Aller au contenu
lesvirus-c-relou

analyse du rapport Hijackthis suite au pré nettoyage

Messages recommandés

bonjour a tous, donc suite a l intrusion de mon systeme par de petits ou grands malfaiteurs je viens a vous pour me venir en aide!

alors suite au pré nettoyage avec antivir(2virus trouvés et supprimés) j ai fait le scan avec hijackthis qui donne ca:

 

ps: suite au rapport de hijackthis, je me connecte pour venir ici et avast me trouve un cheval de troie(le meme que d habitude qui revient ttes les 30mn environ, meme mis en quarantaine ou supprimé il revient et est nommé zlob-bn)

 

pleeeeaaase i need helppppp! je me debrouille en micro mais loin d etre expert surtout quand on rentre dans ce genre de discussions!

merci d avance!!

 

Logfile of HijackThis v1.99.1

Scan saved at 18:44:10, on 29/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\dcomcfg.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\jeff\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://r.wanadoo.fr/r/WGrecherche

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aliceadsl.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IEHlprObj Class - {1231425B-1C20-45C9-AEB9-7071DF694B31} - C:\WINDOWS\System32\mo030414s.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll

O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr

O15 - Trusted Zone: http://chat.msn.fr

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://videohd.m6.fr.ipercast.net/installer-hidden.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...2/OCI/setup.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1....g/GoogleNav.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.edipole.fr/kits/WebInstall.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab

O17 - HKLM\System\CS1\Services\Tcpip\..\{00E13A99-9DC2-4C57-9211-5A24E69BE46A}: NameServer = 212.216.212.112,212.216.172.62

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,

 

- Demarrer / executer / tape services.msc

- Cherche BOONTY dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

 

-- Télécharge SmitfraudFix

-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 1 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

-- Copie/colle le contenu du rapport ici

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,

 

- Demarrer / executer / tape services.msc

- Cherche BOONTY dans la liste

- Double clic dessus, positionne le type de démarrage sur désactiver

 

-- Télécharge SmitfraudFix

-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 1 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

-- Copie/colle le contenu du rapport ici

 

 

voila le rapport de smifraudfix:

merci pour ta reponse rapide

 

SmitFraudFix v2.50

 

Rapport fait à 19:16:43,98, 29/05/2006

Executé à partir de C:\Documents and

 

Settings\jeff\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\dcomcfg.exe PRESENT !

C:\WINDOWS\system32\ld????.tmp PRESENT !

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\regperf.exe PRESENT !

C:\WINDOWS\system32\simpole.tlb PRESENT !

C:\WINDOWS\system32\stdole3.tlb PRESENT !

C:\WINDOWS\system32\ts.ico PRESENT !

C:\WINDOWS\system32\1024\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jeff\Application

 

Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jeff\Favoris

 

C:\DOCUME~1\jeff\Favoris\Antivirus Test Online.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet

 

Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément

 

infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo

 

rer\SharedTaskScheduler]

"{0c7416f0-dd23-420f-97f5-aae352ea2bf1}"="glochid"

 

[HKEY_CLASSES_ROOT\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}

 

\InProcServer32]

@="C:\WINDOWS\system32\wfkduei.dll"

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{0c7416f0-dd23-420f-97f5

 

-aae352ea2bf1}\InProcServer32]

@="C:\WINDOWS\system32\wfkduei.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Partager ce message


Lien à poster
Partager sur d’autres sites

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

O2 - BHO: IEHlprObj Class - {1231425B-1C20-45C9-AEB9-7071DF694B31} - C:\WINDOWS\System32\mo030414s.dll (file missing)

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.edipole.fr/kits/WebInstall.dll

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 2 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

 

 

-- Redémarre en mode normal

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

 

-- Copie/Colle ici les rapports :

- SmitFraudfix: il se trouve dans le dossier de SmitFraudfix

- ainsi qu'un nouveau log HijackThis

Partager ce message


Lien à poster
Partager sur d’autres sites

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

O2 - BHO: IEHlprObj Class - {1231425B-1C20-45C9-AEB9-7071DF694B31} - C:\WINDOWS\System32\mo030414s.dll (file missing)

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.edipole.fr/kits/WebInstall.dll

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 2 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

-- Redémarre en mode normal

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

 

-- Copie/Colle ici les rapports :

- SmitFraudfix: il se trouve dans le dossier de SmitFraudfix

- ainsi qu'un nouveau log HijackThis

 

 

bonjour!

desolé pour la suite hier mé je devé partir bosser...

alors j en suis au scan avec kaspersky et je voulais savoir quel scan je devais faire? la zone critique ou mon pc, ou les deux :P... sinon ca a l air de fonctionner ce ke tu m a di de faire j ai plus d alertes d avast...c deja pa mal! ...la j ai lancé le scan computer....je pense kil doit ossi verifier la zone critique...

je te post les rapports des que c dispo genre debut d aprem

merci encore :P

Partager ce message


Lien à poster
Partager sur d’autres sites

salut malekal_morte

 

alors voila la suite des evenements c po glorieux! kasperspy a trouvé des trucs....

