Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1286 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Rapport hijack this

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Rapport hijack this

n°2148422
pika84
Posté le 05-09-2005 à 20:48:49  profilanswer
 

Bonjour, mon pc rame pas mal en ce moment, j'ai fait un scan mais j'ai rien trouvé.
J'ai fait un rapport hijack this, merci de me dire ce que vous en pensez..
 
Logfile of HijackThis v1.99.1
Scan saved at 20:35:44, on 05/09/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\KeirNet\K9\K9.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\largier\Mes documents\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba3.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system32\prflbmsgp32.dll
O2 - BHO: (no name) - {FD62E275-C1AE-4177-936A-E2CE94832F3B} - C:\WINDOWS\System32\njkk.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Launch K9.lnk = C:\Program Files\KeirNet\K9\K9.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] cracks.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O18 - Filter: text/html - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O18 - Filter: text/plain - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
merci.

mood
Publicité
Posté le 05-09-2005 à 20:48:49  profilanswer
 

n°2148438
y@nnik
Posté le 05-09-2005 à 21:02:31  profilanswer
 

Trojan.startpage.  :d  
 
1-Télécharge About:Buster 5.0
Lance-le et clique sur "Update" puis patiente, la mise à jour se fait automatiquement. Enfin, ferme About:Buster.
 
2- Télécharge DelDomains.inf puis installe-le.(clic droit et choisis "Installer" )
 
3- Démarrer >> Exécuter. Dans le champ "ouvrir", tape :
regsvr32 /u SE.DLL
 
3- Lance HiJackThis, puis coche et fixe ces lignes si elles sont présentes en cliquant sur "fix checked" :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll/space.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll/space.html  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll  
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll  
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba3.dll  
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system32\prflbmsgp32.dll  
O2 - BHO: (no name) - {FD62E275-C1AE-4177-936A-E2CE94832F3B} - C:\WINDOWS\System32\njkk.dll (file missing)  
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall  
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan  
 
Redémarre ensuite ton PC en mode sans échec.
 
Passe trois fois About:buster en sauvegardant à chaque fois son log.  
 
Redémarre en mode normal et poste un log de HiJackThis et de About:buster. (les trois)
 
En attendant, tu peux aussi faire ceci :
Ouvre HijackThis et clique sur "Open the Misc tools section" open uninstall manager" et enfin, "save list". Copie/colle le contenu du fichier texte.

n°2149041
pika84
Posté le 06-09-2005 à 14:44:13  profilanswer
 

merci de ta reponse si rapide.
Je n'ai pas pu faire l'étape 3 : module spécifié introuvable.
 
sinon voici tout les logs :
 
log hijack this :
 
Logfile of HijackThis v1.99.1
Scan saved at 14:30:57, on 06/09/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\KeirNet\K9\K9.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\largier\Mes documents\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Launch K9.lnk = C:\Program Files\KeirNet\K9\K9.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] cracks.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O18 - Filter: text/html - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O18 - Filter: text/plain - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
log about buster :
 
AboutBuster 5.0 reference file 31
Scan started on [06/09/2005] at [14:16:51]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:17:26
 
 
AboutBuster 5.0 reference file 31
Scan started on [06/09/2005] at [14:26:12]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:26:39
 
 
AboutBuster 5.0 reference file 31
Scan started on [06/09/2005] at [14:26:52]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:27:19
 
 
uninstall list :
 
Adobe Acrobat Reader 3.01
Adobe Type Manager 4.0
Application Associative
ArcSoft PhotoStudio 2000
avast! Antivirus
Canon ScanGear Toolbox CS 2.2
Correctif Windows XP - KB842773
CuteFTP 5.0 XP
Gestass
HijackThis 1.99.1
Internet Update
K9
Macromedia Dreamweaver MX
Macromedia Extension Manager
Microsoft Excel 97
Microsoft Office 2000 CD-ROM 2
Microsoft Publisher 97
Microsoft Word 97
Nero 6 Ultra Edition
OmniPage Pro 9.0
QuarkXPress 6.1
Scan Manager 5.2
Search Assistant Uninstall
SodeaSoft Planning Pro 6 Evaluation
TOSHIBA e-STUDIO230-280 Client
WINASSO 4.05
ZoneAlarm
 
merci

n°2149475
y@nnik
Posté le 06-09-2005 à 20:32:09  profilanswer
 

Ok, tu n'avais pas de problème avec ta page de démarrage ?
Maintenant, coche et fixe ces lignes :
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe  
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall <-- je t'avais dit de fixer la ligne.  :/  
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] cracks.cab
O18 - Filter: text/html - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll  
O18 - Filter: text/plain - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll  
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll  
 
L'étape 2, tu l'as faite ?  :heink:  
 
Redémarre ensuite ton PC et efface ce dossier :
C:\Program Files\PSGuard

n°2150159
pika84
Posté le 07-09-2005 à 14:42:02  profilanswer
 

si j'avais des problemes avec ma page de demarrage,lol.
pour la ligne que tu m'avais deja dit de fixer, je l'avais fait mais elle revient toujours..d'ailleur elle y est toujours la..comment faire pour l'enlever ?
oui j'ai fait l'étape 2.
 
voila mon log :
 
Logfile of HijackThis v1.99.1
Scan saved at 14:31:27, on 07/09/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\KeirNet\K9\K9.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\largier\Mes documents\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
merci.

n°2150495
regis41
Posté le 07-09-2005 à 17:55:00  profilanswer
 

salut
tu peux tester ceci stp?
telecharge  
http://siri.urz.free.fr/Fix/SmitfraudFix.zip  
tu le decompresse tu double clik dessus et tu choisi l option 1  
cela vas generer un rapport donne nous le  
*******  
redemarre en sans echec  
 
relance le et choisi cette fois l option 2 et repond oui a tous  
redemarre et donne le nouveau rapport  
*******  
et recolle un hijack this
 
A+

n°2151365
pika84
Posté le 08-09-2005 à 14:16:38  profilanswer
 

Je suis dans la mer...
J'ai fais ce que tu m'as dit mais maintenant je ne peux plus redemmarrer en mode normal , la souris marche mais des que je veux ouvrir quoi que ce soit rien ne marche..
le mode sans echec marche.
aidez moi svp..
voila les 2 rapports : (comme vous allez le remarquer j'ai perdu le 1er rapport et je l'ai donc refait apres le 2nd en mode sans echec, dsl j'avais pas vu que des que j'en faisais un nouveau ca effacait le precedent)
 
SmitFraudFix v1.84
 
Rapport fait à 14:03:18,50 le 08/09/2005
Executé à partir de C:\Documents and Settings\largier\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\largier\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\largier\Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
 
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
 
 
 
SmitFraudFix v1.84
 
Rapport fait à 13:45:16,24 le 08/09/2005
Executé à partir de C:\Documents and Settings\largier\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\oleadm.dll supprimé
C:\WINDOWS\system32\wp.bmp supprimé
 
C:\Program Files\AntivirusGold\ supprimé
C:\spywarevanisher-free\ supprimé
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
 
 merci.

n°2153680
pika84
Posté le 10-09-2005 à 17:34:57  profilanswer
 

J'ai réparé windows xp avec le cd d'installation mais rien à faire ca bug toujours autant..
je ne sais pas d'ou ca peut venir ? ce qui est dur c'est que je n'ai aucun message d'erreur..
je ne sais pas quoi faire..
proposez moi des solutions svp..
merci.

n°2154037
wawaseb
Posté le 11-09-2005 à 00:53:20  profilanswer
 

Le problème vient de là : Platform: Windows XP  (WinNT 5.01.2600)  
 
--> Ton ordi n'est pas à jour... très très difficile de réparer si tu n'update's pas ton OS ! (Il semble toutefois que le processus tente de se lancer : 2 X "wuauclt.exe" )
 
 
--> Tu peux toujours essayer "SilentRunner" et désactiver la restauration du système...

n°2154307
pika84
Posté le 11-09-2005 à 14:01:15  profilanswer
 

et si je faisais les mises à jour via le mode sans echec ca resoudrait le probleme ?
comment utiliser silentrunner ?
merci.

mood
Publicité
Posté le 11-09-2005 à 14:01:15  profilanswer
 

n°2154352
pika84
Posté le 11-09-2005 à 14:59:10  profilanswer
 

voila le rapport de silent runner :  
 
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
 
 
Startup items buried in registry:
---------------------------------
 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [file not found]
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Zone Labs Client" = ""C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs Inc."]
"sp" = "rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall" [MS]
"SRFirstRun" = "rundll32 srclient.dll,CreateFirstRunRp" [MS]
"SchedulingAgent" = "mstinit.exe /firstlogon" [MS]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{C56C4E21-706D-11d0-AFC5-444553540002}" = "Mon appareil photo numérique"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\PhotoDeluxe HE 3.1\FotoNation Explorer\camview.dll" ["FotoNation Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{8F7261D0-D2B9-11D2-9909-00605205B24C}" = "CuteFTP Shell Extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\GlobalSCAPE\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "style 2"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\winstyle3.dll" [null data]
 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! style32\DLLName = "C:\WINDOWS\system32\winstyle3.dll" [null data]
 
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
CuteFTP\(Default) = "{8f7261d0-d2b9-11d2-9909-00605205b24c}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\GlobalSCAPE\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."]
 
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
CuteFTP\(Default) = "{8f7261d0-d2b9-11d2-9909-00605205b24c}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\GlobalSCAPE\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."]
 
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
 
 
Active Desktop and Wallpaper:
-----------------------------
 
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 
 
Enabled Screen Saver:
---------------------
 
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
 
 
Startup items in "largier" & "All Users" startup folders:
---------------------------------------------------------
 
C:\Documents and Settings\largier\Menu Démarrer\Programmes\Démarrage
"Démarrage d'Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA.EXE -b" [MS]
"Microsoft Recherche accélérée" -> shortcut to: "C:\Program Files\Microsoft Office\Office\FINDFAST.EXE" [MS]
 
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"AVERTISSEUR DE TACHES PLANIFIEES" -> shortcut to: "C:\Program Files\ASSOC\Avert.exe  /D /INI=ASSOC" ["P. CHEVALIER"]
 
 
Winsock2 Service Provider DLLs:
-------------------------------
 
Namespace Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 
Transport Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 
Toolbars, Explorer Bars, Extensions:
------------------------------------
 
Toolbars
 
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{A19EF336-01D4-48E6-926A-FE7E1C747AED}" = "Search Toolbar" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\pumba3.dll" [empty string]
 
 
Miscellaneous IE Hijack Points
------------------------------
 
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
 
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
 
Missing lines (compared with English-language version):
[Strings]: 1 line
 
 
All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------
 
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Carte de performance WMI, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]
Service d'administration du Gestionnaire de disque logique, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
 
 
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
  use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 77 seconds, including 14 seconds for message boxes)
 
 
si j'installe le sp2, ca pourrait resoudre le probleme ?
mais il faudrait quand meme que je re-répare windows ?
merci.

n°2154385
acrobaze
Posté le 11-09-2005 à 15:51:16  profilanswer
 

Bjr,
 
Je pense que tu n'as pas utilisé les bons outils. AboutBuster n'a rien à voir avec cette infection.
 
Mais comme je ne peux pas deviner comment ça a évolué, je voudrais voir un rapport HijackThis tout neuf, stp.
 
Ps : après l'avoir posté, n'utilise plus d'outil.

n°2154439
pika84
Posté le 11-09-2005 à 16:29:13  profilanswer
 

Le probleme c'est que je peux faire un hijack this que en mode sans echec et je crois que il est pas bon du coup , non ?

n°2154453
acrobaze
Posté le 11-09-2005 à 16:44:11  profilanswer
 

Poste-le, les entrées sont les mêmes.

n°2154487
pika84
Posté le 11-09-2005 à 17:16:52  profilanswer
 

voila tout :
 
Logfile of HijackThis v1.99.1
Scan saved at 16:52:33, on 11/09/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\largier\Mes documents\hijack\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
est ce que c'est bon d'installer le sp2 ?
merci.

n°2154527
acrobaze
Posté le 11-09-2005 à 17:51:18  profilanswer
 

Pour le Sp2, il faudrait l'installer sur un système propre. Et vérifer la compatibilité de tes programmes.
Au point où tu en es, commence par le Sp1.
 
------
 
Lance HijackThis et coche :
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll  
Clique "Fix checked" et redémarre.
 
--------
 
Télécharge ce fichier:
SpSeHjfix.
sur ton bureau. Dézippe-le dans un dossier que tu appelleras par exemple : spfix
 
Déconnecte-toi du net et ferme tous les programmes.
Lance 'SpSeHjfix'. et clique : "Start Disinfection".
Laise-le travailler. Lorsqu'il a terminé, il redémarrera l'ordi et créera un log dans le dossier spfix.
S'il ne trouve rien il dira simplement que le système est propre.
 
