A l'aide svp !

Ovanek · le 3 mars 2006

Ca se passe pas trop mal, ma foi. J'ai toujours malgré tout un trojan du doux nom de Win32 Ranky.CN au démarrage . Sinon voilà les rapports :

Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 18:51:24, on 03/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\netdrvr.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\vsnpstd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\mousepad.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\winsystems.exe

C:\WINDOWS\System32\sysctl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\win32ssr.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Microsoft Office\Office\Winword.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/

O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B67085CC199} - C:\WINDOWS\System32\ddayv.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [b'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys.exe

O4 - HKLM\..\Run: [mousepad] C:\\mousepad.exe

O4 - HKLM\..\Run: [keyboard] C:\\keyboard.exe

O4 - HKLM\..\Run: [winsystems25] winsystems.exe

O4 - HKLM\..\Run: [sysctl32] sysctl.exe

O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe

O4 - HKLM\..\RunServices: [sysctl32] sysctl.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ddayv - C:\WINDOWS\System32\ddayv.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

Wundofix :

VundoFix V2.15 by Atri

--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.

--------------------------------------------------------------------------------------

ReadMe.txt

killvundo.bat

process.exe

vundo.reg

vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered

--------------------------------------------------------------------------------------

The filepath entered was C:\WINDOWS\system32\awtqo.dll

The second filepath entered was C:\WINDOWS\system32\oqtwa

--------------------------------------------------------------------------------------

Log from Process

--------------------------------------------------------------------------------------

Killing PID 264 'smss.exe'

Error 0x6 : Descripteur non valide

Killing PID 852 'explorer.exe'

Killing PID 352 'winlogon.exe'

Error 0x6 : Descripteur non valide

--------------------------------------------------------------------------------------

C:\WINDOWS\system32\awtqo.dll Deleted sucessfully.

C:\WINDOWS\system32\oqtwa Deleted sucessfully.

Fixing Registry

--------------------------------------------------------------------------------------

Pour finir et répondre à tes questions :

Pour info ,regarde s'il te plait et dit moi si tu as accès à ces fonctions =>

Gestionnaire de tâches(CTRL+ALT+SUPP) OK !

regedit (a taper dans le champs : Démarrer=>Exécuter) OK !

cmd(a taper dans le champs : Démarrer=>Exécuter) OK !

Msconfig(a taper dans le champs : Démarrer=>Exécuter) OK !

Thanos · le 3 mars 2006

re Ovanek

La suite des hostilités!=>

1)-Télécharge la dernière version de Killbox (par Option^Explicit) ici et met le sur ton bureau

-Redémarre en mode sans échec:n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte

2)-Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B67085CC199} - C:\WINDOWS\System32\ddayv.dll

O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys.exe

O4 - HKLM\..\Run: [mousepad] C:\\mousepad.exe

O4 - HKLM\..\Run: [keyboard] C:\\keyboard.exe

O4 - HKLM\..\Run: [winsystems25] winsystems.exe

O4 - HKLM\..\Run: [sysctl32] sysctl.exe

O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe

O4 - HKLM\..\RunServices: [sysctl32] sysctl.exe

O20 - Winlogon Notify: ddayv - C:\WINDOWS\System32\ddayv.dll

O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

-Ferme tous les programmes et clique sur "Fix Checked"

3)-vas dans le menu démarrer executer et tu tapes : services.msc

Cherche le service suivant: Win32Sr

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Quitte les services.

4)-vas dans le menu démarrer executer et tu tapes :cmd

dans la boite de dialogue qui s'ouvre, tu tapes :

sc delete Win32Sr

Un message t'avertis du succès de l'opération.

5)-vas dans le menu démarrer executer et tu tapes :

regsvr32 /u C:\WINDOWS\System32\ddayv.dll

Un message t'avertit que ca a réussi,et que la dll est bien désenregistrée.

6)-Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" copie/colle ceci:

C:\WINDOWS\System32\ddayv.dll

-Assure toi que la case "Delete on Reboot" soit cochée.

-Cliquer sur la croix blanche sur fond rouge:

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre NON

Ainsi de suite tu entre les chemins de tout les fichiers=>

C:\gimmysmileys.exe

C:\mousepad.exe

C:\keyboard.exe

C:\WINDOWS\win32ssr.exe

C:\WINDOWS\System32\winsystems.exe

C:\WINDOWS\System32\sysctl.exe

à la fin:

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

Le PC va redémarrer et supprimer le fichier de la liste.

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

Ovanek · le 3 mars 2006

C'est de mieux en mieux. Tout a bien fonctionné . Pas de trojan detecté par Avast pour l'instant. Il reste deux fichiers suspects dans C:\ : smart et drsmartload1 (icones style Linux) .Super boulot , Charles !!

Voici le nouveau rapport Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 21:51:05, on 03/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\netdrvr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\vsnpstd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe