Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
797 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Site de boules et virus à la con...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Site de boules et virus à la con...

n°2115350
french_Kis​s
Universel
Posté le 03-08-2005 à 16:37:37  profilanswer
 

Vwala un sale gosse s'est amusé à surfer sur des sites ou les jeunes filles ont le visage maculé de pate blanchatre...
Enfin je m'en suis rendu compte assez vite: http://img67.imageshack.us/img67/1056/enviedemeurtre11db.jpg
Bref, je voudrais savoir comment on vire cette MERDE!!!


Message édité par french_Kiss le 03-08-2005 à 16:57:56
mood
Publicité
Posté le 03-08-2005 à 16:37:37  profilanswer
 

n°2115358
stonangel
Posté le 03-08-2005 à 16:43:12  profilanswer
 

Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
 
Important: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
 
Démo en images ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
 
;) Merci balltrap

n°2115373
french_Kis​s
Universel
Posté le 03-08-2005 à 16:51:00  profilanswer
 

Ok voici le log

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 16:46:12, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D5FA8987-B651-4CA8-86B1-35C1F8BB98A7} - C:\WINDOWS\System32\eldk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gay_Sexy_se] C:\Program Files\SCom\Dialers\Gay_Sexy_se\Gay_Sexy_se.exe /dontdial  
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Filter: text/html - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O18 - Filter: text/plain - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 

n°2115464
french_Kis​s
Universel
Posté le 03-08-2005 à 18:06:51  profilanswer
 

up

n°2115471
stonangel
Posté le 03-08-2005 à 18:12:33  profilanswer
 

Re, je regarde ton rapport, réponse dans un moment

n°2115485
french_Kis​s
Universel
Posté le 03-08-2005 à 18:20:58  profilanswer
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 18:15:36, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\program files\steam\steam.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 


J'ai viré qq trucs en mode sans echec...
mais le fond d'ecran pourri persiste, et pas moyen de le changer :o
je vais virer C:\WINDOWS\q13809406_disk.dll ca m'inspire pas  :D

n°2115495
french_Kis​s
Universel
Posté le 03-08-2005 à 18:29:27  profilanswer
 

http://img259.imageshack.us/img259/3632/enviedemeurtres23bp.jpg
 :fou:  :fou:
C'est quoi cette merde de point d'exclamation entre msn et clone cd?  :cry:


Message édité par french_Kiss le 03-08-2005 à 18:30:12
n°2115500
stonangel
Posté le 03-08-2005 à 18:33:24  profilanswer
 

Re, télécharge CCleaner
http://www.ccleaner.com/ccdownload.asp
 
SpSeHjfix de Seeker
http://www.trojaner-info.de/cgi-bi [...] le=sphjfix
Dézippe le dans un répertoire alloué et place un raccourci sur le bureau
 
Fix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip  
Tu le décompresses tu double cliques dessus et tu choisis l’option 1  
Cela va générer un rapport poste le
 
Redémarre en mode sans échec
 
Relance le et choisis cette fois l’option 2 et réponds oui à tout  
Redémarre et communique le nouveau rapport
 
------------------------------------------------------------------------------------------------
 
Désinstalle vie Ajout/Suppression de programmes cette application si présente:
 
SCom
 
Lance SpSeHjfix: clique sur "start disinfection".
En cas d'infection le pc sera redémarré.
 
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:  
 
Hardware Clock Driver (hwclock)  
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de  C:\WINDOWS\System32\hwclock.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes (si encore présentes):
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
 
O2 - BHO: (no name) - {D5FA8987-B651-4CA8-86B1-35C1F8BB98A7} - C:\WINDOWS\System32\eldk.dll
 
O4 - HKLM\..\Run: [Gay_Sexy_se] C:\Program Files\SCom\Dialers\Gay_Sexy_se\Gay_Sexy_se.exe /dontdial  
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
 
 
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
 
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Filter: text/html - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O18 - Filter: text/plain - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
 
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
c:\temp\< le contenu du dossier
C:\WINDOWS\System32\eldk.dll
C:\Program Files\SCom  
C:\WINDOWS\System32\intell32.exe
C:\Program Files\PSGuard
C:\WINDOWS\q13809406_disk.dll
C:\WINDOWS\System32\hwclock.exe
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

n°2115502
stonangel
Posté le 03-08-2005 à 18:35:33  profilanswer
 

PSGuard...

n°2115504
french_Kis​s
Universel
Posté le 03-08-2005 à 18:37:27  profilanswer
 

merci de ta reponse, saloperie de psguard, c incroyable que des trucs comme ca existent...
juste une question c quoi ccleaner?
 
 
je m'y met !


Message édité par french_Kiss le 03-08-2005 à 18:37:40
mood
Publicité
Posté le 03-08-2005 à 18:37:27  profilanswer
 

n°2115506
stonangel
Posté le 03-08-2005 à 18:39:29  profilanswer
 

CCleaner est un petit utilitaire qui nettoie TIF, cookies, corbeille... Tu verras, sans danger

n°2115507
french_Kis​s
Universel
Posté le 03-08-2005 à 18:40:48  profilanswer
 

oki

n°2115513
french_Kis​s
Universel
Posté le 03-08-2005 à 18:47:15  profilanswer
 

je reboot en sans echec pour virer q13 et intell32 et les fichers temp qui veulent pas se virer
 
 
bizzare C:\Program Files\SCom  existe pas


Message édité par french_Kiss le 03-08-2005 à 18:48:00
n°2115518
stonangel
Posté le 03-08-2005 à 18:48:54  profilanswer
 

Fais d'abord les manipulations avec le fix de S!Ri. Poste bien les deux rapports ensuite deuxième partie avec Hijackthis.

n°2115524
french_Kis​s
Universel
Posté le 03-08-2005 à 18:54:26  profilanswer
 

S!ri??

n°2115528
french_Kis​s
Universel
Posté le 03-08-2005 à 18:57:26  profilanswer
 

ah ok j'avais pas vu  :whistle:

n°2115529
french_Kis​s
Universel
Posté le 03-08-2005 à 18:59:09  profilanswer
 

SmitFraudFix v1.5
 
Rapport fait à 18:54:26,15 le mer. 03/08/2005
Executé à partir de C:\Documents and Settings\Thor\Mes documents\SECURITY\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
 
C:\WINDOWS\uninstIU.exe PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
 
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Thor\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
 
 
C:\WINDOWS\system32\wininet.dll infecté !
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
 
 Le volume dans le lecteur C n'a pas de nom.
 Le num‚ro de s‚rie du volume est C41D-3D5A
 
 R‚pertoire de C:\WINDOWS\system32
 
29/08/2002  14:45           603.136 wininet.dll
               1 fichier(s)          603.136 octets
 
 R‚pertoire de C:\WINDOWS\system32\dllcache
 
29/08/2002  14:45           603.136 wininet.dll
               1 fichier(s)          603.136 octets
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 

n°2115534
french_Kis​s
Universel
Posté le 03-08-2005 à 19:09:19  profilanswer
 


 
(8/3/05 18:53:24) SPSeHjFix started v1.1.2
(8/3/05 18:53:24) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 18:53:24) Language: français
(8/3/05 18:53:24) Win-Path: C:\WINDOWS
(8/3/05 18:53:24) System-Path: C:\WINDOWS\System32
(8/3/05 18:53:24) Temp-Path: c:\temp\
(8/3/05 18:53:31) Disinfection started
(8/3/05 18:53:31) Bad-Dll(IEP): c:\temp\se.dll
(8/3/05 18:53:31) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\eldk.dll
(8/3/05 18:53:31) Searchassistant Uninstaller - Keys Deleted
(8/3/05 18:53:31) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 18:53:31) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 c:\temp\se.dll,DllInstall (deleted)
(8/3/05 18:53:31) UBF: 4 - UBB: 0 - UBR: 17
(8/3/05 18:53:31) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank  
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\temp\se.dll/space.html  
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank  
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank  
(8/3/05 18:53:31) Stealth-String not found
(8/3/05 18:53:31) File added to delete: c:\windows\system32\eldk.dll
(8/3/05 18:53:31) File added to delete: c:\temp\se.dll
(8/3/05 18:53:31) Reboot  
 
 
(8/3/05 19:01:19) SPSeHjFix started v1.1.2
(8/3/05 19:01:19) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 19:01:19) Language: français
(8/3/05 19:01:19) Win-Path: C:\WINDOWS
(8/3/05 19:01:19) System-Path: C:\WINDOWS\System32
(8/3/05 19:01:19) Temp-Path: c:\temp\
(8/3/05 19:01:20) Disinfection started
(8/3/05 19:01:20) Bad-Dll(IEP): (not found)
(8/3/05 19:01:20) Bad-Dll(IEP) in BHO: (not found)
(8/3/05 19:01:20) UBF: 4 - UBB: 0 - UBR: 19
(8/3/05 19:01:20) UBF: 4 - UBB: 0 - UBR: 19
(8/3/05 19:01:20) Bad IE-pages: (none)
(8/3/05 19:01:20) Stealth-String not found
(8/3/05 19:01:20) Not infected->END  
 
 
(8/3/05 19:02:37) SPSeHjFix started v1.1.2
(8/3/05 19:02:37) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 19:02:37) Language: français
(8/3/05 19:02:37) Win-Path: C:\WINDOWS
(8/3/05 19:02:37) System-Path: C:\WINDOWS\System32
(8/3/05 19:02:37) Temp-Path: c:\temp\
(8/3/05 19:03:40) Disinfection started
(8/3/05 19:03:40) Bad-Dll(IEP): (not found)
(8/3/05 19:03:40) Bad-Dll(IEP) in BHO: (not found)
(8/3/05 19:03:40) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 19:03:40) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 19:03:40) Bad IE-pages: (none)
(8/3/05 19:03:40) Stealth-String not found
(8/3/05 19:03:40) Not infected->END  

n°2115535
french_Kis​s
Universel
Posté le 03-08-2005 à 19:10:02  profilanswer
 

Ca a l'air d'être bon!
Merci beaucoup man :jap:
J'espere pouvoir te rendre la pareille un jour

n°2115542
stonangel
Posté le 03-08-2005 à 19:15:21  profilanswer
 

Il manque le deuxième rapport du fix de S!Ri (élimination des processus) et le nouveau rapport Hijackthis. Merci.

n°2115545
french_Kis​s
Universel
Posté le 03-08-2005 à 19:18:00  profilanswer
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 19:12:16, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\program files\steam\steam.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\Program Files\Winamp\Winamp.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 


Et S:ri n'a pas generé de rapport, il a rien desinfecté je crois  [:figti]

n°2115553
stonangel
Posté le 03-08-2005 à 19:29:27  profilanswer
 

Normalement oui, quand tu démarres en mode sans échec et que tu entres 2 un log est généré. Un retouche dans ton log.
 
Démarre Hijackthis> Open the Misc Tools section> Delete an NT service> Entre Hardware Clock Driver (hwclock)> OK
 
Dis ce qu'il en est

n°2115568
french_Kis​s
Universel
Posté le 03-08-2005 à 19:53:52  profilanswer
 

stonangel a écrit :

Normalement oui, quand tu démarres en mode sans échec et que tu entres 2 un log est généré. Un retouche dans ton log.
 
Démarre Hijackthis> Open the Misc Tools section> Delete an NT service> Entre Hardware Clock Driver (hwclock)> OK
 
Dis ce qu'il en est


Effectivement :

Citation :

SmitFraudFix v1.5
 
Rapport fait à 19:00:50,06 le mer. 03/08/2005
Executé à partir de C:\Documents and Settings\Thor\Mes documents\SECURITY\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\oleext.dll supprimé
C:\WINDOWS\system32\wppp.html supprimé
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll  
 
C:\WINDOWS\system32\wininet.dll infecté !
 
Recherche d'une copie de secours (backup) de wininet.dll...
 Le volume dans le lecteur C n'a pas de nom.
 Le num‚ro de s‚rie du volume est C41D-3D5A
 
 R‚pertoire de C:\WINDOWS\system32
 
29/08/2002  14:45           603.136 wininet.dll
               1 fichier(s)          603.136 octets
 
 R‚pertoire de C:\WINDOWS\system32\dllcache
 
29/08/2002  14:45           603.136 wininet.dll
               1 fichier(s)          603.136 octets
 
Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1106
Version BackUp : 6.0.2800.1106
 
Remplacement wininet.dll (reboot necessaire)
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 


et
Hardware Clock Driver (hwclock) was not found


Message édité par french_Kiss le 03-08-2005 à 19:54:11
n°2115576
stonangel
Posté le 03-08-2005 à 20:04:08  profilanswer
 

Re, télécharge Killbox d'Option^Explicit:
http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippe sur le bueau.
 
Démarre en mode sans échec. Ouvre Killbox, coche Delete on reboot et dans la petite fenêtre sous "Full Path of File to Delete" entre le chemin complet du fichier suivant:
 
C:\WINDOWS\System32\hwclock.exe
 
Clique sur la croix blanche sur fond rouge. Aux deux messages qui vont s'afficher réponds oui.
 
Redémarre et dis ce qu'il en est
 

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Site de boules et virus à la con...

 

Sujets relatifs
Projet de siteprobleme d'authentification sur mon site
Probléme thunder site ???consulter site hors connexion
Pb Active directory W2000server /virus?gele de connexion = virus ?
Log HiJack - virus en tous genresaprès d'avoir éliminé le virus, en ouvrant IE, j'ai about:blank?
Securitoo AV - Mise a jour des définitions de virusil me semble avoir un virus
Plus de sujets relatifs à : Site de boules et virus à la con...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR