[résolu]analyse HijachThis SVP

[crag]

Logfile of HijackThis v1.99.1

Scan saved at 16:14:21, on 23/04/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\RmxvcmVuY2UgU0FOQ0hFWg\command.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Network Monitor\netmon.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\dll\rundll32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wssec.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\VERITAS Software\Update Manager\sgtray.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

C:\WINDOWS\System32\Isass.exe

C:\WINDOWS\System32\Sygate.exe

C:\WINDOWS\System32\eventwvr.exe

C:\WINDOWS\System32\d89efaf9.exe

C:\windows\system32\taskmgn.exe

C:\Program Files\webHancer\Programs\whagent.exe

C:\Program Files\webHancer\Programs\whsurvey.exe

C:\WINDOWS\System32\eventwvr.exe

C:\PROGRA~1\FICHIE~1\uoor\uoorm.exe

C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

C:\WINDOWS\System32\rundll32.exe

C:\PROGRA~1\FICHIE~1\uoor\uoora.exe

c:\kl1.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\tool2.exe

c:\Program Files\paytime.exe

c:\tool3.exe

C:\WINDOWS\System32\eventwvr.exe

C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"

O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NAV Agent] c:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [Microsoft ® Windows DLL Loader] C:\WINDOWS\dll\rundll32.exe

O4 - HKLM\..\Run: [Microsoft Update] Sygate.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [d89efaf9.exe] C:\WINDOWS\System32\d89efaf9.exe

O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe

O4 - HKLM\..\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsurvey.exe

O4 - HKLM\..\Run: [sysTray] c:\Program Files\paytime.exe

O4 - HKLM\..\RunServices: [Microsoft Update] Sygate.exe

O4 - HKLM\..\RunServices: [eventwvr] C:\WINDOWS\System32\eventwvr.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\System32\eventwvr.exe

O4 - HKCU\..\Run: [Microsoft Update] Sygate.exe

O4 - HKCU\..\Run: [d89efaf9.exe] C:\Documents and Settings\Propriétaire\Local Settings\Application Data\d89efaf9.exe

O4 - HKCU\..\Run: [uoor] C:\PROGRA~1\FICHIE~1\uoor\uoorm.exe

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://F:\AUTORUN\Flash\swflash.cab

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC3DCB92-57F1-4ADC-98DA-15D5041D3C97}: NameServer = 84.103.237.145 86.64.145.145

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\kt42l7ho1.dll

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll

O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\System32\mjgdklge.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RmxvcmVuY2UgU0FOQ0hFWg\command.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\WINDOWS\dll\rundll32.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)

Modifié le 26 avril 2006 par crag

[bruce lee]

bonjour crag,

 

 

dire bonjour c'est trop demandé!

 

expliqué tes problemes c'est trop demander aussi!

 

commence s'il te plait par suivre la procedure preliminaire et explique tes problemes bon courage:

 

ton log est infecté commence par suivre cette procedure:

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

auteur : megataupe

Modifié le 23 avril 2006 par bruce lee

[crag]

bonjour crag,

dire bonjour c'est trop demandé!

 

expliqué tes problemes c'est trop demander aussi!

 

 

Désolé

 

bonjour à toi Bruce Lee

 

pour expliquer un peu le problème:

 

Une croix blanche sur fond rouge est présente en bas à droite et il est indiqué "Your computer is infected"

 

Plusieurs sites internet s'ouvrent pour télécharger par exemple Webalize.

 

J'ai envoyré le rapport HijackThis pour quelqu'un m'aide.

 

Merci à toi Bruce Lee si tu peux m'aider.

[bruce lee]

re,

 

Désolé

 

c'est oublié

 

fais ce que j'ai marqué dans mon post precedent s'il te plait.

[crag]

re,

c'est oublié

 

fais ce que j'ai marqué dans mon post precedent s'il te plait.

Re salut

 

j'ai fait la manip indiquée plus avec Anti vir mais maintenant impossible d'aller sur adresse yahoo (cookie rejeté) et impossible d'accéder au forum de Zebulon. J'ai donc changé d'ordi pour continuer cet appel au secours.

 

Voici le rapport de HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:19:33, on 23/04/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\RmxvcmVuY2UgU0FOQ0hFWg\command.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\VERITAS Software\Update Manager\sgtray.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Program Files\webHancer\Programs\whagent.exe

C:\Program Files\webHancer\Programs\whsurvey.exe

C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe

O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NAV Agent] c:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [Microsoft ® Windows DLL Loader] C:\WINDOWS\dll\rundll32.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsurvey.exe

O4 - HKLM\..\RunServices: [Microsoft Update] Sygate.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\System32\eventwvr.exe

O4 - HKCU\..\Run: [Microsoft Update] Sygate.exe

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://F:\AUTORUN\Flash\swflash.cab

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\gp6ql3j51.dll

O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll

O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\System32\mjgdklge.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RmxvcmVuY2UgU0FOQ0hFWg\command.exe

O23 - Service: Windows Network Security Service (lsass) - Unknown owner - C:\WINDOWS\system\lsass.exe (file missing)

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)

O23 - Service: WsSec(wssec) (WsSec) - Unknown owner - C:\WINDOWS\system32\wssec.exe (file missing)

 

 

Merci de votre aide.