Après ceci, poste un nouvel HijackThis, le log SpSeHjfix et dis si tu peux démarrer en mode normal.
 
 

n°2154593
pika84
Posté le 11-09-2005 à 18:40:49  profilanswer
 

non je ne peux toujours pas demarrer en mode normal.
 
voila les 2 logs :
 
 
(9/11/05 18:05:33) SPSeHjFix started v1.1.2
(9/11/05 18:05:33) OS: WinXP  (5.1.2600)
(9/11/05 18:05:33) Language: français
(9/11/05 18:05:33) Win-Path: C:\WINDOWS
(9/11/05 18:05:33) System-Path: C:\WINDOWS\System32
(9/11/05 18:05:33) Temp-Path: C:\DOCUME~1\largier\LOCALS~1\Temp\
(9/11/05 18:06:44) Disinfection started
(9/11/05 18:06:44) Bad-Dll(IEP): (not found)
(9/11/05 18:06:44) Bad-Dll(IEP) in BHO: (not found)
(9/11/05 18:06:44) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\njkk.dll
(9/11/05 18:06:44) Searchassistant Uninstaller - Keys Deleted
(9/11/05 18:06:44) UBF: 4 - UBB: 0 - UBR: 8
(9/11/05 18:06:44) UBF: 4 - UBB: 0 - UBR: 8
(9/11/05 18:06:44) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall (deleted)
(9/11/05 18:06:44) Bad IE-pages: (none)
(9/11/05 18:06:44) Stealth-String not found
(9/11/05 18:06:44) File added to delete: c:\windows\system32\njkk.dll
(9/11/05 18:06:44) File added to delete: c:\docume~1\largier\locals~1\temp\se.dll
(9/11/05 18:06:44) Reboot  
 
 
(9/11/05 18:08:11) SPSeHjFix started v1.1.2
(9/11/05 18:08:11) OS: WinXP  (5.1.2600)
(9/11/05 18:08:11) Language: français
(9/11/05 18:08:11) Win-Path: C:\WINDOWS
(9/11/05 18:08:11) System-Path: C:\WINDOWS\System32
(9/11/05 18:08:11) Temp-Path: C:\DOCUME~1\largier\LOCALS~1\Temp\
(9/11/05 18:08:45) Disinfection started
(9/11/05 18:08:45) Bad-Dll(IEP): (not found)
(9/11/05 18:08:45) Bad-Dll(IEP) in BHO: (not found)
(9/11/05 18:08:45) UBF: 4 - UBB: 0 - UBR: 7
(9/11/05 18:08:45) UBF: 4 - UBB: 0 - UBR: 7
(9/11/05 18:08:45) Bad IE-pages: (none)
(9/11/05 18:08:45) Stealth-String not found
(9/11/05 18:08:45) Not infected->END  
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 18:36:11, on 11/09/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\largier\Mes documents\hijack\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
merci.

n°2154686
acrobaze
Posté le 11-09-2005 à 20:03:09  profilanswer
 

Oki. Il y a encore un trojan.
 
Télécharge win32delfkil sur ton bureau.
Double clique win32delfkil.exe et installe-le. Il crée un nouveau dossier sur ton bureau : win32delfkil
Déconnecte-toi d'internet, ferme ts les programmes et double-clique fix.bat.
L'ordinateur va redémarrer automatiquement. Poste un nouveau log.
 
Tente à nouveau le mode normal.

n°2155145
pika84
Posté le 12-09-2005 à 10:58:43  profilanswer
 

il ne marche toujours pas en mode normal : dés que je clique sur un dossier il y a le sablier puis rien ne se passe.
 
voila le log :
 
Logfile of HijackThis v1.99.1
Scan saved at 10:46:06, on 12/09/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\largier\Mes documents\hijack\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
merci.

n°2155894
acrobaze
Posté le 12-09-2005 à 21:10:14  profilanswer
 

Bon, là, le log est clean. A part "Alexa", mais ce n'est pas important.
 
Je ne sais pas ce qui s'est passé entre-temps, juste après ce "SmitFraudFix "...On va essayer un dernier outil :
 
Télécharge ce fichier.
Dézippe-le et lance  FixO.bat.
Lorsqu'il a terminé, le bloc notes s'ouvre avec un log. Sauve-le.
 
