virus win32-hostblock qui revient sans cesse
Dernière réponse : dans Sécurité
Bonjour,
Je possède Zone Alarm et depuis quelques temps, le scan antivirus trouve régulièrement Win 32 Hostblock.
Zone alarm est censé l'éradiquer, mais le prb, c'est qu'à chaque démarrage, ce virus réapparait.
Quelqu'un peut-il m'aider, me dire comment fonctionne ce virus, et comment s'en débarasser définitivement ?
Merci d'avance
Banou
Je possède Zone Alarm et depuis quelques temps, le scan antivirus trouve régulièrement Win 32 Hostblock.
Zone alarm est censé l'éradiquer, mais le prb, c'est qu'à chaque démarrage, ce virus réapparait.
Quelqu'un peut-il m'aider, me dire comment fonctionne ce virus, et comment s'en débarasser définitivement ?
Merci d'avance
Banou
Autres pages sur : virus win32 hostblock revient cesse
Lassé par la pub ? Créez un compte
Voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 16:49:17, on 26/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\nsmscrs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jndccgfeipomomtm.com/ect4ChwEOA9BsnvjYxriuHP...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5F2D1E-36CC-0356-36CE-8D327BA6AEEA} - C:\DOCUME~1\CHARLY~1\APPLIC~1\INTERT~1\thatobj.exe (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Microsoft CSRSS Service] nsmscrs.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS Service] nsmscrs.exe
O4 - HKCU\..\Run: [MSN Service] amsnmsgrs.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [list settings] C:\DOCUME~1\CHARLY~1\APPLIC~1\INSIDE~1\tonsstartsurf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .swf: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin9.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.ca...
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Logfile of HijackThis v1.99.1
Scan saved at 16:49:17, on 26/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\nsmscrs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jndccgfeipomomtm.com/ect4ChwEOA9BsnvjYxriuHP...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5F2D1E-36CC-0356-36CE-8D327BA6AEEA} - C:\DOCUME~1\CHARLY~1\APPLIC~1\INTERT~1\thatobj.exe (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Microsoft CSRSS Service] nsmscrs.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS Service] nsmscrs.exe
O4 - HKCU\..\Run: [MSN Service] amsnmsgrs.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [list settings] C:\DOCUME~1\CHARLY~1\APPLIC~1\INSIDE~1\tonsstartsurf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .swf: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin9.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.ca...
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
bonjour
1 faite un scan en ligne http://www.bitdefender.fr/bd/site/products.php?p_id=24
avec ie
et faite une analyse avec ses logiciels
2 télécharger ewido http://www.ewido.net/en/
démo 14 jours et gratuit après sans protection active et mise a jours automatique
Lors de l'installation d'Ewido decocher les deux cases
3 télécharger ad aware
http://www.01net.com/telecharger/windows/Internet/inter...
4 télécharger spybot
http://www.clubic.com/lancer-le-telechargement-9543-0-s...
5 faite les mise a jours et nettoyer votre pc
6 télécharger cleanup http://www.graphiquenalie.com/cleanup/1-Cleanup.exe
Démo http://carnis.free.fr/demo%20clean%20up.html
ensuite colez le log de bitdefender
a++ claude
7 Télécharger ccleaner http://www.ccleaner.com/ccdownload.asp
demo ccleaner http://carnis.free.fr/ccleaner.html
1 faite un scan en ligne http://www.bitdefender.fr/bd/site/products.php?p_id=24
avec ie
et faite une analyse avec ses logiciels
2 télécharger ewido http://www.ewido.net/en/
démo 14 jours et gratuit après sans protection active et mise a jours automatique
Lors de l'installation d'Ewido decocher les deux cases
3 télécharger ad aware
http://www.01net.com/telecharger/windows/Internet/inter...
4 télécharger spybot
http://www.clubic.com/lancer-le-telechargement-9543-0-s...
