saangoku93

[saangoku93]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cyber\Application Data\Mozilla\Firefox\Profiles\88snfrib.Utilisateur par défaut\cookies.txt[.xiti.com/]

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Cyber\Application Data\Mozilla\Firefox\Profiles\88snfrib.Utilisateur par défaut\cookies.txt[.atdmt.com/]

Spyware:Cookie/fe.lea.lycos No Désinfecté

 

Spyware:Cookie/Valueclick No Désinfecté C:\Documents and Settings\Cyber\Application Data\Mozilla\Firefox\Profiles\88snfrib.Utilisateur par défaut\cookies.txt[.valueclick.com/]

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Cyber\Application Data\Mozilla\Firefox\Profiles\88snfrib.Utilisateur par défaut\cookies.txt[ad.yieldmanager.com/]

Spyware:Cookie/Tribalfusion No Désinfecté

 

C:\Documents and Settings\Cyber\Application Data\Mozilla\Firefox\Profiles\88snfrib.Utilisateur par défaut\cookies.txt[.tribalfusion.com/]

Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Cyber\Application Data\Mozilla\Profiles\default\7xnxi8kv.slt\cookies.txt[.atwola.com/]

 

Adware:Adware/Ucmore No Désinfecté C:\Documents and Settings\Cyber\TP.html

Virus:Bat/Ydos Désinfecté C:\Documents and Settings\Cyber\x.bat

 

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\Invité\Cookies\invité@belnk[2].txt

Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\NetworkService\Application Data\Mozilla\Firefox\Profiles\nntmcza6.default\cookies.txt[.toplist.cz/]

Virus Eventuel. No Désinfecté C:\Program Files\EA SPORTS\FIFA 06\drc.exe

 

Hacktool:HackTool/EvID No Désinfecté C:\Program Files\Fichiers communs\Synacast\SynaLive\EvID4226Patch.exe

Virus Eventuel. No Désinfecté C:\Program Files\GameShadow\GameShadow.exe

 

Virus:Trj/Agent.BLZ Désinfecté C:\Program Files\pcast\PodcastbarMini\PcastUpdate.dll

Hacktool:HackTool/EvID No Désinfecté C:\Program Files\PPLive TV\SynaLiveSetup.exe[EvID4226Patch.exe]

 

Virus:Trj/Multidropper.HZ Désinfecté C:\WINDOWS\a.reg

Virus Eventuel. No Désinfecté C:\WINDOWS\Downloaded Installations\{F0E17431-0E05-4EF2-917A-FCBCA31462AC}\GameShadow.msi[unk_0069][gameshadow.exe]

 

Adware:adware/gator No Désinfecté C:\WINDOWS\GatorPatch.log

Adware:adware/cws.searchmeup No Désinfecté C:\WINDOWS\kl.exe

 

 

Adware:adware/secure32 No Désinfecté C:\WINDOWS\secure32.html

Adware:adware program No Désinfecté C:\WINDOWS\ss3unstl.exe

 

irus:W32/Sdbot.ftp Désinfecté C:\WINDOWS\system32\o

Virus:W32/Sdbot.ftp Désinfecté C:\WINDOWS\system32\oo

 

Virus:Trj/Agent.BLZ Désinfecté C:\WINDOWS\system32\PcastUpdate.dll

Adware:Adware/Ucmore No Désinfecté C:\WINDOWS\system32\TP.html

 

Virus:Bat/Ydos Désinfecté C:\WINDOWS\system32\x.bat

Virus:W32/Sdbot.ftp Désinfecté C:\WINDOWS\system32\y

 

Adware:adware/cws No Désinfecté C:\WINDOWS\tool2.exe

Adware:Adware/WebHancer No Désinfecté C:\WINDOWS\whAgent.inf

 

Adware:adware/webhancer No Désinfecté C:\WINDOWS\whInstaller.ini

Adware:adware/dyfuca No Désinfecté C:\WINDOWS\wsem303.dll

 

Log hijackthis

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:40:21, on 28/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

 

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

 

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

 

c:\program files\airdefense\airdefense personal enterprise agent\airdefense.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

 

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

 

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RunDll32.exe

 

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

 

:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AirDefense\AirDefense Personal Enterprise Agent\ADShell.exe

 

C:\Program Files\D-Link AirPlus\AirPlus.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Adobe\Adobe Photoshop CS2\Photoshop.exe

 

:\DOCUME~1\Cyber\LOCALS~1\Temp\Adobelm_Cleanup.0001

C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

C:\DOCUME~1\Cyber\LOCALS~1\Temp\Adobelm_Cleanup.0001

 

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\Cyber\Bureau\HijackThis.exe

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\Cyber\Application Data\Mozilla\Profiles\default\7xnxi8kv.slt\prefs.js)

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

 

3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

 

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

 

4 - HKLM\..\Run: [softPerfect Personal Firewall] "C:\Program Files\SoftPerfect Personal Firewall\fw.exe"

O4 - HKCU\..\Run: [pbmini] C:\Program Files\pcast\PodcastbarMini\PodcastBarMiniStater.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

 

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ADShell.lnk = ?

O4 - Global Startup: D-Link AirPlus.lnk = ?

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir avec GetRight - C:\Program Files\GetRight\GRbrowse.htm

 

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

 

O8 - Extra context menu item: Télecharger avec GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

 

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120318897171

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1135094529562

 

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{55D65F1D-9BFE-489B-BE44-49E7901EB8BA}: NameServer = 86.64.145.145 84.103.237.145

O17 - HKLM\System\CCS\Services\Tcpip\..\{9FB25F85-7CAC-46D6-A426-FD0F6F3D59A3}: NameServer = 193.252.19.3

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED56866F-A7A0-4BBD-B202-A55CBA9B1EE3}: NameServer = 193.252.19.3

O23 - Service: AirDefense Personal Service (ADFirewall) - AirDefense - c:\program files\airdefense\airdefense personal enterprise agent\airdefense.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

 

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

 

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

 

 

 

 

 

Voili voilou....

[bruce lee]

re,

 

il reste pas mal de besitole

 

on va commencer par smitfraud:

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

2/ Dézipper la totalité de l'archive sur ton bureau.

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

 

3/* Redemarrer l'ordinateur en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

* Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

redemarre en mode normal et post aussi le nouveau rapport

 

@+ et bon courage

[saangoku93]

Ok je fais ca tout de suite merci encore pour la rapidité de tes reponses

[saangoku93]

Premier rapport smitfraud:

 

SmitFraudFix v2.37

 

Rapport fait à 17:04:26,95, 28/04/2006

Executé à partir de C:\Documents and Settings\Cyber\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\kl.exe PRESENT !

C:\WINDOWS\secure32.html PRESENT !

 

C:\WINDOWS\tool1.exe PRESENT !

C:\WINDOWS\tool2.exe PRESENT !

C:\WINDOWS\tool3.exe PRESENT !

C:\WINDOWS\tool4.exe PRESENT !

 

C:\WINDOWS\tool5.exe PRESENT !

C:\WINDOWS\toolbar.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\paytime.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cyber\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Cyber\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!! Attention, les clés qui suivent ne sont pas forcément infectées !!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[bruce lee]

re,

 

bien fait de prendre smitfraud il a trouvé du beau monde, maintenant fait le reste c'est a dire ceci:

 

3/* Redemarrer l'ordinateur en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

* Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

redemarre en mode normal et post aussi le nouveau rapport

 

@+ bon courage

[saangoku93]

OLLLAALA , j'ai perdu le deuxieme rapport!!!!!!!!!!!!!!

mais je crois que ca disait que des fichiers etaient supprimés je crois que c'etait les meme noms que le premier rapport!

Desolé!!

 

 

EDIT : je l'ai refait et il ya rien

Modifié le 28 avril 2006 par saangoku93

[saangoku93]

SmitFraudFix v2.37

 

Rapport fait à 17:26:42,68, 28/04/2006

Executé à partir de C:\Documents and Settings\Cyber\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin.

 

Au fait j'ai toujours mes problemes!

Modifié le 28 avril 2006 par saangoku93

[bruce lee]

re,

 

ok, je regarde ton rapport de panda, retour dans 15 minutes

[bruce lee]

re,

 

1/Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

 

Installe le programme.

 

2/*télécharge lopremover

http://clairvoyant.p2pforum.it/tools/lopremover.zip

Dézippe le.

 

3/CWShredder :

http://www.trendmicro.com/cwshredder/

 

4/ déconnecté du net et toutes les applications en cours tu fais:

 

5/ tu lances CWShredder clique sur fix

 

6/Démarre ATF-Cleaner :

Coche ceci :

 

* Windows Temp

* Current User Temp

* All Users Temp

* Cookies

* Temporary Internet Files

* Prefetch

* Java Cache

* Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

7/ demarre en mode sans echec

 

 

 

8/ supprime ce qui est en gras:

 

C:\Documents and Settings\Cyber\TP.html <== le fichier

C:\WINDOWS\ GatorPatch.log <== le fichier

C:\WINDOWS\ ss3unstl.exe<== le fichier

C:\WINDOWS\system32\ TP.html<== le fichier

C:\WINDOWS\ whAgent.inf<== le fichier

C:\WINDOWS\ whInstaller.ini <== le fichier

C:\WINDOWS\ wsem303.dll<== le fichier

C:\Documents and Settings\All Users\Application Data\ eqbluerulesign<== tout le dossier

 

9/exécuter Lopremover

Tu le lances, tu inseres les chiffres dans la case,puis tu cliques sur UNINSTALL

 

10/ redemarre en mode normal, refais un scan chez panda, et post le rapport.

 

@+ et bon courage

Modifié le 28 avril 2006 par bruce lee

[saangoku93]

lopremover est signalé comme virus par avast!!!C'est le meme probleme qu'avec panda?