[résolu] Merci d'avance pour l'analyse de mon fichier Hijackth

[voilier]

Voilà,

j'ai chopé une saleté sur le net, sur un site louche, je n'ai pas été attentif.

A chaque connexion avec internet explorer, j'arrive sur des sites quelquonques dont pornos.

Je n'arrive pas à éradiquer ce mal tout seul merci de m'aider :

 

ogfile of HijackThis v1.99.1

Scan saved at 01:42:25, on 30/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDET.EXE

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Documents and Settings\Olivier\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [Windows Registry Repair Pro] C:\Documents and Settings\Olivier\Bureau\Windows Registry Repair Pro\Windows Registry Repair Pro.exe -X

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O15 - Trusted Zone: http://www.secuser.com

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-30.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0DC8B91-F1A9-40EF-9ACF-5519A75DA7B5}: NameServer = 192.168.1.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Modifié le 12 juin 2006 par voilier

[Thanos]

salut voilier

 

Une petite question, as tu penser à nettoyer ton pc avec Antivir en mode sans échec comme montré dans la procédure zeb?=> http://forum.zebulon.fr/index.php?showtopic=83986

 

Peux tu lancer cet outil stp?=>

 

Télécharge Blacklight

 

Double-clique sur blbeta.exe .Coche la case I accept the agreement" puis clique sur "Next"

 

puis scan. Si il trouve quelque chose,avant de passer à l'option2; poste le rapport qui aura un nom

 

comme celui ci: fsbl.xxxxxxx.log (ou les x sont des chiffres),tu le trouvera sur le bureau.

 

Si tu as un souci quant à son utilisation, lis le tutoriel (merci à Malekal!)=> http://www.malekal.com/tutorial_f-secure_BlackLight.html

Modifié le 30 mai 2006 par charles ingals

[voilier]

Bonjour,

Excusez moi de répondre si tardivement

le scan a été long et je ne suis pas chez moi la journée.

 

J'ai effectué antivir en mode sans échec, il a trouvé un : suspicious code heuristic/ trojan qu'il a mis en quarantaine.

 

 

Et le rapport du second logiciel ci après :

 

3:10 [info]: BlackLight Engine 1.0.37 initialized

05/31/06 20:23:10 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/31/06 20:23:10 [Note]: 7019 4

05/31/06 20:23:10 [Note]: 7005 0

05/31/06 20:23:12 [Note]: 7006 0

05/31/06 20:23:12 [Note]: 7011 1372

05/31/06 20:23:12 [Note]: 7026 0

05/31/06 20:23:12 [Note]: 7026 0

05/31/06 20:23:16 [Note]: FSRAW library version 1.7.1015

05/31/06 20:23:31 [info]: Hidden file: c:\WINDOWS\system32\cshqg.exe

05/31/06 20:23:31 [Note]: 7002 32

05/31/06 20:23:31 [Note]: 7003 1

05/31/06 20:23:31 [Note]: 10002 1

05/31/06 20:23:32 [info]: Hidden file: c:\WINDOWS\system32\dmfqa.exe

05/31/06 20:23:32 [Note]: 7002 32

05/31/06 20:23:32 [Note]: 7003 1

05/31/06 20:23:32 [Note]: 10002 1

05/31/06 20:23:49 [info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe

05/31/06 20:23:49 [Note]: 10002 1

 

Merci de m'en dire plus

A+

[Thanos]

salut voilier

 

Blacklight a mis en évidence des fichiers cachés, mais pour lesquels on a aucune info!!

 

Pourrais tu stp les envoyer à l'adresse suivante pour analyse?=>

 

1) Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

2) Rend toi à l'adresse suivante : http://siri.urz.free.fr/upload

 

-utilise le bouton "Parcourir" pour chercher les fichiers suivants sur ton disque dur:

 

c:\WINDOWS\system32\cshqg.exe

c:\WINDOWS\system32\dmfqa.exe

 

3) Fais stp un scan de ton pc chez Panda :

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

avec ca un rapport fait avec hijackthis de cette manière=>

 

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

merci, @ + tard

[voilier]

Merci pour cette réponse précise,

Je n'ai pu expédier les fichiers car le système me dit qu'ils sont trop volumineux (plus de 600K je crois)

Ensuite, j'ai bien fait le scan avec panda

ci après le rapport généré :

 

Incident Statut Analyse

 

Adware:adware/cws No Désinfecté C:\Documents and Settings\Olivier\Favoris\Download Free Spyware Remover.url

Adware:adware/winprotect No Désinfecté c:\windows\balloon.wav

Adware:adware/emediacodec No Désinfecté Registre Windows

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\Olivier\Cookies\olivier@adultfriendfinder[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Olivier\Cookies\olivier@bluestreak[2].txt

Spyware:Cookie/MediaTickets No Désinfecté C:\Documents and Settings\Olivier\Cookies\olivier@kinghost[2].txt

Spyware:Cookie/PayCounter No Désinfecté C:\Documents and Settings\Olivier\Cookies\olivier@paycounter[1].txt

Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\Olivier\Cookies\[email protected][1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Olivier\Cookies\olivier@xiti[1].txt

Hacktool:HackTool/EvID No Désinfecté C:\Program Files\eChanblard\config\last.zip[EvID4226Patch.exe]

Hacktool:HackTool/EvID No Désinfecté C:\Program Files\eChanblard\EvID4226Patch.exe

 

 

Ensuite voici le rapport établit avec HijackThis :

 

StartupList report, 01/06/2006, 00:17:18

StartupList version: 1.52.2

Started from : C:\Documents and Settings\Olivier\Bureau\HijackThis.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

* Including empty and uninteresting sections

* Showing rarely important sections

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDET.EXE

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Olivier\Bureau\HijackThis.exe

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Startup:

[C:\Documents and Settings\Olivier\Menu Démarrer\Programmes\Démarrage]

*No files*

 

J'espère avoir été à la hauteur de votre réponse.

A+

Modifié le 31 mai 2006 par voilier

[Thanos]

salut voilier

 

excuse moi d'insister si tu ne peux les faire uploader, peux tu les faire analyser par les virusscans en ligne?

 

-Fais les analyser ici s'il te plait :

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

 

Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier cshqg.exe que tu trouveras en allant dans le dossier c:\WINDOWS\system32

 

Tu cliques une fois sur le fichier cshqg.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

 

Il est possible que tu reçoives ce message =>

"Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard!

 

fais de même avec celui ci=> c:\WINDOWS\system32\dmfqa.exe

 

Est ce que tu reçois un message qui apparait dans le barre des tâches te disant que ton pc est infecté?

 

Après avoir fait ceci,nettoie les fichiers découvert par le scan Panda comme ceci=>

 

Étape 1:

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Met Ewido à jour et quitte le programme.

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime le fichier en gras:

 

C:\Documents and Settings\Olivier\Favoris\Download Free Spyware Remover.url

 

*Supprime le fichier en gras dans C:\WINDOWS:

 

C:\WINDOWS\balloon.wav

 

*Supprime le fichier en gras dans C:\WINDOWS\Help:

 

C:\WINDOWS\Help\CHMRedir.chm

 

note:possible qu'il n'y soit pas, cherche le quand même!

 

*Supprime les fichiers en gras:

 

C:\Program Files\eChanblard\config\last.zip[EvID4226Patch.exe]

C:\Program Files\eChanblard\EvID4226Patch.exe

 

Étape 4:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 5:

 

*lance Ewido et clique sur "scanner" puis sur" scan complet du système".

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

Étape 6:

 

Redémarre normalement et recommence la manipulation avec hijackthis stp: le rapport n'est pas complêt!!(on doit notamment voir les services)

 

Je voudrais m'assurer que smitfraud n'est pas présent sur ton pc :

 

Télécharge SmitfraudFix ici => http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive smitfraudfix.zip sur ton bureau

Double clique sur smitfraudfix.cmd

Sélectionne 1 pour créer un rapport et rechercher les fichiers responsables de l'infection.

 

@+ tard

[voilier]

Après les analyses des deux fichiers sur virustotal ; il n'a rien trouvé

bizarrement je n'ai pas réussi à retrouver ces deux fichiers quand j'ai voulu faire pareilsur virusscan.jotti.org

J'ai donc décidé de continuer quand même les instructions.

J'ai supprimé les fichiers demandés sauf CHMRedir.chm introuvable.

Puis j'ai utilisé ATF-cleaner comme indiqué

lancé EWIDO toujours en mode sans échec

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 18:22:35, 01/06/2006

+ Somme de contrôle: 85FD12A9

 

+ Résultats du scan:

 

[184] VM_00D60000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[208] VM_00BF0000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[768] VM_009D0000 -> Downloader.Agent.uj : Erreur durant le nettoyage

 

 

 

 

::Fin du rapport

 

dernier rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:50:42, on 01/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDET.EXE

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Olivier\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [Windows Registry Repair Pro] C:\Documents and Settings\Olivier\Bureau\Windows Registry Repair Pro\Windows Registry Repair Pro.exe -X

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O15 - Trusted Zone: http://www.secuser.com

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-30.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0DC8B91-F1A9-40EF-9ACF-5519A75DA7B5}: NameServer = 192.168.1.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

J'ai pas vérifié si ça faisait toujours pareil avec internet explorer c'est à dire me rediriger vers des pages non voulues quand je fais une recherche par exemple avec google.