5 faite les mise a jours et nettoyer votre pc
6 télécharger cleanup http://www.graphiquenalie.com/cleanup/1-Cleanup.exe
Démo http://carnis.free.fr/demo%20clean%20up.html
ensuite colez le log de bitdefender
a++ claude
7 Télécharger ccleaner http://www.ccleaner.com/ccdownload.asp
demo ccleaner http://carnis.free.fr/ccleaner.html
J'ai suivi vos conseils, le scan avec ewido a donné ceci
: --------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 18:24:38, 26/02/2006
+ Somme de contrôle: E5B52830
+ Résultats du scan:
C:\WINDOWS\system32\nsmscrs.exe -> Backdoor.Rbot.amy : Nettoyer et sauvegarder
::Fin du rapport
Le log d'avast donne ceci :
26/02/2006 19:08:57 1140977337 charly & album 4376 Sign of "Win32:Adan-155 [Adw]" has been found in "F:\recup\APPS\HOMEPAGE\HOMEPGUI.EXE" file.
26/02/2006 20:07:16 1140980836 SYSTEM 1612 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
26/02/2006 20:07:26 1140980846 SYSTEM 1612 An error has occured while attempting to update. Please check the logs.
Et le nouveau log hijackthis donne ceci :
Logfile of HijackThis v1.99.1
Scan saved at 21:23:32, on 26/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\eadf4c6243f4f494bf29c74db1a1b1fc\update\update.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jndccgfeipomomtm.com/ect4ChwEOA9BsnvjYxriuHP...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5F2D1E-36CC-0356-36CE-8D327BA6AEEA} - C:\DOCUME~1\CHARLY~1\APPLIC~1\INTERT~1\thatobj.exe (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSN Service] amsnmsgrs.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [list settings] C:\DOCUME~1\CHARLY~1\APPLIC~1\INSIDE~1\tonsstartsurf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .swf: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin9.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.ca...
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
J'ai retrouvé de la rapidité, et pas mal de fonctions qui n'allaient plus (ex :affichage de l'historique d'internet, affichage des favoris, possibilité d'aller sur outlook via lecture du courrier sur internet...)
Par contre le virus Win32 - hostblock est toujours détecté au redémarrage via Zone Labs.
Merci à tous pour votre aide,
Banou
: --------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 18:24:38, 26/02/2006
+ Somme de contrôle: E5B52830
+ Résultats du scan:
C:\WINDOWS\system32\nsmscrs.exe -> Backdoor.Rbot.amy : Nettoyer et sauvegarder
::Fin du rapport
Le log d'avast donne ceci :
26/02/2006 19:08:57 1140977337 charly & album 4376 Sign of "Win32:Adan-155 [Adw]" has been found in "F:\recup\APPS\HOMEPAGE\HOMEPGUI.EXE" file.
26/02/2006 20:07:16 1140980836 SYSTEM 1612 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
26/02/2006 20:07:26 1140980846 SYSTEM 1612 An error has occured while attempting to update. Please check the logs.
Et le nouveau log hijackthis donne ceci :
Logfile of HijackThis v1.99.1
Scan saved at 21:23:32, on 26/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\eadf4c6243f4f494bf29c74db1a1b1fc\update\update.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jndccgfeipomomtm.com/ect4ChwEOA9BsnvjYxriuHP...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5F2D1E-36CC-0356-36CE-8D327BA6AEEA} - C:\DOCUME~1\CHARLY~1\APPLIC~1\INTERT~1\thatobj.exe (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSN Service] amsnmsgrs.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [list settings] C:\DOCUME~1\CHARLY~1\APPLIC~1\INSIDE~1\tonsstartsurf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .swf: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin9.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.ca...
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
J'ai retrouvé de la rapidité, et pas mal de fonctions qui n'allaient plus (ex :affichage de l'historique d'internet, affichage des favoris, possibilité d'aller sur outlook via lecture du courrier sur internet...)
Par contre le virus Win32 - hostblock est toujours détecté au redémarrage via Zone Labs.
Merci à tous pour votre aide,
Banou
Bonsoir
Il en reste.
Télécharges Lopxp.zip
http://pageperso.aol.fr/balltrap34/lopxp.zip
Dézippes le sur le Bureau
Lances le fichier lopxp.bat
Postes le rapport
Il en reste.
Télécharges Lopxp.zip
http://pageperso.aol.fr/balltrap34/lopxp.zip
Dézippes le sur le Bureau
Lances le fichier lopxp.bat
Postes le rapport
PS : un nouveau scan avec ewido après redémarrage donne encore le meme virus !!! :
+ Créé le: 21:51:13, 26/02/2006
+ Somme de contrôle: 3F16E39B
+ Résultats du scan:
C:\WINDOWS\system32\nsmscrs.exe -> Backdoor.Rbot.amy : Nettoyer et sauvegarder
C:\Documents and Settings\charly & album\Cookies\charly & album@wreport.weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
::Fin du rapport
Que puis je faire pour me débarasser définitivement de ces virus ??
Merci à tous
Banou
+ Créé le: 21:51:13, 26/02/2006
+ Somme de contrôle: 3F16E39B
+ Résultats du scan:
C:\WINDOWS\system32\nsmscrs.exe -> Backdoor.Rbot.amy : Nettoyer et sauvegarder
C:\Documents and Settings\charly & album\Cookies\charly & album@wreport.weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
::Fin du rapport
Que puis je faire pour me débarasser définitivement de ces virus ??
Merci à tous
Banou
Voilà le rapport :
Rapport fait à 21:57:33,20 le 26/02/2006
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\Administrateur\Application Data
03/02/2006 20:26 <REP> MailFrontier
03/02/2006 19:55 62 desktop.ini
03/02/2006 19:55 <REP> ..
03/02/2006 19:55 <REP> Microsoft
03/02/2006 19:55 <REP> .
1 fichier(s) 62 octets
4 R‚p(s) 3951267840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\All Users\Application Data
14/12/2005 15:36 <REP> Skype
29/08/2005 15:09 <REP> Spybot - Search & Destroy
29/08/2005 12:42 <REP> bone aim skip 01
17/07/2005 20:42 <REP> Adobe
01/07/2005 18:12 <REP> MSN6
20/06/2005 10:45 <REP> OLYMPUS
15/06/2005 19:59 <REP> QuickTime
14/06/2005 20:02 62 desktop.ini
14/06/2005 20:02 <REP> Microsoft
14/06/2005 20:02 <REP> .
14/06/2005 20:02 <REP> ..
1 fichier(s) 62 octets
10 R‚p(s) 3951263744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\athur & valentin\Application Data
09/11/2005 12:32 <REP> Real
26/08/2005 10:31 <REP> Macromedia
26/08/2005 10:30 <REP> MailFrontier
14/06/2005 19:29 <REP> Identities
14/06/2005 19:28 62 desktop.ini
14/06/2005 19:28 <REP> Microsoft
14/06/2005 19:28 <REP> ..
14/06/2005 19:28 <REP> .
1 fichier(s) 62 octets
7 R‚p(s) 3951263744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\charly & album\Application Data
18/12/2005 17:52 <REP> Media Player Classic
20/11/2005 19:29 <REP> AdobeAUM
01/11/2005 21:02 <REP> Real
14/09/2005 12:16 <REP> Nikon
01/09/2005 16:26 <REP> Help
29/08/2005 12:41 <REP> Insideadmintick
15/08/2005 14:39 <REP> MailFrontier
13/08/2005 11:57 <REP> Skype
04/08/2005 12:30 <REP> AdobeUM
30/07/2005 08:28 <REP> MGI
17/07/2005 20:38 <REP> Adobe
17/07/2005 20:38 0 dm.ini
17/07/2005 20:38 1216 AdobeDLM.log
01/07/2005 18:12 <REP> MSN6
15/06/2005 15:14 <REP> Kazaa Lite
14/06/2005 23:28 <REP> Macromedia
14/06/2005 20:19 <REP> Lavasoft
14/06/2005 19:22 <REP> Identities
14/06/2005 19:22 62 desktop.ini
14/06/2005 19:22 <REP> ..
14/06/2005 19:22 <REP> .
14/06/2005 19:22 <REP> Microsoft
3 fichier(s) 1278 octets
19 R‚p(s) 3951263744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\Default User\Application Data
14/06/2005 20:02 62 desktop.ini
14/06/2005 20:02 <REP> ..
14/06/2005 20:02 <REP> Microsoft
14/06/2005 20:02 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 3951263744 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\WINDOWS\Tasks
14/06/2005 19:17 6 SA.DAT
14/06/2005 19:14 65 desktop.ini
14/06/2005 19:14 <REP> ..
14/06/2005 19:14 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 3ÿ951ÿ259ÿ648 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas
*************** Fin du rapport ****************
Rapport fait à 21:57:33,20 le 26/02/2006
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\Administrateur\Application Data
03/02/2006 20:26 <REP> MailFrontier
03/02/2006 19:55 62 desktop.ini
03/02/2006 19:55 <REP> ..
03/02/2006 19:55 <REP> Microsoft
03/02/2006 19:55 <REP> .
1 fichier(s) 62 octets
4 R‚p(s) 3951267840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\All Users\Application Data
14/12/2005 15:36 <REP> Skype
29/08/2005 15:09 <REP> Spybot - Search & Destroy
29/08/2005 12:42 <REP> bone aim skip 01
17/07/2005 20:42 <REP> Adobe
01/07/2005 18:12 <REP> MSN6
20/06/2005 10:45 <REP> OLYMPUS
15/06/2005 19:59 <REP> QuickTime
14/06/2005 20:02 62 desktop.ini
14/06/2005 20:02 <REP> Microsoft
14/06/2005 20:02 <REP> .
14/06/2005 20:02 <REP> ..
1 fichier(s) 62 octets
10 R‚p(s) 3951263744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\athur & valentin\Application Data
09/11/2005 12:32 <REP> Real
26/08/2005 10:31 <REP> Macromedia
26/08/2005 10:30 <REP> MailFrontier
14/06/2005 19:29 <REP> Identities
14/06/2005 19:28 62 desktop.ini
14/06/2005 19:28 <REP> Microsoft
14/06/2005 19:28 <REP> ..
14/06/2005 19:28 <REP> .
1 fichier(s) 62 octets
7 R‚p(s) 3951263744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\charly & album\Application Data
18/12/2005 17:52 <REP> Media Player Classic
20/11/2005 19:29 <REP> AdobeAUM
01/11/2005 21:02 <REP> Real
14/09/2005 12:16 <REP> Nikon
01/09/2005 16:26 <REP> Help
29/08/2005 12:41 <REP> Insideadmintick
15/08/2005 14:39 <REP> MailFrontier
13/08/2005 11:57 <REP> Skype
04/08/2005 12:30 <REP> AdobeUM
30/07/2005 08:28 <REP> MGI
17/07/2005 20:38 <REP> Adobe
17/07/2005 20:38 0 dm.ini
17/07/2005 20:38 1216 AdobeDLM.log
01/07/2005 18:12 <REP> MSN6
15/06/2005 15:14 <REP> Kazaa Lite
14/06/2005 23:28 <REP> Macromedia
14/06/2005 20:19 <REP> Lavasoft
14/06/2005 19:22 <REP> Identities
14/06/2005 19:22 62 desktop.ini
14/06/2005 19:22 <REP> ..
14/06/2005 19:22 <REP> .
14/06/2005 19:22 <REP> Microsoft
3 fichier(s) 1278 octets
19 R‚p(s) 3951263744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\Documents and Settings\Default User\Application Data
14/06/2005 20:02 62 desktop.ini
14/06/2005 20:02 <REP> ..
14/06/2005 20:02 <REP> Microsoft
14/06/2005 20:02 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 3951263744 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est B421-5C29
R‚pertoire de C:\WINDOWS\Tasks
14/06/2005 19:17 6 SA.DAT
14/06/2005 19:14 65 desktop.ini
14/06/2005 19:14 <REP> ..
14/06/2005 19:14 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 3ÿ951ÿ259ÿ648 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas
*************** Fin du rapport ****************
Re
1 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jndccgfeipomomtm.com/ect4ChwEOA9BsnvjYxriuHP...
