Quelqu'un pour une analyse de rapport ?

[Piliphe]

Bonsoir,

 

Voici mon dernier rapport Hijackthis, après un coup d'Antivir en mode sans echec et un passage de Spybot.

 

Si quelqu'un pouvait me dire ce qui ne va pas, mis par la présence de Incrédimail, que je supprimerais dès que j'aurais préparer la migration vers Thunderbird.

 

D'avance merci !

 

 

Logfile of HijackThis v1.99.1

Scan saved at 01:35:58, on 10/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Documents and Settings\Admin\Mes documents\Fichiers d'administration\Logiciels\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mozbot.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://blog.aufeminin.com/blog/see_77427_1...contre-vos-avis

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/page.asp?page=r...l&type=counting

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [li start up] li32.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [li start up] li32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [li start up] li32.exe

O4 - Global Startup: DSLMON.lnk.disabled

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2875A985-6375-4EFD-B405-67B4EFA746FF}: NameServer = 192.168.1.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: jkkjg - jkkjg.dll (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

---------------------------------------------

[Gof]

Bonsoir, il me semble bien que tu es infecté. Mais je ne suis pas un spécialiste et j'en profite pour apprendre. Attend l'avis et l'analyse d'un conseiller sécurité. En attendant, tu peux faire un scan en ligne Panda, ça ne coute rien. Sauvegarde le rapport au cas où le conseiller te le demanderait. Scan en ligne ici et le tuto si tu n'y arrives pas.

 

Adressé au conseiller sécurité qui s'occupera de toi. Ce qui me paraît fortement suspect :

 

C:\Program Files\Logitech\Video\FxSvr2.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [li start up] li32.exe

O4 - HKLM\..\RunServices: [li start up] li32.exe

O4 - HKCU\..\Run: [li start up] li32.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2875A985-6375-4EFD-B405-67B4EFA746FF}: NameServer = 192.168.1.1

O20 - Winlogon Notify: jkkjg - jkkjg.dll (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

 

Je me trompe ?

 

EDIT : Je n'y avais pas fait attention au départ Piliphe, mais tu as posté 2 fois une demande d'analyse. Ce n'est pas très courtois, pas très utile, et surtout pas très pratique pour les conseillers sécurité. Ca surcharge d'autant leur travail...

Modifié le 13 mars 2006 par Gof

[Gof]

Bonjour à tous, conseillers et junior sécurité

 

je me permets un petit up pour Piliphe (que je ne connais pas), car je ne voudrais pas que mon intervention (peut-être très maladroite ?) ne se fasse à ses dépens. J'ignore si son sujet a été "oublié" ou "ignoré" (pour une raison que j'ignore), mais je voudrais surtout m'assurer que cela ne soit pas le cas à cause de moi.

 

Voila voila, je reste sage et spectateur attentif . Excusez moi encore

[regis56]

Bonjour Piliphe Gof !

 

Ce que moi j'en dis

 

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)<=pas infectieux

 

O20 - Winlogon Notify: jkkjg - jkkjg.dll (file missing)<= pas d'info dessus donc faire analyser

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{2875A985-6375-4EFD-B405-67B4EFA746FF}: NameServer = 192.168.1.1<=pas d'info dessus demander à Piliphe quel est son FAI

 

O4 - HKLM\..\Run: [li start up] li32.exe

O4 - HKLM\..\RunServices: [li start up] li32.exe

O4 - HKCU\..\Run: [li start up] li32.exe

infectieux

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install<=demander à philip quel carte graphique il a car peut etre lié à une carte graphique nVidia sinon faire analyser

Plus bas je trouve ca

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe<=confirme que le fichier nwiz.exe est légitime

 

C:\Program Files\Logitech\Video\FxSvr2.exe<= fichier légitime

 

Ce que je remarque avant tout c'est ca

 

C:\Documents and Settings\Admin\Mes documents\Fichiers d'administration\Logiciels\HijackThis.exe

 

-Il faut absolument déplacer hijackthis dans un dossier propre pour pouvoir bénéficier des sauvegardes en cas de mauvaises manipulations!

(ex: C:\hijackthis\ ou C:Program files\hijackthis\)

 

 

A plus !

[tornado]

Salut gog, régis56, piliphe

 

O20 - Winlogon Notify: jkkjg - jkkjg.dll (file missing)

 

 

Cette ligne est un reste de vundo... il vaut peut-être mieux passer un coup de vundofix, même si la ligne 02 n'est pas présente sur le rapport. Sinon, je ne crois pas qu'analyser le fichier correspondant est utile, car les .dll liées à Vundo ont des noms aléatoires.

Pour le reste, je suis d'accord

 

 

Donc piliphe, tu vas passer un coup de vundofix avant d'entamer la désinfection habituelle:

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
  
• Coche Run VundoFix as a task.
  
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  
• Démarre ton PC à nouveau.
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

Bonne chance

 

 

 

Edit : Pour la ligne 17, pas de problème :

 

Search results for: 192.168.1.1

 

OrgName: Internet Assigned Numbers Authority

OrgID: IANA

Address: 4676 Admiralty Way, Suite 330

City: Marina del Rey

StateProv: CA

PostalCode: 90292-6695

Country: USOrgName: Internet Assigned Numbers Authority

 

 

C'est un serveur de 9telecom situé aux USA chargé d'attribuer les ip, si je ne m'abuse...

 

Si tu veux trouver l'origine d'une adresse ip, rend toi sur cette page --> http://whois.bw.org/ et tape-la dans le champ indiqué

Modifié le 15 mars 2006 par tornado

[Piliphe]

Tout d'abord, merci à tous.