Redémarre, poste ce log et dis ce qu'il en est du mode normal.

n°2156533
pika84
Posté le 13-09-2005 à 12:21:55  profilanswer
 

non il ne redemarre toujours pas en mode normal
c'est clair c'est vraiment bizarre tout ca..
voila le log :
 
 
running from ---  
C:\Documents and Settings\largier\Bureau\FixO  
 
StartPAge.O Removal batch 1.00
   
          by miekiemoes          
   
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°  
existing bad files:  
-----------------------------------------------------  
 
 
existing important bad keys:  
-----------------------------------------------------  
 
 
Merging Registry----------  
 
 
Deleting Files-------------  
 
 
Searching for files not deleted:  
-----------------------------------------------------  
 
 
Searching for keys not deleted:  
-----------------------------------------------------  
 
 
merci de ton aide.

n°2157096
acrobaze
Posté le 13-09-2005 à 19:07:56  profilanswer
 

Tente une restauration. Du 7 ou 8, juste avant les problèmes.

n°2169548
regis41
Posté le 24-09-2005 à 21:36:15  profilanswer
 

euh, sinon serait il possible d avoir un silent runner, car sur l autre il etait infecte !
De plus un hijack this en mode sans echec ne vaut rien du tout ...

n°2169614
acrobaze
Posté le 24-09-2005 à 23:16:59  profilanswer
 

Oui, ce serait intéressant. Le trojan-downloader.Win32.Delf.pa  a "normalement" été supprimé par  win32delfkil. Mais pourquoi ne pas vérifier.
Mais ce n'est sûrement pas la cause du pb de démarrage normal.

n°2169616
regis41
Posté le 24-09-2005 à 23:23:23  profilanswer
 

salut arobase,
c est juste qu en regardant le silent runner, ca saute aux yeux
 
"sp" = "rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall" [MS]  
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\  
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "style 2"  
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\winstyle3.dll" [null data]  
 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\  
INFECTION WARNING! style32\DLLName = "C:\WINDOWS\system32\winstyle3.dll" [null data]  
 
HKLM\Software\Microsoft\Internet Explorer\Toolbar\  
"{A19EF336-01D4-48E6-926A-FE7E1C747AED}" = "Search Toolbar" [from CLSID]  
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\pumba3.dll" [empty string]  
 
J ai tort?
 
a+

n°2169647
acrobaze
Posté le 24-09-2005 à 23:57:52  profilanswer
 

Non, c'est justement ça, le trojan-downloader.Win32.Delf.pa. Et donc l'outil win32delfkil est censé le supprimer.
 
-------
 
Attention à : INFECTION WARNING! qui n'indique que des points sensibles du registre. Les fichiers ne sont pas forcément infectants (Ici : oui, mais ce n'est pas tjrs le cas.)

n°2169652
acrobaze
Posté le 25-09-2005 à 00:00:39  profilanswer
 

Extrait du bat :
 
echo attrib -r -s -h %WinDir%\system32\winstyle2.dll>>delfiles.bat
echo del /q %WinDir%\system32\winstyle2.dll>>delfiles.bat
echo attrib -r -s -h %WinDir%\system32\winstyle3.dll>>delfiles.bat
echo del /q %WinDir%\system32\winstyle3.dll>>delfiles.bat
echo attrib -r -s -h %WinDir%\system32\winstyle32.dll>>delfiles.bat
echo del /q %WinDir%\system32\winstyle32.dll>>delfiles.bat

n°2169653
regis41
Posté le 25-09-2005 à 00:04:17  profilanswer
 

oui bien sur, mais l infection dusilent runner renvoie a cela
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll  
 
donc voila  cetait juste pour verifier....
 
bonne soiree acrobaze

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Rapport hijack this

 

Sujets relatifs
acces à internet bloqué - log hijackHelp pour virer : RMACGsRN.exe / NRsGCAMR.exe (log hijack inside)
dialer gen : log hijackOptimiser mon rapport de stage !
PC hyper ralenti, impossible installer programme. Log HijackFichiers infectés, aide pour rapport hijackthis...
rapport hijack thisUn peu d'aide pour mon rapport Hijack-this
(RESOLU)demande d'analyse rapport hijack this svp!!!analyse d'un rapport "hijack this"
Plus de sujets relatifs à : Rapport hijack this


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR