Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

analyse rapport HijackThis Flav...merci


flav
 Partager

Messages recommandés

Bonjour,

 

si quelqu'un peu m'aider avec cette machine pas trés propre...

 

Logfile of HijackThis v1.99.1

Scan saved at 22:07:49, on 11/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: run=C:\WINDOWS\inet20091\services.exe

O1 - Hosts: 66.159.18.75 www.astalavista.com

O1 - Hosts: 66.159.18.75 astalavista.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKLM\..\Run: [searchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20091\services.exe

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKLM\..\Run: [systemLoader] C:\WINDOWS\sysldr32.exe

O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe

O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20091\services.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095620160484

O16 - DPF: {B82FA17C-F3A9-11D2-B5DD-0050041B7FF6} (SAXFile FileDownload ActiveX Control) - http://www.medicinimage.com/saxfile.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB

O20 - Winlogon Notify: gdimxp - C:\WINDOWS\SYSTEM32\gdimxp.dll

O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lien vers le commentaire
Partager sur d’autres sites

bonsoir flav,

 

télécharge ewido :

 

http://www.ewido.net/fr/

 

installes le, met le à jour et scan

(Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

 

poste le rapport ewido et un nouveau hijackthis

 

a+

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci du conseil !

 

Voilà mon rapport Ewido suivi du nouveau HijackThis

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 01:42:50, 12/03/2006

+ Somme de contrôle: 606C67A0

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\ddm_download.ddm_control -> Adware.Adlogix : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\ddm_download.ddm_control\Clsid -> Adware.Adlogix : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{a19ef336-01d4-48e6-926a-fe7e1c747aed} -> Adware.MWSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll -> Adware.ISTBar : Nettoyer et sauvegarder

HKU\S-1-5-21-2000478354-879983540-1801674531-1003\Software\Microsoft\Internet Explorer\Keywords -> Adware.CoolWebSearch : Nettoyer et sauvegarder

[1396] C:\WINDOWS\System32\msupdate32.dll -> Downloader.Delf.aic : Erreur durant le nettoyage

[1600] C:\winstall.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Cookies\[email protected][2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Cookies\[email protected][1].txt -> TrackingCookie.Euroclick : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Cookies\[email protected][1].txt -> TrackingCookie.Realcastmedia : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Cookies\[email protected][2].txt -> TrackingCookie.Goldenpalace : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Cookies\[email protected][1].txt -> TrackingCookie.Paypopup : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Cookies\[email protected][1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Cookies\[email protected][2].txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Local Settings\Temp\dmx5E.tmp -> Dropper.Delf.th : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Local Settings\Temp\igenpqli.exe -> Dropper.Small.zd : Nettoyer et sauvegarder

C:\Documents and Settings\Fchampeaux\Local Settings\Temp\lkopkail.exe -> Downloader.Small.ckj : Nettoyer et sauvegarder

C:\Program Files\Power Scan -> Adware.PowerScan : Nettoyer et sauvegarder

C:\Program Files\SpySheriff -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\base.avd -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\base001.avd -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\base002.avd -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\found.wav -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\heur000.dll -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\heur001.dll -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\heur002.dll -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\heur003.dll -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\notfound.wav -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\removed.wav -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\SpySheriff.dvm -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\SpySheriff.exe -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Program Files\SpySheriff\Uninstall.exe -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\WINDOWS\NDNuninstall4_94.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\NDNuninstall5_40.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\NDNuninstall6_10.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\system32\mspostsp.exe -> Trojan.Inject.i : Nettoyer et sauvegarder

C:\WINDOWS\system32\__delete_on_reboot__msupdate32.dll -> Downloader.Delf.aic : Nettoyer et sauvegarder

C:\WINDOWS\timon3.dll -> Adware.AzSearch : Nettoyer et sauvegarder

C:\WINDOWS\tool2.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder

C:\WINDOWS\tool3.exe -> Downloader.Tiny.bm : Nettoyer et sauvegarder

C:\winstall.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder

C:\_RESTORE\ARCHIVE\FS99.CAB/A0252166.CPY -> Not-A-Virus.BadJoke.Win32.Bugs.30 : Erreur durant le nettoyage

C:\_RESTORE\ARCHIVE\FS99.CAB/A0252167.CPY -> Not-A-Virus.BadJoke.Win32.Train : Erreur durant le nettoyage

C:\_RESTORE\TEMP\A0256640.CPY -> Adware.BrilliantDigital : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

suivi du rapport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 09:56:09, on 12/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: run=C:\WINDOWS\inet20091\services.exe

O1 - Hosts: 66.159.18.75 www.astalavista.com

O1 - Hosts: 66.159.18.75 astalavista.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKLM\..\Run: [searchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20091\services.exe

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKLM\..\Run: [systemLoader] C:\WINDOWS\sysldr32.exe

O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe

O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe

O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\System32\intell321.exe

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20091\services.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095620160484

O16 - DPF: {B82FA17C-F3A9-11D2-B5DD-0050041B7FF6} (SAXFile FileDownload ActiveX Control) - http://www.medicinimage.com/saxfile.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB

O20 - Winlogon Notify: gdimxp - C:\WINDOWS\SYSTEM32\gdimxp.dll

O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Je crois que le ménage n'est pas teminé...

 

Flavien

 

 

 

 

bonsoir flav,

 

télécharge ewido :

 

http://www.ewido.net/fr/

 

installes le, met le à jour et scan

(Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

 

poste le rapport ewido et un nouveau hijackthis

 

a+

Lien vers le commentaire
Partager sur d’autres sites

bonjour a tous je me permet de prendre le relais.

 

ton log est tres infecté!

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

2/ Dézipper la totalité de l'archive sur ton bureau.

 

3/Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

 

poste ce rapport je te prie.

Lien vers le commentaire
Partager sur d’autres sites

bonjour a tous je me permet de prendre le relais.

 

ton log est tres infecté!

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

2/ Dézipper la totalité de l'archive sur ton bureau.

 

3/Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

 

poste ce rapport je te prie.

 

 

 

 

Voici le rapport demandé.

 

Merci

 

SmitFraudFix v2.24

 

Rapport fait à 10:44:38,53 le 12/03/2006

Executé à partir de C:\Documents and Settings\Fchampeaux\Bureau\Nouveau dossier

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

C:\secure32.html PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

C:\WINDOWS\kl1.exe PRESENT !

C:\WINDOWS\sachostx.exe PRESENT !

C:\WINDOWS\secure32.html PRESENT !

C:\WINDOWS\tool1.exe PRESENT !

C:\WINDOWS\warnhp.html PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

C:\WINDOWS\system32\vxgame?.exe PRESENT !

C:\WINDOWS\system32\vxh8jkdq?.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Fchampeaux\Application Data

 

C:\Documents and Settings\Fchampeaux\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="C:\\WINDOWS\\warnhp.html"

"SubscribedURL"=""

"FriendlyName"="Desktop Uninstall"

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"

 

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}\InProcServer32]

@="C:\WINDOWS\System32\dcom_14.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}\InProcServer32]

@="C:\WINDOWS\System32\dcom_14.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

 

* Redémarre en mode sans échec.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

 

* Redémarres normalement

Communiques le deuxième rapport de SmitfraudFix avec un nouveau rapport HijackThis.

 

a+

 

 

 

Bonjour, voici

 

le Rapport SmitFraudFix

 

SmitFraudFix v2.24

 

Rapport fait à 11:18:49,23 le 12/03/2006

Executé à partir de C:\Documents and Settings\Draynaud\Bureau\Nouveau dossier

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\secure32.html supprimé

C:\WINDOWS\kl1.exe supprimé

C:\WINDOWS\sachostx.exe supprimé

C:\WINDOWS\secure32.html supprimé

C:\WINDOWS\tool1.exe supprimé

C:\WINDOWS\warnhp.html supprimé

C:\WINDOWS\system32\vxgame?.exe supprimé

C:\WINDOWS\system32\vxh8jkdq?.exe supprimé

C:\Documents and Settings\Draynaud\Application Data\Install.dat supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

le Rapport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 11:20:31, on 12/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 66.159.18.75 www.astalavista.com

O1 - Hosts: 66.159.18.75 astalavista.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKLM\..\Run: [searchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095620160484

O16 - DPF: {B82FA17C-F3A9-11D2-B5DD-0050041B7FF6} (SAXFile FileDownload ActiveX Control) - http://www.medicinimage.com/saxfile.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB

O20 - Winlogon Notify: gdimxp - C:\WINDOWS\SYSTEM32\gdimxp.dll

O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

merci

Lien vers le commentaire
Partager sur d’autres sites

re,

 

connais tu ce site?

