problème de trojans... désespéré

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : problème de trojans... désespéré

Oyvind

Alors voilà je fais court, simple précis. Cela fait deux jours que je me bats contre des infections de différents trojans que mon anti-virus norton 2003 semble supprimer automatiquement (c'est ce qui est écrit en tout cas je ne retrouve pas le fichier infecté par la suite...).
Malgré tout mon ordinateur rame de plus en plus et pas seulement pour internet et il semble y avoir de plus en plus d'infections même avec mes proections : norton 2003, zone alarm, kerio et j'utilise ad-aware pour scanner régulièrement mon ordinateur.
J'ai donc depuis deux jours chercher désespérément sur internet la solution qui me sauverait et après en avoir essayé plusieurs le résultat n'est pas concluent et je suis toujours infecté par des trojans (au début c'était un backdoor qui téléchargeait freeprod nottament et maintenant c'est je ne sais pas quoi =/ ).
Donc pour conclure si je me suis débarassé du trojan c'est que j'ai quand même réussi à faire quelque chose mais ça n'a pas suffit.

Voilà mon rapport hijackthis en espérant que quelqu'un que je remercie d'avance pourra m'aider (petite précision après je pense que j'aurai fait le tour, j'utilise windows XP familial non mis à jour puisque je n'ai pas encore pu prendre le service pack 2 )

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 20:24:38, on 10/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\wsscserv.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\SEMBLY~1\wuauclt.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Heth] "C:\WINDOWS\System32\SEMBLY~1\wuauclt.exe" -vt yazb
O4 - HKCU\..\Run: [Icuftbaw] C:\WINDOWS\system32\M?crosoft\l?ass.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.1-click.com/common/files/installer2.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 9885234781
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3F58C27-1971-4060-9AC6-C92A15640DBB}: NameServer = 84.103.237.144 86.64.145.144
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\mmc.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Publicité

Anthony10

Bonjour a tous,

* A la moindre interrogation, doute, probleme de ta part, pose moi ta question afin de suivre correctement les instructions.

* Il y a presence de 2 firewalls, Kerio et Zone Alarm, il te faut en desinstaller un.

* Télécharge et installe :

- Ewido http://www.ewido.net/fr/download/
- Durant l'installation
- Sur la page Additional Options
- Décoche Install background guardet et Install scan via context menu
- Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.

* Télécharge et installe ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

* Imprime ou enregistre les instructions dans un fichier texte puisque en mode sans echec, tu n'auras pas acces a Internet.

* S'assurer que tout les fichiers soient la :

Ouvre le poste de travail ou l'Explorateur Windows (ce que vous utilisez d'habitude pour visiter vos fichiers).

Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".

Vous trouverez ces réglages dans le cadre "Paramètres avancés" :

- Fichiers et dossiers cachés : cochez "Afficher les fichiers et dossiers cachés"
- Décochez "Masquer les extensions des fichiers dont le type est connu"
- Décochez "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation répondez "Oui"

* Redémarre ton PC en mode sans échec.

- En cas de difficulte, suis les intrusctions : http://perso.wanadoo.fr/jesses/Doc [...] sEchec.htm

* Enlever les lignes nefastes :

Relance HijackThis et clique sur Do a scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKCU\..\Run: [Heth] "C:\WINDOWS\System32\SEMBLY~1\wuauclt.exe" -vt yazb
O4 - HKCU\..\Run: [Icuftbaw] C:\WINDOWS\system32\M?crosoft\l?ass.exe
O4 - Startup: .protected
O4 - Global Startup: .protected

Ferme toutes les applications en cours sauf HijackThis et fais Fixed checked .

* Supprimez les mauvais fichiers :

Supprime les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.

C:\WINDOWS\ ALCXMNTR.EXE <= Le fichier
C:\WINDOWS\System32\ logon.exe <= Le fichier
C:\WINDOWS\System32\ explorer.exe <= Le fichier
C:\WINDOWS\System32\ SEMBLY~1 <= Le dossier commencant par SEMBLY
C:\WINDOWS\system32\M?crosoft\ l?ass.exe <= Le fichier

* Démarre ATF-Cleaner :

- Coche ceci :

* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

* Fais un scan avec Ewido
- Clique sur Scanner et choisir Scan complet du système
- Si des fichiers infectés sont trouvés, toujours les supprimer
- Le scan fini, sauver le rapport et le postez ici.

* Voir les resultats de la manipulation :

Redémarre ton ordinateur en mode normal et poste un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport d'Ewido.

Message édité par Anthony10 le 11-06-2006 à 02:05:24

can77

:pt1cable:

:jap: Anthony10 :jap:

Anthony10

Bonjour can77.

Que me vaut ton post ??

Oyvind

Alors tout d'abord merci à toi anthony10 d'avoir pris le temps de m'aider Les différentes manipulations se sont déroulées sans problème apparent mais je te laisse vérifier si tout est réellement réparé avec les différents rapports

le 1er rapport ewindo en mode sans échec

Citation :

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 22:53:41, 11/06/2006
+ Somme de contrôle: 27CFCAB6

+ Résultats du scan:

C:\Documents and Settings\Administrateur\lup.exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.NOM-IEMC2T8SHC7\Cookies\propriétaire@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.NOM-IEMC2T8SHC7\Cookies\propriétaire@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.NOM-IEMC2T8SHC7\Cookies\propriétaire@tacoda[1].txt -> TrackingCookie.Tacoda : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.NOM-IEMC2T8SHC7\Cookies\propriétaire@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.NOM-IEMC2T8SHC7\Cookies\propriétaire@www.burstbeacon[1].txt -> TrackingCookie.Burstbeacon : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur.NOM-IEMC2T8SHC7\lup.exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Cookies\propriétaire@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Cookies\propriétaire@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Cookies\propriétaire@tacoda[1].txt -> TrackingCookie.Tacoda : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Cookies\propriétaire@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Cookies\propriétaire@www.burstbeacon[1].txt -> TrackingCookie.Burstbeacon : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\lup.exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KDAR01MZ\wssc[1].exe -> Backdoor.Agobot.afk : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\M6SV98JD\wssc[1].exe -> Backdoor.Agobot.afk : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@tacoda[1].txt -> TrackingCookie.Tacoda : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@www.burstbeacon[1].txt -> TrackingCookie.Burstbeacon : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~5.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~D.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF10.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF4.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF9.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFA.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFE.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\lup.exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Yazzle1122OinAdmin.exe -> Trojan.Scapur.k : Nettoyer et sauvegarder
C:\Program Files\Norton AntiVirus\PATCH32I.exe -> Adware.Agent : Nettoyer et sauvegarder
C:\WINDOWS\system32\08225.exe -> Backdoor.SdBot.arz : Nettoyer et sauvegarder
C:\WINDOWS\system32\15464.exe -> Backdoor.Agobot.afk : Nettoyer et sauvegarder
C:\WINDOWS\system32\72457.exe -> Backdoor.SdBot.ars : Nettoyer et sauvegarder
C:\WINDOWS\system32\algs.exe -> Backdoor.PoeBot.c : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@tacoda[1].txt -> TrackingCookie.Tacoda : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Cookies\propriétaire@www.burstbeacon[1].txt -> TrackingCookie.Burstbeacon : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temp\Cookies\propriétaire@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R19SZGJO\sup[1].exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R19SZGJO\vt100[1].exe -> Trojan.Zapchast.ap : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\lup.exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
C:\WINDOWS\system32\dmdik.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\explorer.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\hcphiohkbc.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\WINDOWS\system32\Isass.exe -> Backdoor.PoeBot.c : Nettoyer et sauvegarder
C:\WINDOWS\system32\logon.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\lup.exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
C:\WINDOWS\system32\mmc.dll -> Adware.PurityScan : Nettoyer et sauvegarder
C:\WINDOWS\system32\mssvcc.exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
C:\WINDOWS\system32\Mіcrosoft\lѕass.exe -> Adware.PurityScan : Nettoyer et sauvegarder
C:\WINDOWS\system32\spoolsvc.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\tiqnmi.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\unethxnewvck.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\WINDOWS\system32\uwbn.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\uwykp.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\winlrqro.exe -> Trojan.Agent.po : Nettoyer et sauvegarder
C:\WINDOWS\system32\wnxl.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\wsscserv.exe -> Backdoor.Agobot.afk : Nettoyer et sauvegarder
C:\WINDOWS\Temp\~DF65.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder

::Fin du rapport

rapport hijackthis en mode normal après les différentes manip

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 15:08:29, on 12/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\mnsec.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~2F.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~31.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~2E.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~32.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~39.tmp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~42.tmp.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\windows\system32\msdntsrv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~45.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~46.tmp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [NAV CfgWiz] c:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0111332171
O17 - HKLM\System\CCS\Services\Tcpip\..\{58BAAEB4-E036-42A3-89E1-B19F7D149E32}: NameServer = 84.103.237.145 86.64.145.145
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

idem avec le rapport ewido

Citation :