 

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, May 30, 2006 10:04:49 AM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 30/05/2006

Kaspersky Anti-Virus database records: 185283

 

 

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

A:\

C:\

D:\

E:\

 

Scan Statistics

Total number of scanned objects 87496

Number of viruses found 1

Number of infected objects 13

Number of suspicious objects 0

Duration of the scan process 01:38:58

 

Infected Object Name Virus Name Last Action

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059458.exe/stream/data0006 Infected: Trojan-Downloader.Win32.Zlob.pt skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059458.exe/stream/data0007 Infected: Trojan-Downloader.Win32.Zlob.pt skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059458.exe/stream Infected: Trojan-Downloader.Win32.Zlob.pt skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059458.exe NSIS: infected - 3 skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059458.exe UPX: infected - 3 skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059458.exe PE_Patch.UPX: infected - 3 skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059460.exe/stream/data0006 Infected: Trojan-Downloader.Win32.Zlob.pt skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059460.exe/stream/data0007 Infected: Trojan-Downloader.Win32.Zlob.pt skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059460.exe/stream Infected: Trojan-Downloader.Win32.Zlob.pt skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059460.exe NSIS: infected - 3 skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059460.exe UPX: infected - 3 skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059460.exe PE_Patch.UPX: infected - 3 skipped

 

C:\System Volume Information\_restore{7624FFE7-80BC-4AC9-B4C3-BFD9AD1BEDC4}\RP492\A0059554.exe Infected: Trojan-Downloader.Win32.Zlob.pt skipped

 

Scan process completed.

 

 

et voila smitfraudfix:

 

SmitFraudFix v2.50

 

Rapport fait à 7:39:13,71, 30/05/2006

Executé à partir de C:\Documents and Settings\jeff\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{0c7416f0-dd23-420f-97f5-aae352ea2bf1}"="glochid"

 

[HKEY_CLASSES_ROOT\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}\InProcServer32]

@="C:\WINDOWS\system32\wfkduei.dll"

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}\InProcServer32]

@="C:\WINDOWS\system32\wfkduei.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\dcomcfg.exe supprimé

C:\WINDOWS\system32\hp???.tmp supprimé

C:\WINDOWS\system32\ld????.tmp supprimé

C:\WINDOWS\system32\ot.ico supprimé

C:\WINDOWS\system32\regperf.exe supprimé

C:\WINDOWS\system32\simpole.tlb supprimé

C:\WINDOWS\system32\stdole3.tlb supprimé

C:\WINDOWS\system32\ts.ico supprimé

C:\WINDOWS\system32\1024\ supprimé

C:\DOCUME~1\jeff\Favoris\Antivirus Test Online.url supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

C:\WINDOWS\system32\wfkduei.dll -> Missing File

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

 

 

et enfin hijackthis:

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 10:11:41, on 30/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Documents and Settings\jeff\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet

 

Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =

 

Alice ADSL

R0 - HKCU\Software\Microsoft\Internet

 

Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-

 

784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0

 

\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-

 

CF10577473F7} - c:\windows\downloaded program

 

files\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

 

c:\windows\downloaded program files\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32

 

\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity

 

Solutions\AliceSAV\AliceAgent.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-

 

squared\a2guard.exe"

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk =

 

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais -

 

res://c:\windows\downloaded program

 

files\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel -

 

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées -

 

res://c:\windows\downloaded program

 

files\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires -

 

res://c:\windows\downloaded program

 

files\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google -

 

res://c:\windows\downloaded program

 

files\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle

 

disponible dans le cache Google - res://c:\windows\downloaded

 

program files\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-

 

00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-

 

11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-

 

00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-

 

11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr

O15 - Trusted Zone: http://chat.msn.fr

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class)

 

- http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj

 

Class) - http://videohd.m6.fr.ipercast.net/installer-hidden.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom

 

MDM ActiveX Control) -

 

http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan

 

Object) -

 

http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC}

 

(MessengerStatsClient Class) -

 

http://messenger.zone.msn.com/binary/Messe...AClient.cab3126

 

7.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper

 

Flags Class) -

 

http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} -

 

http://sib1.od2.com/common/Member/ClientIn...0.0002/OCI/setu

 

p.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload

 

Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} -

 

http://toolbar.google.com/data/fr/big/1.1....g/GoogleNav.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall

 

Control) -

 

http://a840.g.akamai.net/7/840/537/2004061...call.trendmicro.

 

com/housecall/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}

 

(MessengerStatsClient Class) -

 

http://messenger.zone.msn.com/binary/Messe...Client.cab31267.

 

cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan

 

Installer Class) -

 

http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

 

(MsnMessengerSetupDownloadControl Class) -

 

http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class)

 

- http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File

 

Upload Component) -

 

http://f002.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess

 

Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt

 

Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab

O17 - HKLM\System\CS1\Services\Tcpip\..\{00E13A99-9DC2-4C57-9211-

 

5A24E69BE46A}: NameServer = 212.216.212.112,212.216.172.62

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

 

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown

 

owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program

 

Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program

 

Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program

 

Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

 

Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

 

bon bon beh j attend de tes news pour le diagnostic doc' :P

c cool merci encore pour ton aide

Partager ce message


Lien à poster
Partager sur d’autres sites

Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP

 

Pour moi c'est OK, comment va le PC?

 

 

 

hello

 

alors c ok pour la restauration du systeme, c fé et tu penses que les derniers fichiers infectés que kaspersky a trouvé etaient ds les fichiers de restauration?

 

je dois faire un autre analyse kaspersky?ou j utilise avast....

 

merci pour ton aide

 

et je voulais te demander ossi si tu voyais des trucs avec ces rapports que je pourrai faire (ou défaire!)ou installer pour bien proteger mon pc ou autres....

 

merci encore

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×