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5F2D1E-36CC-0356-36CE-8D327BA6AEEA} - C:\DOCUME~1\CHARLY~1\APPLIC~1\INTERT~1\thatobj.exe (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [MSN Service] amsnmsgrs.exe
O4 - HKCU\..\Run: [list settings] C:\DOCUME~1\CHARLY~1\APPLIC~1\INSIDE~1\tonsstartsurf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\Documents and Settings\All Users\Application Data\bone aim skip 01
C:\Documents and Settings\charly & album\Application Data\Insideadmintick
amsnmsgrs.exe --> Probablement dans C:\WINDOWS\System32 ou C:\WINDOWS
6 Lance le nettoyage avec CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
7 Redémarre normalement et poste un nouveau log HijackThis.
1 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jndccgfeipomomtm.com/ect4ChwEOA9BsnvjYxriuHP...
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5F2D1E-36CC-0356-36CE-8D327BA6AEEA} - C:\DOCUME~1\CHARLY~1\APPLIC~1\INTERT~1\thatobj.exe (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [MSN Service] amsnmsgrs.exe
O4 - HKCU\..\Run: [list settings] C:\DOCUME~1\CHARLY~1\APPLIC~1\INSIDE~1\tonsstartsurf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\Documents and Settings\All Users\Application Data\bone aim skip 01
C:\Documents and Settings\charly & album\Application Data\Insideadmintick
amsnmsgrs.exe --> Probablement dans C:\WINDOWS\System32 ou C:\WINDOWS
6 Lance le nettoyage avec CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
7 Redémarre normalement et poste un nouveau log HijackThis.
Merci beaucoup,
J'ai suivi toutes tes instructions, voici le nouveau log HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 23:43:18, on 26/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\eadf4c6243f4f494bf29c74db1a1b1fc\update\update.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .swf: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin9.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.ca...
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
J'ai suivi toutes tes instructions, voici le nouveau log HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 23:43:18, on 26/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\eadf4c6243f4f494bf29c74db1a1b1fc\update\update.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .swf: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin9.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.ca...
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
HijackThis est propre.
On fini avec une analyse antivirus en ligne sur Kaspersky
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Colle son rapport ici.
On fini avec une analyse antivirus en ligne sur Kaspersky
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Colle son rapport ici.
Merci bcp de ton aide Chercheur PCA.
Me revoilà, ça a été un peu long, cause plantage juste à la fin du scan. J'ai donc relancé le scan uniquement sur le C, il a retrouvé les memes choses que la 1ère fois.
KASPERSKY ON-LINE SCANNER REPORT
Monday, February 27, 2006 14:44:49
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 27/02/2006
Kaspersky Anti-Virus database records: 168075
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - Folders:
C:\
Scan Statistics:
Total number of scanned objects: 28404
Number of viruses found: 2
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 3828 sec
Infected Object Name - Virus Name
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113858.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113860.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113861.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113863.exe Infected: Trojan-Downloader.Win32.Swizzor.cb
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113865.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113866.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113867.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113868.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113869.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
Scan process completed.
Me revoilà, ça a été un peu long, cause plantage juste à la fin du scan. J'ai donc relancé le scan uniquement sur le C, il a retrouvé les memes choses que la 1ère fois.
KASPERSKY ON-LINE SCANNER REPORT
Monday, February 27, 2006 14:44:49
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 27/02/2006
Kaspersky Anti-Virus database records: 168075
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - Folders:
C:\
Scan Statistics:
Total number of scanned objects: 28404
Number of viruses found: 2
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 3828 sec
Infected Object Name - Virus Name
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113858.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113860.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113861.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113863.exe Infected: Trojan-Downloader.Win32.Swizzor.cb
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113865.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113866.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113867.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113868.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
C:\System Volume Information\_restore{6D9D37E7-4993-4375-9EF4-7D4AFC56D03B}\RP300\A0113869.exe Infected: Trojan-Downloader.Win32.Swizzor.dv
Scan process completed.
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumVirus et ordi qui plante sans cesse
- ForumVirus qui reviennent sans cesse
- ForumVirus explorer qui se redemare sans cesse
- ForumVirus teekids apparait sans cesse
- ForumOrdinateur redemarrage sans cesse virus
- ForumPc qui redemarre sans cesse , virus
- ForumUn virus qui reviens sans cesse
- ForumVirus introuvable et qui revien sans cesse
- ForumPc plante sans cesse. virus
- ForumUcleaner qui revient sans cesse
- Voir plus
