Sos !! Omcamcap.exe - log Hijack joint [résolu]

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Sos !! Omcamcap.exe - log Hijack joint [résolu]

ghunstaparadise

Salut à tous!

à mon grand malheur ce matin au réveil, des soucis!!

possible de me donner le processus de reparation SVP ?

voici le log

Logfile of HijackThis v1.99.1
Scan saved at 13:39:57, on 07/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\0mcamcap.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Nicolas\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\LOGICI~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: S'abonner avec l'agrégateur par défaut - C:\Documents and Settings\Nicolas\Application Data\RssBandit\iecontext_subscribefeed.htm
O8 - Extra context menu item: Tous Télécharger par ReGet Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Télécharger avec Re&Get Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\LOGICI~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Logiciels\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] e-c338.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocac [...] .0.0.6.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com [...] /mDKid.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://18807.kit.carpediem.fr/Pari [...] owarez.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/1.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\ir42l5ho1.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\logiciels\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

merci d'avance

nicolas

Message édité par ghunstaparadise le 07-05-2006 à 17:42:13

Publicité

eZula

Bonjour, télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis loption 1, il va lister tous les éléments nuisibles dans un rapport : poste le

ghunstaparadise

SmitFraudFix v2.40

Rapport fait à 14:23:59,67, 07/05/2006
Executé à partir de C:\Documents and Settings\Nicolas\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\secure32.html PRESENT !
C:\uniq PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\alexaie.dll PRESENT !
C:\WINDOWS\alxie328.dll PRESENT !
C:\WINDOWS\alxtb1.dll PRESENT !
C:\WINDOWS\azesearch.bmp PRESENT !
C:\WINDOWS\blue-bg.gif PRESENT !
C:\WINDOWS\BTGrab.dll PRESENT !
C:\WINDOWS\close-bar.gif PRESENT !
C:\WINDOWS\dlmax.dll PRESENT !
C:\WINDOWS\drsmartload95a.exe PRESENT !
C:\WINDOWS\newname?.exe PRESENT !
C:\WINDOWS\Pynix.dll PRESENT !
C:\WINDOWS\remove-spyware-btn.gif PRESENT !
C:\WINDOWS\susp.exe PRESENT !
C:\WINDOWS\warning-bar-ico.gif PRESENT !
C:\WINDOWS\win-sec-center-logo.gif PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\a.exe PRESENT !
C:\WINDOWS\system32\alxres.dll PRESENT !
C:\WINDOWS\system32\bridge.dll PRESENT !
C:\WINDOWS\system32\CWS_iestart.exe PRESENT !
C:\WINDOWS\system32\dailytoolbar.dll PRESENT !
C:\WINDOWS\system32\jao.dll PRESENT !
C:\WINDOWS\system32\mirarsearch_toolbar.exe PRESENT !
C:\WINDOWS\system32\questmod.dll PRESENT !
C:\WINDOWS\system32\runsrv32.dll PRESENT !
C:\WINDOWS\system32\taskdir.dll PRESENT !
C:\WINDOWS\system32\taskdir.exe PRESENT !
C:\WINDOWS\system32\taskdir~.exe PRESENT !
C:\WINDOWS\system32\tcpservice2.exe PRESENT !
C:\WINDOWS\system32\txfdb32.dll PRESENT !
C:\WINDOWS\system32\udpmod.dll PRESENT !
C:\WINDOWS\system32\winsrv32.exe PRESENT !
C:\WINDOWS\system32\wstart.dll PRESENT !
C:\WINDOWS\system32\zlbw.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicolas\Application Data

C:\Documents and Settings\Nicolas\Local Settings\Application Data\SpywareSheriff PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Nicolas\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\system32\\ad.html"
"SubscribedURL"=""
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="http://www.icom-album.com/kittin/sites/fo/images/telechargements/desktop_01_1024.jpg"
"SubscribedURL"="http://www.icom-album.com/kittin/sites/fo/images/telechargements/desktop_01_1024.jpg"
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="http://dali.karelia.ru/images/works/1983_02.jpg"
"SubscribedURL"="http://dali.karelia.ru/images/works/1983_02.jpg"
"FriendlyName"=""

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

eZula

avant de passer à la suite, quel est ton antivirus, quel est ton pare-feu ?
car rien de tout cela n'est activé au démarrage, ce qui signifie que tu n'as aucune protection résidente.

ghunstaparadise

pare feu windows SP2
aucun antivirus car j'ai jamais de virus habituellement, je n'ai pas formaté mon pc depuis 3ans egalement
je desastive tous les trucs de demarrage comme ca je suis tranquil
meme en surfant 24/24h certains vont faire des bons mais dslé je n'ai jamais de soucis ...

là je me suis provoquer ce soucis g desactivé le bloqueur de fenetre intenpestives en cherchant un crack pour un logiciel

ghunstaparadise

up !

eZula

je ne suis pas sur que ce topic fasse long feu...

En mode sans échec

Lance HJT et coche ces lignes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] e-c338.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocac [...] .0.0.6.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://18807.kit.carpediem.fr/Pari [...] owarez.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/1.cab

clique sur "fix checked"

supprime ce fichier C:\WINDOWS\system32\0mcamcap.exe

vide la corbeille et tes répertoires temporaires

Lance Smitfraudfix -> option 2 -> réponds oui à tout

Redémarre normalmeent. Poste un nouveau log HJT ainsi que le contenu du fichier C:\rapport.txt

Restera look2me, théoriquement.

Message cité 1 fois

ghunstaparadise

eZula a écrit :

je ne suis pas sur que ce topic fasse long feu...

pas si sur!

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:44:37, on 07/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Nicolas\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\LOGICI~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: S'abonner avec l'agrégateur par défaut - C:\Documents and Settings\Nicolas\Application Data\RssBandit\iecontext_subscribefeed.htm
O8 - Extra context menu item: Tous Télécharger par ReGet Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Télécharger avec Re&Get Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\LOGICI~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Logiciels\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com [...] /mDKid.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\q0nula591d.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\logiciels\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Citation :

SmitFraudFix v2.40

Rapport fait à 15:40:21,90, 07/05/2006
Executé à partir de C:\Documents and Settings\Nicolas\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\secure32.html supprimé
C:\uniq supprimé
C:\WINDOWS\alexaie.dll supprimé
C:\WINDOWS\alxie328.dll supprimé
C:\WINDOWS\alxtb1.dll supprimé
C:\WINDOWS\azesearch.bmp supprimé
C:\WINDOWS\blue-bg.gif supprimé
C:\WINDOWS\BTGrab.dll supprimé
C:\WINDOWS\close-bar.gif supprimé
C:\WINDOWS\dlmax.dll supprimé
C:\WINDOWS\drsmartload95a.exe supprimé
C:\WINDOWS\newname??.exe supprimé
C:\WINDOWS\Pynix.dll supprimé
C:\WINDOWS\remove-spyware-btn.gif supprimé
C:\WINDOWS\susp.exe supprimé
C:\WINDOWS\warning-bar-ico.gif supprimé
C:\WINDOWS\win-sec-center-logo.gif supprimé
C:\WINDOWS\system32\a.exe supprimé
C:\WINDOWS\system32\alxres.dll supprimé
C:\WINDOWS\system32\bridge.dll supprimé
C:\WINDOWS\system32\CWS_iestart.exe supprimé
C:\WINDOWS\system32\dailytoolbar.dll supprimé
C:\WINDOWS\system32\jao.dll supprimé
C:\WINDOWS\system32\mirarsearch_toolbar.exe supprimé
C:\WINDOWS\system32\questmod.dll supprimé
C:\WINDOWS\system32\runsrv32.dll supprimé
C:\WINDOWS\system32\taskdir.dll supprimé
C:\WINDOWS\system32\taskdir.exe supprimé
C:\WINDOWS\system32\taskdir~.exe supprimé
C:\WINDOWS\system32\tcpservice2.exe supprimé
C:\WINDOWS\system32\txfdb32.dll supprimé
C:\WINDOWS\system32\udpmod.dll supprimé
C:\WINDOWS\system32\wstart.dll supprimé
C:\WINDOWS\system32\zlbw.dll supprimé
C:\Documents and Settings\Nicolas\Local Settings\Application Data\SpywareSheriff\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

lorsque je fais Ctrl+Alt+Sup, je n'ai plus la barre avec les onglets de la fenetre !!

et ce truc est bizarre !

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

Message cité 1 fois
Message édité par ghunstaparadise le 07-05-2006 à 15:53:26

eZula

ghunstaparadise a écrit :

pas si sur!

espérons alors

Citation :

lorsque je fais Ctrl+Alt+Sup, je n'ai plus la barre avec les onglets de la fenetre !!

double clique dans la partie grisée au-dessus de "nom de l'image"

Citation :

et ce truc est bizarre !
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

non rien de méchant. Ce fichier est bien présent et est lié à msn

la suite : Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix.
Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=7

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
* Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

#Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Message édité par eZula le 07-05-2006 à 15:58:21

ghunstaparadise

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 16:24:24, on 07/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Nicolas\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Logiciels\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\LOGICI~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: S'abonner avec l'agrégateur par défaut - C:\Documents and Settings\Nicolas\Application Data\RssBandit\iecontext_subscribefeed.htm
O8 - Extra context menu item: Tous Télécharger par ReGet Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Télécharger avec Re&Get Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\LOGICI~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Logiciels\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com [...] /mDKid.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\logiciels\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Citation :

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 07/05/2006 16:12:29

Infected! C:\WINDOWS\system32\lvpo0973e.dll
Infected! C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1119\A0173247.dll
Infected! C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1119\A0173295.dll
Infected! C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173377.dll
Infected! C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173412.dll
Infected! C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173416.dll
Infected! C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173425.dll
Infected! C:\WINDOWS\system32\en44l1hq1.dll
Infected! C:\WINDOWS\system32\kkdhe.dll
Infected! C:\WINDOWS\system32\lvpo0973e.dll
Infected! C:\WINDOWS\system32\SinTPCoI.dll
Infected! C:\WINDOWS\system32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\lvpo0973e.dll
C:\WINDOWS\system32\lvpo0973e.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1119\A0173247.dll
C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1119\A0173247.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1119\A0173295.dll
C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1119\A0173295.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173377.dll
C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173377.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173412.dll
C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173412.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173416.dll
C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173416.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173425.dll
C:\System Volume Information\_restore{7342A082-FF50-45E6-B589-67072023AC62}\RP1121\A0173425.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\en44l1hq1.dll
C:\WINDOWS\system32\en44l1hq1.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\kkdhe.dll
C:\WINDOWS\system32\kkdhe.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\lvpo0973e.dll
C:\WINDOWS\system32\lvpo0973e.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\SinTPCoI.dll
C:\WINDOWS\system32\SinTPCoI.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\guard.tmp Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3A59A3FB-6E2C-4E0E-8EC8-D257EDD6E271}"
HKCR\Clsid\{3A59A3FB-6E2C-4E0E-8EC8-D257EDD6E271}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file

Restoring SeDebugPrivilege for Administrateurs - Succeeded

par contre j'ai des gros icones dans la zone de lancement rapide !

Message cité 1 fois

Publicité

eZula

ghunstaparadise a écrit :

par contre j'ai des gros icones dans la zone de lancement rapide !

depuis quand et quoi ?

Outils/options internet/ "supprimer les fichiers", "supprimer les cookies" et poste un rapport Panda
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

Message cité 1 fois

ghunstaparadise

eZula a écrit :

depuis quand et quoi ?

Outils/options internet/ "supprimer les fichiers", "supprimer les cookies" et poste un rapport Panda
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

le rapport arrive !

en attendant une autre surprise je ne sais pas qi c'est depuis que j'ai desactivé les services non microsoft dans msconfig

cela arrive des que je connecte MSN

ghunstaparadise

Citation :

Incident Statut Analyse

Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4ef836e7-26b31655.zip[BlackBox.class]
Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4ef836e7-26b31655.zip[VerifierBug.class]
Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4ef836e7-26b31655.zip[Dummy.class]
Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-4ef836e7-26b31655.zip[Beyond.class]
Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-da64f2a-2c3094f0.zip[BlackBox.class]
Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-da64f2a-2c3094f0.zip[VerifierBug.class]
Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-da64f2a-2c3094f0.zip[Dummy.class]
Virus:Exploit/ByteVerify Désinfecté C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-da64f2a-2c3094f0.zip[Beyond.class]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Nicolas\Bureau\l2mfix.exe[l2mfix/Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Nicolas\Bureau\SmitfraudFix\SmitfraudFix\Process.exe
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Nicolas\Local Settings\Temp\Cookies\nicolas@xiti[1].txt

eZula

je sais pas ce que c'est. Dans le doute je dirais "annuler", reste à voir si ça t'empeche de faire quoiquecesoit avec msn.

De toutes manières dans l'immédiat, on regarde où ça en est avec les malwares.

Sinon pour le gestionnaire des taches, c'est réglé ?

ghunstaparadise

qu'est ce qu'un malwares ? = spywares ?

eZula

oui c'est aussi un virus, un adware, dialer... c'est un terme assez vaste pour désigner l'ensemble des parasites qui hantent nos ordis.

Solution, pour le scan Panda (tu t'en sors bien en fait) :

Vide le contenu de ce dossier (mode sans échec si nécessaire) :
C:\Documents and Settings\Nicolas\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar

Mets à jour ta version de Java http://www.java.com/fr/download/windows_xpi.jsp
et tu choisis "Windows (Installation hors ligne) (taille du fichier: 16.00 MB))" et tu l'installes

Tu peux supprimer SmitfraudFix et look2medestroyer.exe.

ghunstaparadise

tres bien ! ok pour gestionnaires des taches, c'etait bien ca !

java : update 6 OK, suppression de l'update 4

mes icones de lancement rapide toujours gros! je ne sais pas d'ou cela vient !

puis je supprimer panda activescan ? peut etre cela remmettra mes icones en place !

ghunstaparadise

non finalement je n'arrive pas à resoudre ce probleme !

eZula

Pour Panda : Ajout/supp de programmes : désinstalle "Panda Active Scan"
Supprime le dossier C:\WINDOWS\system32\ActiveScan et supprime l'objet "activeScan installer class" dans C:\WINDOWS\Downloaded Program Files\

pour les icones essaye de les supprimer tous d'abord, et de recréer les raccourcis pour voir.

ghunstaparadise

est ce normal ?

eZula

je sais pas. C'est pas bien grave si ça fonctionne (animations flash par exemple) ; si tu les supprimes, dès que tu en auras besoin, ils te seront proposés en téléchargement.
Essaye éventuellement clic droit/mettre à jour sur ceux qui sont endommagés.

ghunstaparadise

ah les icones OK, c'est vicieux

j'ai etiré la barre des taches, j'avais de l'espace libre pour faire un click droit et là je peux regler la taille des ces icones!

bon merci pour tout!

eZula

de rien, à +

Publicité

FORUM HardWare.fr

Windows & Software

Sécurité

Sos !! Omcamcap.exe - log Hijack joint [résolu]

Sujets relatifs
Problème d'affichage sur excel [résolu]	problème "double-clic "dans explorer agaçant [résolu]
[FTP] Probleme de config (résolu)	demande d'analyse hijack this
connexion wifi freebox [résolu]	problème de démarrage (presque résolu)
[RESOLU] WSUS (self update)	[RESOLU] - [Word 2003] - Revenir aux styles par défaut
[Résolu] Partage internet via Wifi (cas particulier)	[Résolu] SBS 2k3 SP1 : Impossible de rejoindre un client au domaine
Plus de sujets relatifs à : Sos !! Omcamcap.exe - log Hijack joint [résolu]

Page générée en 0.095 secondes