Probleme spyware malware

[nicoeurope]

J'ai été infecté par Spyshriff voilà quelques jour.

Ne connaissant pas grand chose à ce genre de truc je décidais de formater purement et simplement mon ordinateur. En plus ça peut pas lui faire de ma m'a t on dit.

J'ai donc formaté totalement ma partition C et réinstallé drivers et XP Pro.

J'ai également immediatement installé Zone Alarm et Avast antivirus.

Malheureusement mon ordi semble toujours infecté. Périodiquement des objets suspects sont detectés par Avas mais aussi Ad Aware.

Des processus divers (type 1234.tmp) se lancent parfois mais sont interceptés par Zone Alarm. JE les supprime a chaque fois mais reviennent sous un autre numero.

J'ai donc decouvert ce forum et appliqué la desinfection avec ANtivir qui a detecté divers Trojan et autres que j'ai donc supprimés.

Je lance donc ici mon rapport Hijackthis en espérant que quelqu'un pourra m'aider.

 

Logfile of HijackThis v1.99.1

Scan saved at 14:39:54, on 29/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\systsec.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\sstray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\shellbn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\Nico\LOCALS~1\Temp\Rar$EX00.453\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [shellbn] C:\WINDOWS\System32\shellbn.exe

O4 - HKLM\..\RunServices: [shellbn] C:\WINDOWS\System32\shellbn.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [shellbn] C:\WINDOWS\System32\shellbn.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1142792021046

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: 1_32bean32_1reg - C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll

O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[tornado]

Salut nicoeurope,

 

 

 

C'est bien que tu ais déjà appliqué la procdéure de pré-nettoyage...

 

Ton rapport hijackthis montre cependant des signes d'infections.

Ce n'est pas étonnant car tu as oublié de faire les màj de Windows, après le formatage. D'ailleurs, ce n'était pas nécessaire de formater, spysherrif peut généralement être supprimé sans problème, à l'aide d'outils spéciaux.

 

 

En attendant que j'établisse une procédure de désinfection, pourrais tu faire analyser ces fichiers:

 

C:\WINDOWS\SYSTEM32\senssrv.dll

C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll

 

en les "uploadant" sur les 2 sites suivants:

 

http://virusscan.jotti.org/

http://www.virustotal.com/flash/index_en.html

 

 

 

Tu obtiendras 4 rapports en tout (2 par fichier), copie-les puis poste les dans ton prochain post.

 

 

 

 

 

A+

 

 

 

PS: Si tu ne les trouves pas, vérifie que tu as accès à tous les fichiers/dossiers de la manière suivante:

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Modifié le 29 mars 2006 par tornado

[Zonk]

Allo

Tout dépend du genre de formatage que tu as effectuer car un formatage rapide n'est pas toujours synonyme d'éradiquation des pestes.....il y a d'autres moyen de formater + efficace(mise à zero,bas formatage en cas de problème majeur).....le cas échéant....

Bye

Modifié le 29 mars 2006 par Zonk

[nicoeurope]

J'ai formaté en mettant le disque de Windows XP. Mais pas en formatage rapide.

J'ai formaté 3 de mes 4 partitions (sur 2 DD). J'avais pleins de choses a conserver .

J'ai 2 dossiers cachés qui apparaissent maintenant sur chaque partition (Recycled et System Volume Information) est ce normal ?

De plus, IE Explorer tente de se connecter alors que je n'utilise que Mozilla Firefox !

 

Tornado voici mon rapport pour ce que tu m'as demandé.

File: senssrv.dll

Status:

INFECTED/MALWARE

MD5 b3ce9fce6d0fd482a97d839a8ec79de5

Packers detected:

-

Scanner results

AntiVir Found Trojan/Dldr.Agent.afl.18

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found Trojan.DownLoader.7779

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.afl

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

Pour le second site : http://www.virustotal.com/flash/index_en.html

Voici le rapport

his is a report processed by VirusTotal on 03/29/2006 at 15:05:16 (CET) after scanning the file "senssrv.dll" file.

