[résolu]Exmodulah

[Blaise]

Après création de point, j'ai mis dans la corbeille smss.exe et nvsvcd.exe...

 

Maintenant que j'y pense, y'a pas si longtemps, kerio me disait que smss voulait avoir acces, puis je suis aller voir l'historique de kerio, comme par hazard, c'était celui du dossier system ...

 

En tout cas ça à l'air de s'etre calmer.... !

Je vais laisser la nuit comme ça, moi je vais aller au dodo, car le blaisounet il est debout depuis 5h30...

 

 

En tout cas je vous remercis ENORMEMENT de vos aides, j'ai appris plein de choses, et apparament ça se calme...

 

Bonne nuit all ! ^^

Modifié le 24 février 2006 par Blaise

[bruce lee]

re,

si smss est vraiment une bestiole(ce que je doute de moins en moins faudra aussi fixer la ligne avec hijackthis)

 

En tout cas ça à l'air de s'etre calmer.... !

Je vais laisser la nuit comme ça, moi je vais aller au dodo, car le blaisounet il est debout depuis 5h30...

 

moi aussi je vais aller roupiller un peu

 

@ demain

bonne nuit a tous

[Thanos]

salut @ tous

 

Vous avez raison de vous méfier de ce fichier =>

 

C:\WINDOWS\system\smss.exe => celui ci n'est pas légitime et il lié à l'infection, ainsi que ce service qu'il faut aussi éliminer :O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

 

blaise reposte un raport hijackthis demain pour voir ou tu en est!

 

Il y a du nettoyage à faire (y compris dans la base de registre)pour se débarrasser de cette peste!vous avez bien senti l'infection en tout cas

[tornado]

Re bruce lee,

 

 

Ce C:\windows\system\smss.exe parait tout à fait indésirable, comme l'a déjà dit Goofy.

 

Note: The smss.exe file is located in the C:\Windows\System32 folder. In other cases, smss.exe is a virus, spyware, trojan or worm!

 

( d'après un site de sécurité)

 

Donc tout cela se confirme...

 

Par contre, je crois pas que c'est une bonne idée de créer un point de restauration.. car elle pourrait elle aussi être touchée.

 

JE prépare une procédure... car j'attendais l'avis d'un coseiller, merci charles

Modifié le 24 février 2006 par tornado

[tornado]

Re blaise, charles, bruce lee

 

Télécharge les logiciels suivants au préalable

 

 

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

 

 

 

1/ Redémarre en mode sans échec

 

2/ Désactivation puis suppression du service

 

- Dans "démarrer" --> "exécuter" ---> tape " services.msc " (sans les guillemets)

- Recherche le service Windows Log

- Double clique dessus puis dans "types de démarrage", sélectionne "désactivé

- Valide

 

- Puis dans "exécuter", tape cette fois ci "cmd" (sans les guillemets)

- Tape la commande présente dans l'espace code:

 

sc delete Windows log 

 

- Valide

 

3/ Avec Hijackthis

 

 

- Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKLM\..\Run: [Flash32] c:\Program Files\Flash 32\Flash32.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

 

O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

 

(pas mal de programmes "inutiles" au lancement de windows, tu vas voir, ça va être plus rapide après)

 

-Fais "fix checked"

 

 

 

4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

5/ Supprime le fichier suivant (en gras) si il existe encore:

 

C:\Windows\system\smss.exe

 

 

Ne confond surtout pas avec C:\Windows\system32\smss.exe

 

 

6/ Nettoie ton pc avec Easycleaner et jv16 :

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

7/ Redémarre en mode normal puis poste un nouveau rapport hijackthis

 

 

 

NB: si tu ne parviens pas à le supprimer C:\Windows\system\smss.exe manuellement, tu peux procéder avec la killbox :

 

-Téléchage ce soft à cette adresse: http://www.downloads.subratam.org/KillBox.zip

-Une fois lancé, tape le chemin du fichier incriminé ---> C:\Windows\system\smss.exe (dans le champ "full path or file to delete") -->

 

- Coche la ligne "delete on reboot"

- Supprime le fichier -->

- Redémarre

Modifié le 24 février 2006 par tornado

[Blaise]

Bonjour à tous !

 

Bref, depuis le passage de CCleaner, et la suppression de smss et nvsvcd, plus de tentative de connexion... plus de exmodulah dans le dossier temp....

 

Bref, ça à l'air de marché ! Par précaution, j'ai fais tourner hijackthis, easycleaner (que j'ai retélécharger et il a fonctionné...) et avec jv16, j'ai fais une recherche dans la base de registre avec exmodulah... Et là j'ai trouvé une quinzaine de ligne, que j'ai supprimé...

 

 

Bref, je touche du bois, mon pb à l'air résolu, et ça grace a vous !

 

Si y'a récidive, je reviendrais avec un rapport...

 

En tout cas, je vous remercie beaucoup !

[bruce lee]

bonjour a tous et a toutes

 

repost un log pour verification je te prie

[Blaise]

Logfile of HijackThis v1.99.1

Scan saved at 12:32:19, on 25/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Logitech\Easy Synchronization\servicestub.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Logitech\Easy Synchronization\LogitechEasySync.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Logitech\SetPoint\LBTWiz.exe

C:\Program Files\Logitech\Easy Synchronization\LogitechEasySync.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\FreeBrowser\FreeBrowser\FreeBrowser.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\Program Files\Belkin\Nostromo\nost_LM.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\PyGrenouille\pygrenouille.exe

C:\Program Files\Folding@Home\winFAH.exe

C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE

C:\Program Files\SpeedFan\speedfan.exe

C:\Program Files\Folding@Home\FahCore_82.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Nono\Bureau\log\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent

O4 - HKLM\..\Run: [Easy Synchronization] C:\Program Files\Logitech\Easy Synchronization\LogitechEasySync.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunOnce: [Easy Synchronization] C:\Program Files\Logitech\Easy Synchronization\LogitechEasySync.exe --ports

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [FreeBrowser] C:\Program Files\FreeBrowser\FreeBrowser\FreeBrowser.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: Folding@Home 5.03.lnk = ?

O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Loadout Manager.lnk = C:\Program Files\Belkin\Nostromo\nost_LM.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe

O4 - Global Startup: SATARAID5.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130345016717

O17 - HKLM\System\CCS\Services\Tcpip\..\{9FAB7E0F-5DA5-45E4-91DD-39FE3A806B0A}: NameServer = 212.27.32.176,212.27.32.177

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: LBTWlgn - c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE

O23 - Service: Logitech Easy Synchronization - Unknown owner - C:\Program Files\Logitech\Easy Synchronization\servicestub.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

[bruce lee]

re,

ton log est propre si tu n'as plus de probleme pense a cloturer la question en editant ton titre et tu mets devant [résolu]

[tornado]

Salut blaise, bruce lee ,

 

 

Ton rapport est propre !

 

Heureux que tu n'ais plus de problèmes.

 

 

Cependant il serait bien que tu fasses un scan antivirus en ligne à partir de cette page --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (tu peux faire les 2 scans si tu en as le temps)

 

Ils fonctionnent uniquement sous IE, car des contrôles activex ont besoin d'être installés. N'oublie pas de poster leurs rapports respectifs

 

 

 

Sinon, veux tu optimiser ton rapport ? Car je vois que tu utilises déjà Firefox, et pas mal de lignes en rapport avec IE sont à fixer, ainsi que des programmes au démarrage...

 

 

A+

 

edit:: bonjour angélique

 

EDIT: grilled (je sais, j'ai "2 trains de retard")

Modifié le 25 février 2006 par tornado