Je suis infecté et arrive pas a me depatouiller...

[bruce lee]

1/-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O2 - BHO: DosSpecFolder Object - {1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2} - C:\WINDOWS\System32\jkhhg.dll (file missing)

O4 - HKLM\..\Run: [zrmon] rundll32.exe C:\WINDOWS\System32\zrmon.dll,start

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

4/-Lance Pocketkillbox,choisis l'option Delete on reboot

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\System32\zrmon.dll

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

 

tu dois etre en mode normal.

 

5/supprimer ce dossier ensuite C:\ !KillBox

 

6/reposte un nouveau log hijackthis.

[jich]

done!

 

Alors pour info, plus de trucs qui se lancent au demarrage et apparement d'apres l'icone zone alarm plus d'utilisation de bande passante....

 

Heureusement que vous etes la car j'y serait pas arrivé tout seul, c'est le moins qu'on puisse dire....

 

le rapport HJT:

 

Logfile of HijackThis v1.99.1

Scan saved at 17:47:00, on 28/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\utils\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\ZoneLabs\isafe.exe

C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\utils\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC4D864F-83E0-4C7C-B68E-2C456F0BF0AF}: NameServer = 82.237.73.60

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Merci...

[bruce lee]

re,

 

Alors pour info, plus de trucs qui se lancent au demarrage et apparement d'apres l'icone zone alarm plus d'utilisation de bande passante....

 

Heureusement que vous etes la car j'y serait pas arrivé tout seul, c'est le moins qu'on puisse dire....

 

de rien

 

j'ai quelques questions a te poser est ce que ton zone alarm fait aussi antivirus?

si zone alarm ne fait pas antivirus pourquoi avoir enlever antivir?

[jich]

oui j'ai la version zone alarm avec antivirus... mais j'hesite à zapper l'antivirus za pour mettre antivir, je ne sais pas ce que tu en pense...

 

Sinon mon probleme est resolu? totalement? Si oui, un grand merci.....

[bruce lee]

sur les antivirus tout le monde a sa propre opinion perso je te conseil de garder zone alarm en antivirus et quand l'abbonement sera finit prend antivir

 

Sinon mon probleme est resolu? totalement? Si oui, un grand merci.....

 

pas tout a fait .

 

si tu le souhaites (je te le conseil vivement) vas ici:

 

http://www.pandasoftware.com/activescan/fr...n_principal.htm

tuto pour panda http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

 

a la fin du scan tu cliques sur "voir le rapport", tu le sauvegardes et tu le postes

 

@+

Modifié le 28 mars 2006 par bruce lee

[jich]

Panda a donné son verdict....

 

 

Le voici:

 

 

Incident Statut Analyse

 

Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\keyboard61.dat

Adware:adware/commad No Désinfecté C:\WINDOWS\uninstall_nmon.vbs

Adware:adware/maxifiles No Désinfecté C:\PROGRAM FILES\FICHIERS COMMUNS\InetGet

Adware:adware/deskwizz No Désinfecté Registre Windows

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@ad.yieldmanager[2].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@adtech[2].txt

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@adultfriendfinder[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@advertising[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@belnk[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@bluestreak[1].txt

Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@com[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@dist.belnk[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@doubleclick[1].txt

Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@errorsafe[2].txt

Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@stats1.reliablestats[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@tradedoubler[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@weborama[1].txt

Spyware:Cookie/WinFixer No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@winfixer[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@xiti[2].txt

Spyware:Cookie/Xmts No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@xmts[1].txt

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@ad.yieldmanager[2].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@adtech[2].txt

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@adultfriendfinder[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@advertising[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@belnk[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@bluestreak[1].txt

Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@com[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@dist.belnk[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@doubleclick[1].txt

Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@errorsafe[2].txt

Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@stats1.reliablestats[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@tradedoubler[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@weborama[1].txt

Spyware:Cookie/WinFixer No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@winfixer[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@xiti[2].txt

Spyware:Cookie/Xmts No Désinfecté C:\Documents and Settings\la fontaine\Cookies\la fontaine@xmts[1].txt

Adware:Adware/DollarRevenue No Désinfecté C:\Documents and Settings\la fontaine\cz32.exe[rm32.dll]

Adware:Adware/DollarRevenue No Désinfecté C:\Documents and Settings\la fontaine\Local Settings\Temp\tmp000084fe

Adware:Adware/DollarRevenue No Désinfecté C:\Documents and Settings\la fontaine\Local Settings\Temp\tmp000087fc

Adware:Adware/DollarRevenue No Désinfecté C:\Documents and Settings\la fontaine\Local Settings\Temp\tmp0002930e

Adware:Adware/Maxifiles No Désinfecté C:\Documents and Settings\la fontaine\mc-110-12-0000229.exe

Adware:Adware/ISearch No Désinfecté C:\WINDOWS\SkFDSyBCUklTVE9X\m4IGmV1Fo45npH6r.vbs

Virus:W32/Akbot.K.worm Désinfecté C:\WINDOWS\system32\libwz.dll

Adware:Adware/DollarRevenue No Désinfecté C:\WINDOWS\system32\pmkhf.dll

Adware:Adware/DollarRevenue No Désinfecté C:\WINDOWS\system32\ssqpq.dll

Adware:Adware/DollarRevenue No Désinfecté C:\WINDOWS\system32\vturs.dll

Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\uninstall_nmon.vbs

 

 

Je ne sais pas ce qu'est ce akbot, mais je l'aime pas...

 

Merci

[bruce lee]

bon,

 

il reste encore pas mal de boulot

 

je regarde et te donne une reponse dans 10 minutes

[bruce lee]

ok,

 

telecharge:

 

http://telechargement.zebulon.fr/184-RegSeeker.html

 

son tuto:

 

http://www.zebulon.fr/articles/regseeker-1.php

 

demarre en mode sans echec:

 

supprime ce qui est en gras(fait attention a l'orthographe des fichiers):

 

C:\WINDOWS\ keyboard61.dat

C:\WINDOWS\ uninstall_nmon.vbs

C:\PROGRAM FILES\FICHIERS COMMUNS\ InetGet

C:\Documents and Settings\la fontaine\ mc-110-12-0000229.exe

C:\WINDOWS\system32\ libwz.dll

C:\WINDOWS\system32\ pmkhf.dll

C:\WINDOWS\system32\ ssqpq.dll

C:\WINDOWS\system32\ vturs.dll

 

utilise reg seeker.

 

redemarre en mode normal et refais un scan chez panda et poste son rapport.

Modifié le 28 mars 2006 par bruce lee

[jich]

ok je vais faire tout ca mais la je dois m'absenter....

 

Donc je te remercie grandement et je reposte dès que j'ai réussi la prochaine mission...lol

 

merci encore a plus

[bruce lee]

ok je vais faire tout ca mais la je dois m'absenter....

 

pas de probleme fais ca quand tu auras le temps. et bonne chance pour la nouvelle mission