VEuillez également m'escuser d'avoir poster en deux endroits mais comme je n'avais pas de réponse, je pensais qu'il fallait mettre le dernier rapport dans un nouveau post.

 

J'ai donc passé un coup de Vundofix et voici le rapport :

 

VundoFix V4.2.35

 

Checking Java version...

 

Java version is 1.5.0.4

 

Java version is 1.5.0.6

 

Scan started at 12:38:54 23/03/2006

 

Listing files found while scanning....

 

 

C:\WINDOWS\system32\qtutv.bak1

C:\WINDOWS\system32\qtutv.bak2

C:\WINDOWS\system32\qtutv.ini

C:\WINDOWS\system32\qtutv.ini2

C:\WINDOWS\system32\qtutv.ini2

C:\WINDOWS\system32\qtutv.bak2

C:\WINDOWS\system32\qtutv.ini

C:\WINDOWS\system32\qtutv.ini2

 

VundoFix V4.2.35

 

Checking Java version...

 

Java version is 1.5.0.4

 

Java version is 1.5.0.6

 

Scan started at 12:39:54 23/03/2006

 

Listing files found while scanning....

 

 

C:\WINDOWS\system32\qtutv.bak1

C:\WINDOWS\system32\qtutv.bak2

C:\WINDOWS\system32\qtutv.ini

C:\WINDOWS\system32\qtutv.ini2

C:\WINDOWS\system32\qtutv.ini2

C:\WINDOWS\system32\qtutv.bak2

C:\WINDOWS\system32\qtutv.ini

C:\WINDOWS\system32\qtutv.ini2

 

VundoFix V4.2.35

 

Checking Java version...

 

Java version is 1.5.0.4

 

Java version is 1.5.0.6

 

Scan started at 12:41:04 23/03/2006

 

Listing files found while scanning....

 

 

C:\WINDOWS\system32\qtutv.bak1

C:\WINDOWS\system32\qtutv.bak2

C:\WINDOWS\system32\qtutv.ini

C:\WINDOWS\system32\qtutv.ini2

C:\WINDOWS\system32\qtutv.ini2

C:\WINDOWS\system32\qtutv.bak2

C:\WINDOWS\system32\qtutv.ini

C:\WINDOWS\system32\qtutv.ini2

Attempting to delete C:\WINDOWS\system32\qtutv.bak1

C:\WINDOWS\system32\qtutv.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\qtutv.bak2

C:\WINDOWS\system32\qtutv.bak2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\qtutv.ini

C:\WINDOWS\system32\qtutv.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\qtutv.ini2

C:\WINDOWS\system32\qtutv.ini2 Has been deleted!

 

Performing Repairs to the registry.

Done!

 

 

Et maintenant mon dernier rapport Hitjackthis :

Logfile of HijackThis v1.99.1

Scan saved at 12:46:09, on 23/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Mozilla Thunderbird\TrayThunder.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\Documents and Settings\Admin\Mes documents\Fichiers d'administration\Logiciels\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mozbot.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://blog.aufeminin.com/blog/see_77427_1...contre-vos-avis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/page.asp?page=r...l&type=counting

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [li start up] li32.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [li start up] li32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [li start up] li32.exe

O4 - Startup: TrayThunder.lnk = C:\Program Files\Mozilla Thunderbird\TrayThunder.exe

O4 - Global Startup: DSLMON.lnk.disabled

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: jkkjg - jkkjg.dll (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Merci encore, je reste dans l'attente de conseil.

M connection est meilleure mais je la trouve trop lente par rapport à ce que je devrais avoir. 864 Kbits/s en test. Alors que ma commune est passée à l'ADSL2+ et que Alice me certifie 8 Méga.

 

A bientôt

[tornado]

Salut philiphe,

 

 

 

La ligne de vundo n'est pas pas parti, mais d'après le rapport de vundofix, le fichier en question n'existait plus. Fixer la ligne avec Hijackthis devrait suffir...

 

Il reste cependant une infection... on va s'en occuper :

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Starter --> http://telechargement.zebulon.fr/185-starter.html

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

 

2/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [li start up] li32.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\RunServices: [li start up] li32.exe

O4 - HKCU\..\Run: [li start up] li32.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

 

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

 

O20 - Winlogon Notify: jkkjg - jkkjg.dll (file missing)

 

 

 

- Fais "fix checked"

 

 

 

 

3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

- Valide

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

 

4/ Recherche et supprime le fichier en gras via l'explorateur Windows (si il existe encore)

 

 

- li32.exe

 

 

 

- Vide la corbeille

 

 

NB: Le fichier incriminé n'indique pas son chemin mais est probablement situé dans C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché ces cases dans les options avancées.

 

 

 

 

 

5/ Lance Starter

 

- Dans le panneau section de gauche :

 

* Rend toi d'abord dans Registre --> Utilisateur courant --> Run

Dans le panneau de droite, fais un clic droit sur le fichier li32.exe, et choisis Supprimer

 

* Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à li32.exe.

Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours li32.exe)

 

* Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier li32.exe

 

NB: Il se peut que tu ne trouves pas li32.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification.

 

 

 

 

 

6/ Nettoie ton système avec Easycleaner,ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

 

7/ Fais un scan avec Ewido:

 

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

 

8/ Répète l'étape 6/

 

 

 

 

9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis

 

 

 

 

Bonne chance

Modifié le 23 mars 2006 par tornado