Site de boules et virus à la con...

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Site de boules et virus à la con...

french_Kiss

Universel

Vwala un sale gosse s'est amusé à surfer sur des sites ou les jeunes filles ont le visage maculé de pate blanchatre...
Enfin je m'en suis rendu compte assez vite:
Bref, je voudrais savoir comment on vire cette MERDE!!!

Message édité par french_Kiss le 03-08-2005 à 16:57:56

Publicité

stonangel

Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip

Important: Installer Hijackthis correctement
Linstaller sous C:\Hijackthis par exemple (pas dans un fichier temp)

Scan/save log (rapport)/copier&coller le contenu du rapport ici

Tutorial pour linstallation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm

Démo en images ici
http://pageperso.aol.fr/balltrap34/demohijack.htm

Merci balltrap

french_Kiss

Universel

Ok voici le log

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 16:46:12, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D5FA8987-B651-4CA8-86B1-35C1F8BB98A7} - C:\WINDOWS\System32\eldk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gay_Sexy_se] C:\Program Files\SCom\Dialers\Gay_Sexy_se\Gay_Sexy_se.exe /dontdial
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Filter: text/html - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O18 - Filter: text/plain - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

french_Kiss

Universel

stonangel

Re, je regarde ton rapport, réponse dans un moment

french_Kiss

Universel

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 18:15:36, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\program files\steam\steam.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

J'ai viré qq trucs en mode sans echec...
mais le fond d'ecran pourri persiste, et pas moyen de le changer
je vais virer C:\WINDOWS\q13809406_disk.dll ca m'inspire pas

french_Kiss

Universel

:fou: :fou:
C'est quoi cette merde de point d'exclamation entre msn et clone cd? :cry:

Message édité par french_Kiss le 03-08-2005 à 18:30:12

stonangel

Re, télécharge CCleaner
http://www.ccleaner.com/ccdownload.asp

SpSeHjfix de Seeker
http://www.trojaner-info.de/cgi-bi [...] le=sphjfix
Dézippe le dans un répertoire alloué et place un raccourci sur le bureau

Fix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le décompresses tu double cliques dessus et tu choisis loption 1
Cela va générer un rapport poste le

Redémarre en mode sans échec

Relance le et choisis cette fois loption 2 et réponds oui à tout
Redémarre et communique le nouveau rapport

------------------------------------------------------------------------------------------------

Désinstalle vie Ajout/Suppression de programmes cette application si présente:

SCom

Lance SpSeHjfix: clique sur "start disinfection".
En cas d'infection le pc sera redémarré.

Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:

Hardware Clock Driver (hwclock)

Double clique sur la ligne
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\WINDOWS\System32\hwclock.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.

Démarre en mode sans échec (F8 ou F5)

Assure toi d'avoir accès à tous les fichiers.

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes (si encore présentes):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {D5FA8987-B651-4CA8-86B1-35C1F8BB98A7} - C:\WINDOWS\System32\eldk.dll

O4 - HKLM\..\Run: [Gay_Sexy_se] C:\Program Files\SCom\Dialers\Gay_Sexy_se\Gay_Sexy_se.exe /dontdial
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Filter: text/html - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O18 - Filter: text/plain - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

Supprime les fichiers/dossiers incriminés (s'ils existent encore):

c:\temp\< le contenu du dossier
C:\WINDOWS\System32\eldk.dll
C:\Program Files\SCom
C:\WINDOWS\System32\intell32.exe
C:\Program Files\PSGuard
C:\WINDOWS\q13809406_disk.dll
C:\WINDOWS\System32\hwclock.exe

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

Exécute CCleaner sur chaque session utilisateur

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

stonangel

PSGuard...

french_Kiss

Universel

merci de ta reponse, saloperie de psguard, c incroyable que des trucs comme ca existent...
juste une question c quoi ccleaner?

je m'y met !

Message édité par french_Kiss le 03-08-2005 à 18:37:40

Publicité

stonangel

CCleaner est un petit utilitaire qui nettoie TIF, cookies, corbeille... Tu verras, sans danger

french_Kiss

Universel

oki

french_Kiss

Universel

je reboot en sans echec pour virer q13 et intell32 et les fichers temp qui veulent pas se virer

bizzare C:\Program Files\SCom existe pas

Message édité par french_Kiss le 03-08-2005 à 18:48:00

stonangel

Fais d'abord les manipulations avec le fix de S!Ri. Poste bien les deux rapports ensuite deuxième partie avec Hijackthis.

french_Kiss

Universel

S!ri??

french_Kiss

Universel

ah ok j'avais pas vu :whistle:

french_Kiss

Universel

SmitFraudFix v1.5

Rapport fait à 18:54:26,15 le mer. 03/08/2005
Executé à partir de C:\Documents and Settings\Thor\Mes documents\SECURITY\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Thor\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est C41D-3D5A

