Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport d'analyse de mon amie

Liloute

Par Liloute
dans Analyses et éradication malwares

 Partager

Messages recommandés

shaman91 Junior Member

shaman91

Posté(e)
Posté(e)

Bonjours à tous,

 

je vous envoie mon rapport hijackthis afin que quelqu'un puisse m'indiquer si mon pc est sain ou infecté. je soupçonne des intrusions et particulièrement sur l'application eee2.exe. Merci par avance de votre aide et de vos précieux conseils à venir.

 

Logfile of HijackThis v1.99.1

Scan saved at 23:23:49, on 07/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE

C:\windows\eee2.exe

C:\WINDOWS\CTHELPER.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Tweak-XP Pro 4\AdBlocker.exe

C:\Program Files\Antipub\antipub.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\WINDOWS\System32\svchost.exe

D:\Karim\Téléchargement\eMule\emule.exe

C:\Program Files\Spyware Doctor\swdoctor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Outlook Express\msimn.exe

D:\Karim\SoS PC\Hijack\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [ahmb] c:\windows\eee2.exe

O4 - HKLM\..\Run: [TIAP] C:\windows\eee2.exe

O4 - HKLM\..\Run: [ahkw] C:\windows\eee2.exe

O4 - HKLM\..\Run: [wahm] C:\windows\eee2.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [29HA] C:\windows\eee2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [blockAds] "C:\Program Files\Tweak-XP Pro 4\AdBlocker.exe"

O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138800432654

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\en42l1ho1.dll

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\f02mlaf11d2.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Voici le rapport copier/coller du contenu de la fenêtre Virus Log Information (en sans échec):

 

File C:\windows\nav32.exe infected by "Backdoor.Win32.SdBot.xd" Virus. Action Taken: File Renamed.

 

File C:\windows\pskill.exe tagged as not-a-virus:RiskTool.Win32.PsKill.1101. No Action Taken.

 

File C:\windows\System32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus. Action Taken: File Deleted.

 

File C:\windows\System32\8tv5vslh.ini tagged as not-a-virus:AdWare.Win32.Sahat.ao. No Action Taken.

 

File C:\windows\System32\643dajee.ini tagged as not-a-virus:AdWare.Win32.Sahat.ao. No Action Taken.

 

File C:\windows\System32\67jivb3k.ini tagged as not-a-virus:AdWare.Win32.Sahat.ao. No Action Taken.

 

File C:\windows\System32\od1p5mi4.ini tagged as not-a-virus:AdWare.Win32.Sahat.ao. No Action Taken.

 

File C:\WINDOWS\system32\8tv5vslh.ini tagged as not-a-virus:AdWare.Win32.Sahat.ao. No Action Taken.

 

File C:\WINDOWS\system32\643dajee.ini tagged as not-a-virus:AdWare.Win32.Sahat.ao. No Action Taken.

 

File C:\WINDOWS\system32\67jivb3k.ini tagged as not-a-virus:AdWare.Win32.Sahat.ao. No Action Taken.

 

File C:\WINDOWS\system32\od1p5mi4.ini tagged as not-a-virus:AdWare.Win32.Sahat.ao. No Action Taken.

 

File C:\WINDOWS\pskill.exe tagged as not-a-virus:RiskTool.Win32.PsKill.1101. No Action Taken.

 

File C:\Sauve\Program Files\MySearch\bar\1.bin\S42NS.EXE tagged as not-a-virus:AdWare.Win32.MyWay.o. No Action Taken.

 

File C:\Documents and Settings\Utilisateur\Mes documents\?†?f???†? and Remember KiDs BED FOR SLEEP, NOT FOR PORN !_28_10_2005@4_36_24.wav infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

 

File C:\Documents and Settings\Utilisateur\Mes documents\?†?f???†? and Remember KiDs BED FOR SLEEP, NOT FOR PORN !_28_10_2005@4_37_12.wav infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

 

File C:\Documents and Settings\Utilisateur\Mes documents\?†?f???†? and Remember KiDs BED FOR SLEEP, NOT FOR PORN !_28_10_2005@4_39_07.wav infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

 

File C:\Documents and Settings\Utilisateur\Mes documents\?†?f???†? and Remember KiDs BED's FOR SLEEP, NOT FOR PORN !_29_10_2005@20_50_19.wav infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

 

File C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP2\A0000053.exe infected by "Trojan-Downloader.Win32.Harnig.bb" Virus. Action Taken: File Deleted.

 

File C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP4\A0001045.exe infected by "Trojan-Downloader.Win32.Harnig.bb" Virus. Action Taken: File Deleted.

 

File C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP4\A0013987.dll tagged as not-a-virus:AdWare.Win32.Maxifiles.s. No Action Taken.

 

File C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP8\A0026152.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

 

File C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP8\A0028210.exe infected by "Backdoor.Win32.SdBot.xd" Virus. Action Taken: File Renamed.

 

File C:\docs.exe infected by "Trojan-Downloader.Win32.Harnig.bb" Virus. Action Taken: File Deleted.

 

Et le rapport Hijackthis en mode normal:

Logfile of HijackThis v1.99.1

Scan saved at 22:53:34, on 08/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\windows\system32\inetdns.exe (file missing)

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe (file missing)

O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown ow

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut Liloute ,QC001 :P

 

J'espère que QC001 ne m'en voudras pas pour l'incruste!

 

Commence par faire ceci=>

 

Redémarre en mode sans échec.

 

1)Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\windows\system32\inetdns.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe (file missing)

O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner-C:\WINDOWS\nvcr32.exe (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

2)-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant:network monitoring tools (windows network)

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

 

Fais pareil avec ces services=>

SystemManager

SMSS

Print Spool Handler (Print Spooler)

Defragmentation Management Handler (FAT Defragmentation)

inetdns (InetDns) (inetdns)

Quitte les services.

 

3)-vas dans le menu démarrer executer et tu tapes :cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc delete SystemManager

 

Un message t'avertis du succès de l'opération.Fais la même chose avec ces services=>

SMSS

Print Spooler

FAT Defragmentation

windows network

InetDns (si ca ne marche pas essaie avec =>inetdns)

 

Quitte l'invite de commande.

 

4)Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

-5)Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\windows\System32\8tv5vslh.ini=> le fichier

-C:\windows\System32\643dajee.ini=> le fichier

-C:\windows\System32\67jivb3k.ini=> le fichier

-C:\windows\System32\od1p5mi4.ini=> le fichier

-C:\Sauve\Program Files\MySearch=> le dossier

 

* Ceux ci ont normalement disqpu de ton disque dur, je te demande de vérifier quand même!=>

 

-C:\WINDOWS\System32\dfrgfat32.exe=> le fichier

-C:\windows\system32\inetdns.exe=> le fichier

-C:\WINDOWS\smss.exe=> le fichier

-C:\WINDOWS\sysmanager.exe => le fichier

-C:\WINDOWS\nvcr32.exe=> le fichier

-C:\WINDOWS\System32\spooler.exe => le fichier

 

-Vide la corbeille.

 

-6)Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

Modifié par charles ingals
Mark Godlike Member

Mark

Posté(e)
Posté(e)

:P Charly !! et Merci de ton intervention. J'ai pas pu être en ligne depuis hier, donc j'apprécie beaucoup les excellentes instructions pour notre amie Liloute :P

 

Je serai là un peu plus tard également, donc à bientôt !

shaman91 Junior Member

shaman91

Posté(e)
Posté(e)

salut shaman91 et bienvenue

 

Crée un sujet pour toi stp, sinon on va tout mélanger!! Tu cliques sur "Nouveau" tout en haut et tu colles ton rapport, on y jettera un oeil :P As tu fais la procédure de nettoyage?car ton pc est infecté => http://forum.zebulon.fr/index.php?showtopic=83986

 

 

Salut à toi, et merci de me répondre..Voilà j'ai bien fait la procédure étape par étape. Je vais donc créer un nouveau sujet ...j'attend un oeil expert pour analyser mon rapport et m'indiquer les infections éventuellles.

Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Un grand merci pour la réponse, bon elle a fait les manips et:

 

services.msc "le service ne démarre pas en sans échec"

 

Print, Fat et windows network> "service pas installé"

 

Voici le rapport Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:59:29, on 09/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\windows\winlogon.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\windows\winlogon.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: windows virus scanner (windows antivirus) - Unknown owner - C:\windows\nav32.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing)

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Salut Liloute, Charly :P

 

Ouaip, c'est vraiement quelque chose de nouveau qui hante la bécane ; je tente quelques manips, et puis je contacterai les renforts si besoin...

 

Télécharge Killbox (par Option^Explicit) sur ton Bureau.

Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en gras ci-bas (sélectionne avec la souris, clic-droit, puis "Copier") :

 

C:\windows\winlogon.exe

C:\WINDOWS\System32\dfrgfat32.exe

C:\WINDOWS\System32\spooler.exe

C:\windows\nav32.exe

C:\WINDOWS\nvcr32.exe

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Clique sur le bouton : All Files (!important!)

 

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

 

Dès le redémarrage, tapote la touche F8 pour le mode Sans Échec ; "Démarrer" >> "Exécuter" >> cmd et tape ceci :

 

sc stop aol7.0 [Entrée]

sc delete aol7.0 [Entrée]

exit [Entrée]

 

Vérifie que ce fichier n'existe plus (supprime si trouvé) :

 

C:\Windows\winlogon.exe << (fais gaffe... C:\Windows\System32\winlogon.exe est légitime..)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Lance HijackThis! et fixe ces lignes (si présentes) :

 

O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\windows\winlogon.exe

 

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

 

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: windows virus scanner (windows antivirus) - Unknown owner - C:\windows\nav32.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing)

 

Ferme HijackThis! et redémarre en Normal. Fais un nouveau scan (HijackThis!) et poste le rapport s'il te plaît. On va y arriver :P

Modifié par Qc001

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...