 

Antivirus Version Update Result

AntiVir 6.34.0.14 03.29.2006 TR/Dldr.Agent.afl.18

Avast 4.6.695.0 03.29.2006 no virus found

AVG 386 03.29.2006 no virus found

Avira 6.34.0.54 03.29.2006 TR/Dldr.Agent.afl.18

BitDefender 7.2 03.29.2006 no virus found

CAT-QuickHeal 8.00 03.29.2006 no virus found

ClamAV devel-20060202 03.29.2006 no virus found

DrWeb 4.33 03.29.2006 Trojan.DownLoader.7779

eTrust-InoculateIT 23.71.114 03.29.2006 Win32/SillyDL.7xr!DLL!Trojan

eTrust-Vet 12.4.2141 03.29.2006 no virus found

Ewido 3.5 03.29.2006 no virus found

Fortinet 2.71.0.0 03.29.2006 no virus found

F-Prot 3.16c 03.28.2006 no virus found

Ikarus 0.2.59.0 03.28.2006 no virus found

Kaspersky 4.0.2.24 03.29.2006 Trojan-Downloader.Win32.Agent.afl

McAfee 4728 03.28.2006 no virus found

NOD32v2 1.1461 03.29.2006 no virus found

Norman 5.70.10 03.29.2006 no virus found

Panda 9.0.0.4 03.28.2006 Suspicious file

Sophos 4.04.0 03.29.2006 no virus found

Symantec 8.0 03.29.2006 no virus found

TheHacker 5.9.7.121 03.28.2006 no virus found

UNA 1.83 03.23.2006 no virus found

VBA32 3.10.5 03.28.2006 no virus found

 

Le second fichier a savoir C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll est trop lourd (quoique un site me dit qu'il fait 0 bytes donc ...) pour analyser d'après le site.

 

De plus Avast vient de m'envoyer un message m'informant que je susi infecté par Troj Sinoval-C que j'ai mis en quarantaine.

[tornado]

Re,

 

Le fichier senssrv.dll est bien infectieux d'après les rapports...

 

J'ai 2 dossiers cachés qui apparaissent maintenant sur chaque partition (Recycled et System Volume Information) est ce normal ?

 

 

Oui c'est normal, ce sont 2 fichiers système :

 

- Recycled --> fichiers supprimés de la corbeille

- System Volume Information --> restauration système

 

 

De plus Avast vient de m'envoyer un message m'informant que je susi infecté par Troj Sinoval-C que j'ai mis en quarantaine.

 

Supprime tous les fichiers présents dans ta quarantaine, ça évitera une réinfection

 

 

Je reviens, je vais m'informer sur ce C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll , bien que j'ai de gros doutes à son sujet ...

 

 

 

A+

[Invité tesgaz]

Salut,

 

ce dossier n'existe pas par défaut dans Windows, le vrai doit comporté ceci :

C:\Documents and Settings\All Users\Documents partagés\

 

 

donc, supprimer :

C:\Documents and Settings\All Users\Documents <<< le dossier Documents complet

 

All User n'a pas de dossier : Mes Documents ou documents par défaut

[tornado]

Salut tesgaz

 

 

Ok, merci pour tes explications Tesgaz ... comment ai-je pu passé à coté de ça ?

 

 

Je reviens avec une procédure...

 

 

 

A+

Modifié le 29 mars 2006 par tornado

[tornado]

Re,

 

 

La procédure se divisera en plusiseurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier wordpad (pour garder les mots en gras, la présentation, afin de ne pas être perdu), car elle est assez longue, et tu ne pourras pas y accéder en mode sans échec...

 

 

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

 

- Starter--> http://telechargement.zebulon.fr/185-Starter.html

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

 

 

 

2/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

 

O4 - HKLM\..\Run: [shellbn] C:\WINDOWS\System32\shellbn.exe

O4 - HKLM\..\RunServices: [shellbn] C:\WINDOWS\System32\shellbn.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [shellbn] C:\WINDOWS\System32\shellbn.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

 

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1142792021046

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

 

O20 - Winlogon Notify: 1_32bean32_1reg - C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll

O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll

 

 

 

- Fais "fix checked"

 

 

 

 

 

3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

 

 

 

4/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore)

 

 

- C:\Documents and Settings\All Users\Documents

- C:\WINDOWS\SYSTEM32\senssrv.dll

- C:\WINDOWS\System32\shellbn.exe

 

 

 

- Vide la corbeille

 

 

 

 

 

 

5/ Lance Starter

 

- Dans le panneau section de gauche :

 

* Rend toi d'abord dans Registre --> Utilisateur courant --> Run

Dans le panneau de droite, fais un clic droit sur le fichier shellbn.exe, et choisis Supprimer

 

* Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à shellbn.exe.

Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours shellbn.exe)

 

* Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier shellbn.exe

 

NB: Il se peut que tu ne trouves pas shellbn.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification.

 

 

 

 

6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

 

7/ Fais un scan avec Ewido:

 

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

 

 

 

 

8/ Répète l'étape 6/

 

 

 

 

9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis

 

 

 

 

 

Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

 

Bonne chance

Modifié le 29 mars 2006 par tornado

[nicoeurope]

Voilà j'ai fait ce que tu m'as indiqué.

A noter à l'étape 4 je n'ai aps pu supprimer c:\WINDOWS\SYSTEM32\senssrv.dll (message m'indiquant que le fichier est en cours d'utilisation)

De plus, il y a un processus IEexplorer qui se "promene" quand je suis en mode sans echec et impossible de l'arreter. Il n'est pas présent là maintenant en mode normal.

Voici le rapport de Ewido

 

+ Créé le: 21:49:55, 29/03/2006

+ Somme de contrôle: E6935B37

 

+ Résultats du scan:

 

[224] C:\WINDOWS\system32\senssrv.dll -> Downloader.Agent.afl : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0T2J8LIN\kl[1].txt -> Dropper.Agent.alp : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0T2J8LIN\mousepad6[1].exe -> Hijacker.VB.ly : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0T2J8LIN\winsvr[1].exe -> Downloader.Small.cjk : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C9MZC1UZ\30[1].exe -> Downloader.Small.cpa : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O9Y3O9AR\drsmartload[1].exe -> Downloader.Adload.ah : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O9Y3O9AR\loader_6[1].exe -> Downloader.Small.dsm : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WL2Z0DQ3\drsmartload46a[1].exe -> Downloader.Adload.ai : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WL2Z0DQ3\exe[1].exe -> Downloader.Agent.afl : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WL2Z0DQ3\keyboard6[1].exe -> Downloader.VB.zo : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WL2Z0DQ3\ms1[1].txt -> Downloader.Small.cpa : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WL2Z0DQ3\tool2[1].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder

C:\WINDOWS\keyboard6.exe -> Downloader.VB.zo : Nettoyer et sauvegarder

C:\WINDOWS\kl1.exe -> Dropper.Agent.alp : Nettoyer et sauvegarder

C:\WINDOWS\mousepad6.exe -> Hijacker.VB.ly : Nettoyer et sauvegarder

C:\WINDOWS\system32\config\systemprofile\order_glna.exe -> Backdoor.Agent.wi : Nettoyer et sauvegarder

C:\WINDOWS\system32\lvjo0913e.dll -> Adware.Look2Me : Nettoyer et sauvegarder

C:\WINDOWS\system32\nzlsapi.dll -> Adware.Look2Me : Nettoyer et sauvegarder

C:\WINDOWS\system32\senssrv.dll -> Downloader.Agent.afl : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Et le nouveau Hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 22:19:08, on 29/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\sstray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\systsec.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Nico\LOCALS~1\Temp\Rar$EX00.875\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe"

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: 1_32bean32_1reg - C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe