rapport

[jerau24]

quand je l'ouvre avec un fichier texte ca met rien du tout aucune écriture.

 

 

Mais c'est quoi au juste ce fichier?

[regis56]

Re

 

Bon laisse tomber et supprime les deux fichiers .bat

 

Ces fichiers servent à faire une liste de tous les fichiers présents dans certains répertoires.

 

C'était juste pour vérifier moi-même

 

Car c'est quand même bizarre que hijackthis nous le montre et que l'on arrive pas à le trouver

 

Comme mon fichier n'a pas marché on va essayer autre chose

 

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

 

A plus !

Modifié le 27 mars 2006 par regis56

[jerau24]

voici le rapport de panda:

 

 

 

Incident Statut Analyse

 

Adware:adware/emediacodec No Désinfecté C:\WINDOWS\SYSTEM32\dfrgsrv.exe

Adware:adware/securityerror No Désinfecté C:\WINDOWS\SYSTEM32\ot.ico

Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\keyboard51.dat

Outil indésirable:application/winantivirus2006 No Désinfecté C:\PROGRAM FILES\WinAntiVirus Pro 2006

Spyware:spyware/virtumonde No Désinfecté Registre Windows

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Cookies\g@adultfriendfinder[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Cookies\g@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[.mediaplex.com/]

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[.advertising.com/]

Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[.apmebf.com/]

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[.belnk.com/]

Spyware:Cookie/go No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[.go.com/]

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[fe.lea.lycos.fr/]

Spyware:Cookie/DomainSponsor No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[landing.domainsponsor.com/]

Spyware:Cookie/Netster No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[lb1.netster.com/]

Spyware:Cookie/Searchportal No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[searchportal.information.com/]

Spyware:Cookie/Spyfalcon No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies-1.txt[]

Spyware:Cookie/Spyfalcon No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies-2.txt[]

Spyware:Cookie/Spyfalcon No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies-3.txt[]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Application Data\Mozilla\Firefox\Profiles\wbdmrj8w.default\cookies.txt[]

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Cookies\g@adultfriendfinder[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\G.CONTINENTAL\Cookies\g@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\titou\Application Data\Mozilla\Firefox\Profiles\cbcw07l9.default\cookies.txt[]

Spyware:Cookie/OfferOptimizer No Désinfecté C:\Documents and Settings\titou\Cookies\titou@offeroptimizer[1].txt

Virus:Trj/Downloader.HDD Désinfecté C:\tr.exe

Adware:Adware/SecurityError No Désinfecté C:\WINDOWS\system32\1024\ld9205.tmp

Virus:Trj/Zlob.DE Désinfecté C:\WINDOWS\system32\1024\ldAC92.tmp

Adware:Adware/SpywareStrike No Désinfecté C:\WINDOWS\system32\hpF5C6.tmp

[tornado]

Salut jerau24, régis56 ,

 

 

Pour supprimer la ligne :

 

O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgi.exe

 

Il va falloir supprimer directement la clé runservice qui lui correspond dans le registre... on peut la supprimer rapidement avec un logiciel qui indique les différentes clés des programmes qui se lancent au démarrage de Windows :

 

1/ Télécharge Starter à cette adresse --> http://telechargement.zebulon.fr/185-Starter.html

 

- Après installation, lance Starter

 

 

- Dans le panneau section de gauche :

 

 

* Va dans Registre --> Tous les utilisateurs --> Runservices

 

- Dans le panneau de droite, fais un clic droit sur le fichier msnmsgi.exe, et choisis Supprimer

 

 

Après avoir fait ceci, redémarre puis poste un nouveau rapport hijkackthis...

 

 

2/ Par ailleurs, le rapport de panda révèle des traces du trojan smitfraud sur ton système... tu vas passer un outil spécial pour vérifier si il y a d'autres traces:

 

Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

 

 

 

Bonne chance

 

 

 

PS: on s'attaquera au reste des malwares détectés par panda plus tard...

Modifié le 27 mars 2006 par tornado

[jerau24]

bonjour a toi tornado,

 

et merci pour ton aide,

 

voila le 1er rapport de hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 17:06:00, on 27/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\ZoneLabs\isafe.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\MOZILL~2\FIREFOX.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1136624730310

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B61A1FDE-C16E-43AE-B57C-BA8C94A23AD9}: NameServer = 213.36.80.1 213.36.80.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[jerau24]

et maintenant voici le rapport de smitfraudix:

 

 

 

SmitFraudFix v2.26

 

Rapport fait à 17:08:34,03 le 27/03/2006

Executé à partir de C:\Documents and Settings\G.CONTINENTAL\Mes documents\smit\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

C:\WINDOWS\system32\dfrgsrv.exe PRESENT !

C:\WINDOWS\system32\hp????.tmp PRESENT !

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\1024\ PRESENT!

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\G.CONTINENTAL\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris

 

C:\Documents and Settings\G.CONTINENTAL\Favoris\Antivirus Test Online.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

[regis56]

Bonsoir tout le monde !

 

Tornado

 

Je te laisse poursuivre j'ai pas trop le temps maintenant !

 

A plus !

[tornado]

Re jerau24,

 

 

Tu as bien travaillé Cette fameuse ligne a enfin disparu de ton log hijackthis

 

 

Sinon, le rapport de smitfraudfix indique bien la présence de smitfraud sur ton pc. Tu vas donc appliquer l'option 2 du fix, pour éliminer les fichiers détectés... :

 

 

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

 

 

 

A+

[jerau24]

merci pour votre aide je comprends pas comment vous arrivez a faire tout ca enfin bon voila le rapport:

 

 

 

SmitFraudFix v2.26

 

Rapport fait à 17:27:09,68 le 27/03/2006

Executé à partir de C:\Documents and Settings\G.CONTINENTAL\Mes documents\smit\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\dfrgsrv.exe supprimé

C:\WINDOWS\system32\hp????.tmp supprimé

C:\WINDOWS\system32\ot.ico supprimé

C:\WINDOWS\system32\1024\ supprimé

C:\Documents and Settings\G.CONTINENTAL\Favoris\Antivirus Test Online.url supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

[regis56]

Re

 

Pourrait tu nous faire un nouveau rapport Panda STP ?

 

Et nous dire comment va ton Pc maintenant ?

 

A plus !