-Lancer killbox.exe

Cocher le bouton"Delete on Reboot "

Coller la première ligne ci-dessous:

C:\WINDOWS\system32\ ALCXMNTR.EXE

Cliquer sur la croix rouge

 

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON

Ainsi de suite tu entre les chemins de tout les fichiers :

C:\WINDOWS\system32\msvcp.exe

C:\WINDOWS\System\svchost.exe

Cliquer sur la croix rouge

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

Le PC va redémarrer et supprimer les fichiers de la liste.

 

Refais un rapport avec hijackthis et poste le stp :P

 

 

Coucou ! mauvaise nouvelle le revoilou !!!

Non il est toujours là regarde :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:07:48, on 03/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apple.com/quicktime/resources/qt4/fr/buynow

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msvcp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

 

Allez à plus

daeve Member

daeve

Posté(e)
  • Auteur
Posté(e)

Salut, j'ai refais toutes les manips de A à Z et ça donne toujours la même chose :

1 demarrer en mode sans échec

2 Scan avec Hijackthis et fix des 4 lignes qui nous interessent

3 J'ai cherché dans C:\ si j'avais les fichiers et ils n'y etaient pas

4 Easy Cleaner pour le registre et les inutiles

5 j'ai meme fais marcher KillBox avec le chemin de nos fichiers et j'ai l'impression que la réponse était qu'ils avaient déjà été supprimés

6 J'ai redémarré normalement puis fait un scan de Hijackthis et nous revoilà au point de départ (le même log que tu as au dessus)

 

Que faire de plus ?

 

A la prochaine !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...