Par contre j'avais remarqué que si je click 3 fois au lieu d'une j'arrive sur la bonne page.

Bon Merci et A+

 

Je viens de vérifier ça fait toujours pareil et je suis arrivé deux fois de suite sur une page STOPZILLA si ça peut t'aiguiller !!!

Modifié le 1 juin 2006 par voilier

[Thanos]

salut voilier

 

Merci pour ces précisions c'est important!

Ewido a planté sur des fichiers qu'il n'est pas parvenu à éliminer: est il allé jusqu'au bout du scan?

concernant ces deux fichiers:

c:\WINDOWS\system32\cshqg.exe

c:\WINDOWS\system32\dmfqa.exe

 

refais la recherche et élimine les si tu les trouve!

 

J'aurais besoin d'un rapport fait avec Blacklight pour mettre en évidence des fichiers cachés:

 

1)-Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau .

 

Double-clique sur blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Par ailleurs, je te demandais ceci dans mon précédent message=>

 

Je voudrais m'assurer que smitfraud n'est pas présent sur ton pc :

 

Télécharge SmitfraudFix ici => http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive smitfraudfix.zip sur ton bureau

Double clique sur smitfraudfix.cmd

Sélectionne 1 pour créer un rapport et rechercher les fichiers responsables de l'infection.

Poste les deux rapports stp

[voilier]

Bonsoir ou bonjour,

 

Je désespère de trouver ces fameux fichiers qui ont semble t-il disparus de mon disque dur.

 

Voici le rapport de Blacklight

 

06/02/06 00:28:06 [info]: BlackLight Engine 1.0.37 initialized

06/02/06 00:28:06 [info]: OS: 5.1 build 2600 (Service Pack 2)

06/02/06 00:28:06 [Note]: 7019 4

06/02/06 00:28:06 [Note]: 7005 0

06/02/06 00:28:08 [Note]: 7006 0

06/02/06 00:28:08 [Note]: 7011 1396

06/02/06 00:28:08 [Note]: 7026 0

06/02/06 00:28:08 [Note]: 7026 0

06/02/06 00:28:13 [Note]: FSRAW library version 1.7.1015

06/02/06 00:28:27 [info]: Hidden file: c:\WINDOWS\system32\csymy.exe

06/02/06 00:28:27 [Note]: 7002 32

06/02/06 00:28:27 [Note]: 7003 1

06/02/06 00:28:27 [Note]: 10002 1

06/02/06 00:28:28 [info]: Hidden file: c:\WINDOWS\system32\dmteq.exe

06/02/06 00:28:28 [Note]: 7002 32

06/02/06 00:28:28 [Note]: 7003 1

06/02/06 00:28:28 [Note]: 10002 1

06/02/06 00:28:44 [info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe

06/02/06 00:28:44 [Note]: 10002 1

06/02/06 00:29:30 [Note]: 7007 0

 

Je n'ai pas vu l'option [X]scan though Windows Explorer donc j'ai fait Next directement

 

Voici ci après le rapport généré par smitfraudfix.cmd

 

SmitFraudFix v2.53

 

Rapport fait à 0:35:45,45, 02/06/2006

Executé à partir de C:\Documents and Settings\Olivier\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Olivier\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Olivier\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Merci d'avance

[Thanos]

re voilier

 

Bon Blacklight a mis les fichiers en évidence: ils ont changé de nom! Smitfraudfix , lui , n'a rien trouvé (tant mieux!).

Voilà ce que tu vas faire=>

 

-Télécharge la dernière version de Killbox ici et met le sur ton bureau.

 

Étape 1:

 

* Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

c:\WINDOWS\system32\csymy.exe

-Assure toi que la case "Delete on Reboot" soit cochée.

-Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON

 

puis tu copie/colle de la même façon le chemin du fichier suivant=>

c:\WINDOWS\system32\dmteq.exe

à la fin , le même message va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement.

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

* Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

note: le scan devrait aller jusqu'au bout!

 

Étape 4:

 

* Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido . Fais le rapport hijackthis comme je te demandais plus haut , mais poste le entier stp!!=>

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

allez courage, on va y arriver

Modifié le 1 juin 2006 par charles ingals