 

www.astalavista.com

 

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

demarrer/paneau de configuration/ajouts et suppressions de programmes et verifie la presence de:

 

NewDotNet

 

si ce programme est present désinstalle le.

 

lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)

O4 - HKLM\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O16 - DPF: {B82FA17C-F3A9-11D2-B5DD-0050041B7FF6} (SAXFile FileDownload ActiveX Control) - http://www.medicinimage.com/saxfile.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB

O20 - Winlogon Notify: gdimxp - C:\WINDOWS\SYSTEM32\gdimxp.dll

O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

affiche tout les ficiers et dossiers en faisant comme ceci:

 

demarrer,poste de travail,outil, options des dossiers, onglet affichage

et tu coches afficher les fichiers et dossiers cachés ,

decoche la case devant: Masquer les extensions des fichiers dont le type est connu

decoche la case devant: Masquer les fichiers protégés du système d'exploitation

tu appliques puis tu cliques sur ok

 

 

supprime ce qui est en gras si present:

 

C:\Program Files\ NewDotNet<= tout le dossier

C:\WINDOWS\System32\ doriot.exe<= le fichier

C:\WINDOWS\ sachostx.exe<= le fichier

C:\Windows\ xpupdate.exe<= le fichier

C:\WINDOWS\SYSTEM32\ gdimxp.dll<= le fichier

C:\WINDOWS\SYSTEM32\ ssldr32.dll<= le fichier

C:\WINDOWS\System32\ dcom_14.dll<= le fichier

 

redemarre en mode normal et repost un nouveau log hijackthis je te prie.

Modifié par bruce lee
Lien vers le commentaire
Partager sur d’autres sites

re,

 

connais tu ce site?

 

www.astalavista.com

 

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

demarrer/paneau de configuration/ajouts et suppressions de programmes et verifie la presence de:

 

NewDotNet

 

si ce programme est present désinstalle le.

 

lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)

O4 - HKLM\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O16 - DPF: {B82FA17C-F3A9-11D2-B5DD-0050041B7FF6} (SAXFile FileDownload ActiveX Control) - http://www.medicinimage.com/saxfile.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB

O20 - Winlogon Notify: gdimxp - C:\WINDOWS\SYSTEM32\gdimxp.dll

O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

affiche tout les ficiers et dossiers en faisant comme ceci:

supprime ce qui est en gras si present:

 

C:\Program Files\ NewDotNet<= tout le dossier

C:\WINDOWS\System32\ doriot.exe<= le fichier

C:\WINDOWS\ sachostx.exe<= le fichier

C:\Windows\ xpupdate.exe<= le fichier

C:\WINDOWS\SYSTEM32\ gdimxp.dll<= le fichier

C:\WINDOWS\SYSTEM32\ ssldr32.dll<= le fichier

C:\WINDOWS\System32\ dcom_14.dll<= le fichier

 

redemarre en mode normal et repost un nouveau log hijackthis je te prie.

 

www.astalavista.com c'est vraisemblablement là que j'ai attrappé la chtouille (site de crack) !

J'ai fait ce que tu as demandé ;

 

NewDotNet n'était pas installé sur ma machine

les .exe n'étaient pas présents non plus.

En revanche, les dll le sont mais je n'arrive pas à les supprimer (à défaut je les ai renommé avec ___ devant).

 

Voilà le rapport HijackThis après.

 

Logfile of HijackThis v1.99.1

Scan saved at 17:35:58, on 12/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 66.159.18.75 www.astalavista.com

O1 - Hosts: 66.159.18.75 astalavista.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [searchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095620160484

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

Merci

 

Flav

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...