[bruce lee]

re,

 

ton PC est tres infecté (tu as de tout!!!)

mais ne t'inquiete pas on va en venir a bout, mais je te previens que la desinfection va etre longue.

 

analyse en cours retour dans 25 minutes

Modifié le 23 avril 2006 par bruce lee

[crag]

re,

 

ton PC est tres infecté (tu as de tout!!!)

mais ne t'inquiete pas on va en venir a bout, mais je te previens que la desinfection va etre longue.

 

analyse en cours retour dans 25 minutes

 

Merci d'avance Bruce Lee,

 

comme on dit : "Plus c'est long, plus c'est bon"

 

Alors allons-y !

 

@+

[bruce lee]

re,

 

 

 

1/ telecharge Lspfix http://www.cexx.org/lspfix.htm

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

webHancer

Toolbar888

Network Monitor

 

si ces programmes sont presents desinstallent les.

 

fais:

demarer executer services.msc repere Command Service

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

fais la meme manip avec ceux la:

 

Windows Network Security Service

Network Monitor

Windows Update Manager

WsSec

 

 

on va maintenant supprimer les services nefastes:

 

 

demarrer/executer/ cmd

 

execute cette commande qui est en citation sans le mot citation

 

sc delete Command Service

 

fais la meme manip pour ceux la:

 

Windows Network Security Service

Network Monitor

Windows Update Manager

WsSec

Network Monitor

 

4/lance hijackthis en cliquant sur do a scan system only coche ces lignes (si presente):

 

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe

O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll

O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

O4 - HKLM\..\Run: [Microsoft ® Windows DLL Loader] C:\WINDOWS\dll\rundll32.exe

O4 - HKLM\..\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsurvey.exe

O4 - HKLM\..\RunServices: [Microsoft Update] Sygate.exe

O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\System32\eventwvr.exe

O4 - HKCU\..\Run: [Microsoft Update] Sygate.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://F:\AUTORUN\Flash\swflash.cab

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll

O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\System32\mjgdklge.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RmxvcmVuY2UgU0FOQ0hFWg\command.exe

O23 - Service: Windows Network Security Service (lsass) - Unknown owner - C:\WINDOWS\system\lsass.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)

O23 - Service: WsSec(wssec) (WsSec) - Unknown owner - C:\WINDOWS\system32\wssec.exe (file missing)

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

6/

 

ATTENTION! pour:

 

lsass.exe ne supprime surtout pas celui qui est dans le system32

 

explorer.exe ne supprime surtout pas celui d'un autre dossier.

 

eventwvr.exe ne supprime surtout pas ce fichier eventvwr.exe

 

 

 

 

supprime ce qui est en gras:

 

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ ibm00019.exe<== le fichier

 

C:\WINDOWS\system\ lsass.exe<== le fichier

 

C:\Program Files\ webHancer<== tout le dossier

 

C:\Program Files\ Toolbar888<== tout le dossier

 

C:\WINDOWS\System32\ explorer.exe<== le fichier

 

C:\WINDOWS\ dll<== tout le dossier

 

C:\WINDOWS\System32\ eventwvr.exe<== le fichier

 

C:\WINDOWS\ RmxvcmVuY2UgU0FOQ0hFWg<== tout le dossier

 

C:\Program Files\ Network Monitor<== tout le dossier

 

 

7/Utilise LSPFix en mode sans echec

* coche la case devant I know what I'm doing

* Fais passer dans remove ce qui a trait a web hancer et surtout rien d'autre!!!

* Clique sur finish

 

8/redemarre en mode normal

 

9/poste un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

 

Merci d'avance Bruce Lee,

 

comme on dit : "Plus c'est long, plus c'est bon"

 

Alors allons-y !

 

@+

 

LOL si tu vois ca comme ca c'est bien

Modifié le 23 avril 2006 par bruce lee

[crag]

re,

1/ telecharge Lspfix http://www.cexx.org/lspfix.htm

 

crag : OK

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

crag : OK

 

3/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

webHancer

Toolbar888

Network Monitor

 

si ces programmes sont presents desinstallent les.

crag : OK sauf "Network Monitor has not been removed"

 

fais:

demarer executer services.msc repere Command Service

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

fais la meme manip avec ceux la:

 

Windows Network Security Service

Network Monitor

Windows Update Manager

WsSec

 

crag : OK

 

on va maintenant supprimer les services nefastes:

demarrer/executer/ cmd

 

execute cette commande qui est en citation sans le mot citation

fais la meme manip pour ceux la:

 

Windows Network Security Service

Network Monitor

Windows Update Manager

WsSec

Network Monitor

 

crag : A chaque fois j'ai eu "Openservice failed 1060 : le service spécifié n'existe pas en tant que service installé" sauf Pour WsSec => "Delete service success"

 

 

C'est bon je continue ou bien il y a un problème ??

[bruce lee]

re,

 

essaye avec ces noms la (en mode sans echec) et un a la fois:

 

cmdService

 

lsass

 

UpdateManager

 

@+ et bon courage

 

EDIT: si tu as d'autres problemes durant la procedure laisse de coté et continue la, quand tu posteras ton prochain rapport hijackthis, j'aimerai bien que tu me dises ce que tu as reussi et ce qui n'a pas marché

Modifié le 23 avril 2006 par bruce lee