Rpertoire de C:\WINDOWS\system32

29/08/2002 14:45 603.136 wininet.dll
1 fichier(s) 603.136 octets

Rpertoire de C:\WINDOWS\system32\dllcache

29/08/2002 14:45 603.136 wininet.dll
1 fichier(s) 603.136 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

french_Kiss

Universel

(8/3/05 18:53:24) SPSeHjFix started v1.1.2
(8/3/05 18:53:24) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 18:53:24) Language: français
(8/3/05 18:53:24) Win-Path: C:\WINDOWS
(8/3/05 18:53:24) System-Path: C:\WINDOWS\System32
(8/3/05 18:53:24) Temp-Path: c:\temp\
(8/3/05 18:53:31) Disinfection started
(8/3/05 18:53:31) Bad-Dll(IEP): c:\temp\se.dll
(8/3/05 18:53:31) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\eldk.dll
(8/3/05 18:53:31) Searchassistant Uninstaller - Keys Deleted
(8/3/05 18:53:31) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 18:53:31) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 c:\temp\se.dll,DllInstall (deleted)
(8/3/05 18:53:31) UBF: 4 - UBB: 0 - UBR: 17
(8/3/05 18:53:31) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\temp\se.dll/space.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(8/3/05 18:53:31) Stealth-String not found
(8/3/05 18:53:31) File added to delete: c:\windows\system32\eldk.dll
(8/3/05 18:53:31) File added to delete: c:\temp\se.dll
(8/3/05 18:53:31) Reboot

(8/3/05 19:01:19) SPSeHjFix started v1.1.2
(8/3/05 19:01:19) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 19:01:19) Language: français
(8/3/05 19:01:19) Win-Path: C:\WINDOWS
(8/3/05 19:01:19) System-Path: C:\WINDOWS\System32
(8/3/05 19:01:19) Temp-Path: c:\temp\
(8/3/05 19:01:20) Disinfection started
(8/3/05 19:01:20) Bad-Dll(IEP): (not found)
(8/3/05 19:01:20) Bad-Dll(IEP) in BHO: (not found)
(8/3/05 19:01:20) UBF: 4 - UBB: 0 - UBR: 19
(8/3/05 19:01:20) UBF: 4 - UBB: 0 - UBR: 19
(8/3/05 19:01:20) Bad IE-pages: (none)
(8/3/05 19:01:20) Stealth-String not found
(8/3/05 19:01:20) Not infected->END

(8/3/05 19:02:37) SPSeHjFix started v1.1.2
(8/3/05 19:02:37) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 19:02:37) Language: français
(8/3/05 19:02:37) Win-Path: C:\WINDOWS
(8/3/05 19:02:37) System-Path: C:\WINDOWS\System32
(8/3/05 19:02:37) Temp-Path: c:\temp\
(8/3/05 19:03:40) Disinfection started
(8/3/05 19:03:40) Bad-Dll(IEP): (not found)
(8/3/05 19:03:40) Bad-Dll(IEP) in BHO: (not found)
(8/3/05 19:03:40) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 19:03:40) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 19:03:40) Bad IE-pages: (none)
(8/3/05 19:03:40) Stealth-String not found
(8/3/05 19:03:40) Not infected->END

french_Kiss

Universel

Ca a l'air d'être bon!
Merci beaucoup man :jap:
J'espere pouvoir te rendre la pareille un jour

stonangel

Il manque le deuxième rapport du fix de S!Ri (élimination des processus) et le nouveau rapport Hijackthis. Merci.

french_Kiss

Universel

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 19:12:16, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\program files\steam\steam.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\Program Files\Winamp\Winamp.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Et S:ri n'a pas generé de rapport, il a rien desinfecté je crois [:figti]

stonangel

Normalement oui, quand tu démarres en mode sans échec et que tu entres 2 un log est généré. Un retouche dans ton log.

Démarre Hijackthis> Open the Misc Tools section> Delete an NT service> Entre Hardware Clock Driver (hwclock)> OK

Dis ce qu'il en est

french_Kiss

Universel

stonangel a écrit :

Effectivement :

Citation :

SmitFraudFix v1.5

Rapport fait à 19:00:50,06 le mer. 03/08/2005
Executé à partir de C:\Documents and Settings\Thor\Mes documents\SECURITY\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\oleext.dll supprimé
C:\WINDOWS\system32\wppp.html supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

C:\WINDOWS\system32\wininet.dll infecté !

Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est C41D-3D5A

Rpertoire de C:\WINDOWS\system32

29/08/2002 14:45 603.136 wininet.dll
1 fichier(s) 603.136 octets

Rpertoire de C:\WINDOWS\system32\dllcache

29/08/2002 14:45 603.136 wininet.dll
1 fichier(s) 603.136 octets

Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1106
Version BackUp : 6.0.2800.1106

Remplacement wininet.dll (reboot necessaire)

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

et
Hardware Clock Driver (hwclock) was not found

Message édité par french_Kiss le 03-08-2005 à 19:54:11

stonangel

Re, télécharge Killbox d'Option^Explicit:
http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippe sur le bueau.

Démarre en mode sans échec. Ouvre Killbox, coche Delete on reboot et dans la petite fenêtre sous "Full Path of File to Delete" entre le chemin complet du fichier suivant:

C:\WINDOWS\System32\hwclock.exe

Clique sur la croix blanche sur fond rouge. Aux deux messages qui vont s'afficher réponds oui.

Redémarre et dis ce qu'il en est

Publicité

FORUM HardWare.fr

Windows & Software

Sécurité

Site de boules et virus à la con...

Sujets relatifs
Projet de site	probleme d'authentification sur mon site
Probléme thunder site ???	consulter site hors connexion
Pb Active directory W2000server /virus?	gele de connexion = virus ?
Log HiJack - virus en tous genres	après d'avoir éliminé le virus, en ouvrant IE, j'ai about:blank?
Securitoo AV - Mise a jour des définitions de virus	il me semble avoir un virus
Plus de sujets relatifs à : Site de boules et virus à la con...

Page générée en 0.065 secondes