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 14:45:34, 12/06/2006
+ Somme de contrôle: 9374599F

+ Résultats du scan:

[1832] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF34.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
[1840] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF35.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
[1860] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF36.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
[1872] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF38.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
[1928] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF3A.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
[164] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF44.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
[232] C:\WINDOWS\system32\mssvcc.exe -> Backdoor.Rbot.amz : Nettoyer et sauvegarder
[2056] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF47.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
[2088] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF48.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~11.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~14.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~15.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~17.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~19.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~1A.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~1B.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~1C.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~1D.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~1F.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~2A.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~2C.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~2D.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~2E.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~2F.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~30.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~32.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~33.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~35.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~39.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~41.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~42.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~45.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~46.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~C.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF16.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF17.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF18.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF1C.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF1D.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF1E.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF1F.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF20.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF22.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF23.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF24.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF25.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF26.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF27.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF2B.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF2E.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF2F.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF30.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF31.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF32.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF33.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF34.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF35.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF36.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF37.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF38.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF3A.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF3C.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF3E.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF42.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF44.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF47.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF48.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~F.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\WINDOWS\system32\bcrxerdhpsad.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\WINDOWS\system32\bxsek.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\iexplore.exe -> Dropper.Paradrop.a : Nettoyer et sauvegarder
C:\WINDOWS\system32\tjxzb.exe -> Worm.Bobic.n : Nettoyer et sauvegarder

::Fin du rapport

Anthony10

Bonjour.

Post un nouveau log Hijackthis car quelque chose me trouble.

Oyvind

Ben c'est un peu bizarre je trouve il y a des processus nouveaux en tmp.exe ça sort d'où ? sinon j'ai voulu mettre antivir car norton a eu qqes soucis et il a pas voulu l'installer car si j'ai bien lu il y a un fichier qui l'empêche de se mettre =/

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 11:36:21, on 13/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\mnsec.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\Program Files\VERITAS Software\Update Manager\sgtray.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\windows\system32\msdntsrv.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~84.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~7B.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~83.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~7E.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~7F.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~7C.tmp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\toulzlvy.exe
C:\WINDOWS\system32\zcmuuzpqb.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~93.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~92.tmp.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~94.tmp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [JMV] C:\WINDOWS\system32\hufibgcdoemlr.exe
O4 - HKLM\..\Run: [HMZU\] C:\WINDOWS\system32\zcmuuzpqb.exe
O4 - HKLM\..\RunServices: [JMV] C:\WINDOWS\system32\hufibgcdoemlr.exe
O4 - HKLM\..\RunServices: [HMZU\] C:\WINDOWS\system32\zcmuuzpqb.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: .protected
O4 - Global Startup: .protected
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0111332171
O17 - HKLM\System\CCS\Services\Tcpip\..\{58BAAEB4-E036-42A3-89E1-B19F7D149E32}: NameServer = 84.103.237.140 86.64.145.140
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Anthony10

Bonjour a tous,

* A la moindre interrogation, doute, probleme de ta part, pose moi ta question afin de suivre correctement les instructions.

* Télécharge et installe :

- Ewido http://www.ewido.net/fr/download/
- Durant l'installation
- Sur la page Additional Options
- Décoche Install background guardet et Install scan via context menu
- Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.

* Télécharge et installe ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

* Imprime ou enregistre les instructions dans un fichier texte puisque en mode sans echec, tu n'auras pas acces a Internet.

* S'assurer que tout les fichiers soient la :

Ouvre le poste de travail ou l'Explorateur Windows (ce que vous utilisez d'habitude pour visiter vos fichiers).

Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".

Vous trouverez ces réglages dans le cadre "Paramètres avancés" :

- Fichiers et dossiers cachés : cochez "Afficher les fichiers et dossiers cachés"
- Décochez "Masquer les extensions des fichiers dont le type est connu"
- Décochez "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation répondez "Oui"

* Redémarre ton PC en mode sans échec.

- En cas de difficulte, suis les intrusctions : http://perso.wanadoo.fr/jesses/Doc [...] sEchec.htm

* Enlever les lignes nefastes :

Relance HijackThis et clique sur Do a scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr7.hpwis.com/

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - HKLM\..\Run: [JMV] C:\WINDOWS\system32\hufibgcdoemlr.exe
O4 - HKLM\..\Run: [HMZU\] C:\WINDOWS\system32\zcmuuzpqb.exe
O4 - HKLM\..\RunServices: [JMV] C:\WINDOWS\system32\hufibgcdoemlr.exe
O4 - HKLM\..\RunServices: [HMZU\] C:\WINDOWS\system32\zcmuuzpqb.exe
O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - Startup: .protected
O4 - Global Startup: .protected

Ferme toutes les applications en cours sauf HijackThis et fais Fixed checked .

* Supprimez les mauvais fichiers :

Supprime les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.

C:\windows\system32\ msdntsrv.exe <= Le fichier
C:\WINDOWS\system32\ toulzlvy.exe <= Le fichier
C:\WINDOWS\system32\ zcmuuzpqb.exe <= Le fichier
C:\WINDOWS\system32\ hufibgcdoemlr.exe <= Le fichier

C:\DOCUMENT AND SETTINGS\PROPRI~1\LOCALS SETTINGS\Temp <= Selectionne tout ce qu'il a dedans et supprime tout.

* Démarre ATF-Cleaner :

- Coche ceci :

* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

* Fais un scan avec Ewido
- Clique sur Scanner et choisir Scan complet du système
- Si des fichiers infectés sont trouvés, toujours les supprimer
- Le scan fini, sauver le rapport et le postez ici.

* Voir les resultats de la manipulation :

Redémarre ton ordinateur en mode normal et poste un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport d'Ewido.

Oyvind

bonsoir

alors je n'ai pas pu terminer la manip car quoi que je fasse le dossier C:\DOCUMENT AND SETTINGS\PROPRI~1\LOCALS SETTINGS\Temp réapparait à chaque redémarrage alors que j'arrive à le supprimer après avoir tout d'abord mis fin aux processus qui sont lancés par les fichiers exe qu'il contient, donc j'aimerais bien réussir à le supprimer définitivement

le gros point positif est que grâce à toi internet marche à nouveau parfaitement le seul problème qui persiste et simple et précis : il y a des erreurs qui se créent quand je lance ou installe certains programmes, voici un exemple :

http://img481.imageshack.us/img481 [...] or20lc.jpg

Message édité par Oyvind le 14-06-2006 à 22:55:08

mixpay

Tu as surement un process dans ta base de registre qui recréer des fichiers verolé a chaque démarrage, et ça contribue a faire ramer ta machine.

Un petit tour dans la base de registre et tu vires tout ce que tu ne connais pas (un conseil fais un backup avant) :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

[HKEY_USERS\xxxxxx\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USERS\xxxxxx\Software\Microsoft\Windows\CurrentVersion\RunOnce]
xxxxxx étant le nom chiffré d'un utilisateur.

Pour toutes les clefs Une valeur = c:\Dossier\programme.exe

Tu vires tous les prog que tu ne connais pas, et tu n'oublies pas aussi d'aller sur ton dur pour supprimer les sources executables. Si tu ne peux pas les supprimers, je te conseil d'utiliser un live cd style bartpe ou une livecd linux si c'est une partition fat32

Message édité par mixpay le 15-06-2006 à 09:15:05

Publicité

Anthony10

Bonjour.

* Repost un log ijackthis et le rapport d'Ewido stp.

* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm

Tutorial a suivre ( provenant du site a Malekal_Morte ) :

http://www.malekal.com/scan_Av_en_ [...] ocId237368

* Apres, colle le rapport ici.

Oyvind

panda se ferme brusquement au bout du 100ème fichier et pourtant je suis bien les instructions O_o

rapport hijackthis au démarrage sans être connecté à internet

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 20:00:21, on 15/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~9.tmp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~E.tmp.exe
C:\Program Files\ewido anti-malware\SecuritySuite.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [JMV] C:\WINDOWS\system32\wervpssdot.exe
O4 - HKLM\..\RunServices: [JMV] C:\WINDOWS\system32\wervpssdot.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: .protected
O4 - Global Startup: .protected
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0111332171
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

idem avec ewido

Citation :

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 20:35:17, 15/06/2006
+ Somme de contrôle: 5EEC8FFD

+ Résultats du scan:

[1708] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DFC.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
[1100] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF12.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
:mozilla.39:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder
-> : Erreur durant le nettoyage
:mozilla.41:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder
:mozilla.42:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder
:mozilla.43:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder
-> : Erreur durant le nettoyage
:mozilla.45:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder
:mozilla.48:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Tribalfusion : Nettoyer et sauvegarder
:mozilla.53:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder
:mozilla.78:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
:mozilla.79:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.80:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
:mozilla.81:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
:mozilla.91:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
:mozilla.92:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
:mozilla.95:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.96:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.97:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.98:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.99:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.100:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
:mozilla.101:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\0sgsawfc.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~1.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~17.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~18.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~19.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~1B.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~1D.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~3.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~4.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~6.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~8.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF10.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF11.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF12.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF1A.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF1C.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF1E.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF9.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFA.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFB.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFC.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFE.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFF.tmp -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~E.tmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\Program Files\vmntoolbar\uninstall.exe -> Adware.VMN : Nettoyer et sauvegarder
C:\WINDOWS\system32\dblrocpji.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\WINDOWS\system32\keupr.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\WINDOWS\system32\mabtshnxmp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\WINDOWS\system32\vgalhtqdckjbnp.exe -> Worm.Bobic.n : Nettoyer et sauvegarder
C:\WINDOWS\system32\wervpssdot.exe -> Worm.Bobic.n : Nettoyer et sauvegarder

::Fin du rapport

Anthony10

Bonjour.

Télécharge Hoster:

http://www.funkytoad.com/download/hoster.zip

Procédure :

Ouvrez le logiciel et cliquez sur « Restore Original Hosts » puis validez.

Repost un nouveau log Hijackthis.

Message édité par Anthony10 le 16-06-2006 à 11:22:02

Oyvind

nouveau log :

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 02:49:47, on 17/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - HKLM\..\Run: [HMZU\] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~E.tmp.exe
O4 - HKLM\..\Run: [JMV] C:\WINDOWS\system32\gihpqhsm.exe
O4 - HKLM\..\Run: [PrevxOne] C:\Program Files\Prevx1\PXConsole.exe
O4 - HKLM\..\RunServices: [JMV] C:\WINDOWS\system32\gihpqhsm.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0111332171
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58BAAEB4-E036-42A3-89E1-B19F7D149E32}: NameServer = 86.64.145.140 84.103.237.140
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

the bruce lee

bonjour,

anthony m'a chargé de prendre la suite.

- Télécharge
The Hoster http://www.funkytoad.com/download/hoster.zip
dézippe le fichier dans un dossier nommé
C:\Hoster

Utilise Hoster, Cliquer sur restore microsoft's original hosts file ensuite tu cliques sur
Ok

Repost un ensuite un nouveau log hijackthis

catbird

apparemment vous vous y connaissez en la matiere ,donc mon probleme est le suivant :mon antivirus(norton)a mis en quarantaine ibm00006.exe et du coup je n'ai plus acces à documents,recherche ,etc... puis je le réinstallé,(infecté par trojan anserin)?

the bruce lee

bonjour catbird,

créer toi ton propre sujet, tu es tombé sur un beau keylogger, ne te connecte pu sur un site de banque et ne fais pas de transfert d'argent tant que la bestiole ne sera pas enlever.

catbird

keylogger c'est quoi,et efectivement je vais surmon site de banque via internet qu'est ce que je risque?

the bruce lee

tu risques de faire pirater ton mot de passe et tes identifiants, donc n'y va plus tant que ton PC ne sera pas totalement desinfecté.

catbird

alors qu'est-ce que je dois faire pour le désinfecter?

the bruce lee

creer ton propre sujet pour commencer.

catbird

c'est à dire...?

catbird

désolée mais je suis nouvelle sur le forum et je ne comprends pas tout alors aidez moi svp

the bruce lee

retourne a la section securité, tout en haut tu cliques sur nouveau sujet, dedans tu expliques tes problemes et tu envoies le sujet.

Message édité par the bruce lee le 22-06-2006 à 13:58:40

Publicité

FORUM HardWare.fr

Windows & Software

Sécurité

problème de trojans... désespéré

Sujets relatifs
Problème après formatage	[ Problème de PING ] - Resolution DNS
Encore un problème de profile itinérant	Probleme sous XP : ecran bleu lié à WGA
Problème avec Notepad++	probleme d'installation Windows98SE
probleme spyware et autre	Problème d'installation Windows XP Sp2 Pro
Problème de NAT avec freebox HD	Problème backweb
Plus de sujets relatifs à : problème de trojans... désespéré

Page générée en 0.090 secondes