Mozilla hijackthis RESOLU

[Gof]

J'attends le résultat de ton spybot maintenant,

 

A+ tard nyny34

[nyny34]

re

 

Pour le spybot je l'ai lancé en mode sans echec. J'avais 78 problèmes mais je les ai corrigés.

 

Il faut que j'en refface encore un?

[Gof]

Re

 

Non pour l'instant, ce n'est pas nécessaire. Supprime ce fichier :

 

C:\UNMT.EXE

 

Si tu ne peux pas, rapporte le moi.

 

Reposte un log HijackThis en mode normal stp, et pendant que je regarde à quoi il ressemble, je te demande de refaire un scan Panda.

 

J'espère que cela confirmera qu'il ne te reste plus rien d'infectieux !

 

N'hésite pas à me faire part des disfonctionnements que tu rencontres si tu en constates.

[nyny34]

toute compte fait j'ai refait un spybot j'en ai encore 20 (je m'en suis occupe, il en reste 3 qui partiront au redemarrage.)

 

J'ai pas trouvé le fichier unmt.exe (j'ai fait une recherche)

 

Par contre j'ai oublié de te dire que pour les options d'afichage de dossier caché j'ai remis tout en place ainsi que pour masquer (j'ai bien fait?)

 

le rapport d'hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 23:08:26, on 16/04/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Sygate\SPF\smc.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\ewido anti-malware\ewidoctrl.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\htpatch.exe

D:\WINDOWS\System32\RunDll32.exe

D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\MSN Messenger\msnmsgr.exe

C:\Mozilla Firefox\firefox.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [siSUSBRG] D:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [smcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"

O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunOnce: [spybotSnD] "D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D60AFDDF-D9F8-47A8-9AEA-20A3BD34362E}: NameServer = 86.64.145.140 84.103.237.140

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\ewido anti-malware\ewidoctrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe

 

[Gof]

Par contre j'ai oublié de te dire que pour les options d'afichage de dossier caché j'ai remis tout en place ainsi que pour masquer (j'ai bien fait?)

Ce n'est pas grave, du moment que tu me le dis. Réessaie en affichant les dossiers et fichiers cachés pour la suppression du fichier que je t'ai demandé au cas où :

 

-Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
   
2. Cocher le bouton radio : Afficher les fichiers et dossiers cachés
   
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
   
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
   
5. Cliquer Appliquer puis OK
   

 

Et supprime ce fichier :

 

C:\UNMT.EXE

 

Si tu ne le trouves pas, essaie en faisant une recherche comme je te l'avais indiqué :

Pour effectuer la recherche, va dans Menu Démarrer, Rechercher, Rechercher des fichiers et dossiers. Copie le nom du fichier dans 'une partie ou l'ensemble du nom du fichier, sélectionne Poste de travail dans "rechercher dans". Modifie les options avancées comme indiqué sur l'image ici).

 

Pendant que je regarde ton log, n'oublie pas le scan Panda

 

Tu es très courageuse, félicitations ce n'est pas le cas de tout le monde...

[nyny34]

non j'avais pas oublié panda je te rassure

 

Incident Statut Analyse

 

Spyware:Cookie/TopConvert No Désinfecté D:\Documents and Settings\LocalService\Cookies\[email protected][1].txt

Spyware:Cookie/Xiti No Désinfecté D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt[]

Spyware:Cookie/Bluestreak No Désinfecté D:\Documents and Settings\tania\Cookies\tania@bluestreak[2].txt

Spyware:Cookie/Weborama No Désinfecté D:\Documents and Settings\tania\Cookies\tania@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté D:\Documents and Settings\tania\Cookies\tania@xiti[1].txt

Adware:adware/mediatickets No Désinfecté D:\WINDOWS\re12.reg

[Gof]

Zut, il reste toujours ce REG !

 

Toujours en t'assurant que tu as l'accès aux dossiers et fichiers cachés, surrpime ce fichier :

 

D:\WINDOWS\re12.reg

 

Sinon ton log est propre. Courage, on avance !

 

N'oublie pas de me dire si tu as pu supprimé le REG plus haut, et si tu as pu supprimé le UNMT.EXE

[nyny34]

ça y est j'ai supprimé re12.reg et je pense que pour UNMT.EXE c'est parti aussi car il était dans reg

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SYSTRAY"="C:\\UNMT.EXE" enfin je pense que c'est ça.

 

J'attend la suite

[Gof]

Bien ! Mais le re12.reg appelle le UNMT.EXE !

 

Tu as supprimé le REG ; assure toi que le EXE n'est plus présent.

 

Pour rappel, il semblerait qu'il est dans :

 

C:\UNMT.EXE .

 

Dis moi ce qu'il en est s'il te plaît

[nyny34]

il n'est nul part, désolé

Peut être qu'il n'a pas été mis?

 

Par contre, pour les rapports de procédure je t'avais mis les messages d'erreur, tu m'as pas dit ce que tu en pensais, c'est normal ou pas (j'ai quand même choppé riched20.dll et vu qu'il peut modifier des trucs)