Depuis quelques temps j'ai des problèmes tout d'abord j'ai commencé à avoir des entrées de procédure de DLL
qui ont "disparus" dans les fichiers NTDLL.DLL et ADVAPI32.DLL.
Donc je me suis dis que j'avais un virus, j'ai fait un scan et effectivement avec Stinger j'ai trouvé un W32/Sdbot.worm.gen.
Et après une de ces infections, j'ai commencer à recevoir pas mal de trojans qui étaient bloquer auparavant, donc je me demande si un virus ou trojans n'a pas ouvert une brèche dans la sécurité Windows. J'ai donc fais les mises à jour windows.
Maintenant,j'ai moins de troyens mais j'ai un Win32ssr.exe qui subsiste.
Je vous joint le rapport HijackThis et si au passage vous savez comment résoudre le problème de Dll...
Merci d'avance.
Logfile of HijackThis v1.99.1
Scan saved at 20:13:17, on 03/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
E:\Antivirus Avast\aswUpdSv.exe
E:\Antivirus Avast\ashServ.exe
D:\WINNT\system32\CTsvcCDA.EXE
D:\WINNT\System32\svchost.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\win32ssr.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
E:\Antivirus Avast\ashWebSv.exe
E:\Antivirus Avast\ashMaiSv.exe
D:\WINNT\Explorer.EXE
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\ANTIVI~1\ashDisp.exe
E:\msn\MsgPlus.exe
D:\WINNT\tppaldr.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Google\Google Talk\googletalk.exe
E:\films\Common\Bin\WinCinemaMgr.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\WINNT\system32\taskmgr.exe
D:\Program Files\firefox.exe
E:\a²free\a-squared\a2start.exe
E:\a²free\a-squared\a2scan.exe
D:\WINNT\system32\cmd.exe
D:\Program Files\Internet Explorer\iexplore.exe
E:\downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\msn\MsgPlus.exe"
O4 - HKLM\..\Run: [NI.UERSV_0001_LP] "E:\downloads\ErrorSafeScannerInstall_fr.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] D:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [winsystems25] spread.exe
O4 - HKLM\..\Run: [LaunchList] D:\Program Files\Pinnacle\Studio 9\LaunchList.exe
O4 - HKLM\..\RunServices: [winsystems25] spread.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] D:\Program Files\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [googletalk] "D:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [a-squared] "E:\a²free\a-squared\a2guard.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\films\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolb [...] p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] nicode.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.co [...] Atchmt.ocx
O20 - Winlogon Notify: nwprovau - D:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Antivirus Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Antivirus Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Antivirus Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Antivirus Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\System32\nvsvc32.exe
O23 - Service: Win32Sr - Unknown owner - D:\WINNT\win32ssr.exe
Bonsoir
On nettoye le PC pour commencer.
1. Télécharger The Avenger par Swandog46 sur votre Bureau
http://swandog46.geekstogo.com/avenger.zip
- Click sur Avenger.zip pour ouvrir le fichier
- Extraire avenger.exe sur votre bureau
2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): (nouveau script)
| Citation :
|
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
- Sous "Script file to execute" choisir "Input Script Manually".
- Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
- Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
- Cliquer Done
- ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
- Répondre "Yes" deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
- Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
- Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
- Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
- The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE
Avant de poster, j'avais lancer un scan kaperskay qui m'a trouver ceci:-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, March 03, 2006 23:37:30
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 3/03/2006
Kaspersky Anti-Virus database records: 169014
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - Folders:
D:\
Scan Statistics:
Total number of scanned objects: 68977
Number of viruses found: 3
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 8927 sec
Infected Object Name - Virus Name
D:\WINNT\system32\spool\drivers\swchost.exe Infected: Backdoor.Win32.Bifrose.ml
D:\WINNT\system32\a.exe Infected: Backdoor.Win32.SdBot.aad
D:\WINNT\system32\win32ssr.exe Infected: Backdoor.Win32.SdBot.aof
D:\WINNT\win32ssr.exe Infected: Backdoor.Win32.SdBot.aof
D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\STGL6FEP\rp5[1].exe Infected: Backdoor.Win32.SdBot.aad
Scan process completed.
Mais apparemment l'antivirus ne supprime pas dois-je donc faire ce que vous m'avez conseiller plus haut.
Re
Kaspersky trouve plein de choses, mais ne supprime pas.
Tu vas faire la manip avec Avenger, mais je change le script du point 2.
J'édite mon message au dessus.
J'ai rajouté des fichiers supplémentaires à supprimer.
J'ai suivi les consignes et je reçois ce message en bloc note:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ebbxbepe
*******************
Script file located at: cngwwpog
Could not open script file! Error
Could not open script file! Status: 0xc000003b Abort!
Bon, il y a un morceau du script qui ne lui plait pas.
On va faire des essais. Tu va utiliser le premier script ci dessous.
S'il fonctionne, poste le rapport.
S'il y a le même message d'erreur, tu passes au deuxième.
Dans le premier, j'ai supprimer le fichier temporaire, car la casse ne lui plait peut être pas.
| Citation : Files to delete:
|
Dans le deuxième,j'ai supprimer le disque E car il ne supporte peut être pas deux disques différents.
| Citation : Files to delete:
|
Dans tout les cas, tu me dis lequel à fonctionner.
Mais je crois que j'ai supprimer le a.exe car j'ai fais un scan a²free
voilà le premier script m'a donné ça:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wgckvgwo
*******************
Script file located at: \??\D:\WINNT\pfmwwnhi.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at D:\Avenger
*******************
Beginning to process script file:
File E:\downloads\ErrorSafeScannerInstall_fr.exe not found!
Deletion of file E:\downloads\ErrorSafeScannerInstall_fr.exe failed!
Could not process line:
E:\downloads\ErrorSafeScannerInstall_fr.exe
Status: 0xc0000034
File D:\WINNT\system32\spread.exe not found!
Deletion of file D:\WINNT\system32\spread.exe failed!
Could not process line:
D:\WINNT\system32\spread.exe
Status: 0xc0000034
File D:\WINNT\win32ssr.exe deleted successfully.
File D:\WINNT\system32\spool\drivers\swchost.exe deleted successfully.
File D:\WINNT\system32\a.exe not found!
Deletion of file D:\WINNT\system32\a.exe failed!
Could not process line:
D:\WINNT\system32\a.exe
Status: 0xc0000034
File D:\WINNT\system32\win32ssr.exe deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Et sinon avast m'a erncore trouvé ce trojan ce matin, il revient souvent sous des noms différents:Win32:Ranky-CN
un dans C:\emp.exe
et un dans D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\SX8L8JYN\em[1].exe
Voilà le nouveau rapport hijack this après ce que vous m'avez demandé de faire.
Logfile of HijackThis v1.99.1
Scan saved at 16:59:41, on 04/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
E:\Antivirus Avast\aswUpdSv.exe
E:\Antivirus Avast\ashServ.exe
D:\WINNT\system32\CTsvcCDA.EXE
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\netdrvr.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
E:\Antivirus Avast\ashMaiSv.exe
E:\Antivirus Avast\ashWebSv.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\ANTIVI~1\ashDisp.exe
E:\msn\MsgPlus.exe
D:\WINNT\tppaldr.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Google\Google Talk\googletalk.exe
E:\films\Common\Bin\WinCinemaMgr.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
D:\Program Files\firefox.exe
D:\WINNT\system32\cmd.exe
D:\WINNT\system32\newexe.exe
D:\WINNT\system32\lup.exe
D:\WINNT\system32\sysctl.exe
E:\Antivirus Avast\ashSimpl.exe
E:\Antivirus Avast\ashChest.exe
E:\downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\msn\MsgPlus.exe"
O4 - HKLM\..\Run: [NI.UERSV_0001_LP] "E:\downloads\ErrorSafeScannerInstall_fr.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] D:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [winsystems25] spread.exe
O4 - HKLM\..\Run: [LaunchList] D:\Program Files\Pinnacle\Studio 9\LaunchList.exe
O4 - HKLM\..\Run: [msconfig38] newexe.exe
O4 - HKLM\..\Run: [secures23] lup.exe
O4 - HKLM\..\Run: [sysctl32] sysctl.exe
O4 - HKLM\..\RunServices: [winsystems25] spread.exe
O4 - HKLM\..\RunServices: [msconfig38] newexe.exe
O4 - HKLM\..\RunServices: [secures23] lup.exe
O4 - HKLM\..\RunServices: [sysctl32] sysctl.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] D:\Program Files\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [googletalk] "D:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [a-squared] "E:\a²free\a-squared\a2guard.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\films\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolb [...] p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] nicode.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.co [...] Atchmt.ocx
O20 - Winlogon Notify: nwprovau - D:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Antivirus Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Antivirus Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Antivirus Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Antivirus Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\System32\nvsvc32.exe
O23 - Service: Win32Sr - Unknown owner - D:\WINNT\win32ssr.exe (file missing)
J'avais le meme probleme puis en voulant jouer les grands, j'ai chercher sur le net pour effacer ces espèce de virus ou trojan je ne sais pas trop et puis j'ai fait les manip manque de bol, ntdlr a disparu de mon hdd... Du coup, ce matin ( j'ai deux hdd ) j'ai sauvegarder tout sur mon hdd 2 et j'ai fait un format bas niveau puis une réinstall de tout... Ca va beaucoup mieu maintenant... Je pense que c'est la manière la plus simple.. A noter que si il vous manque un jour ntdlr, le pc juste apres la detection de cd de boot dit ntdlr manquant apuyez sur ctrl + alt + sup.
Dans ce cas mettant un cd d'install de xp et redémarer vous devriez normalement pouvoir avoir access a votre bureau. Ensuite faites vos sauvegardes et formater...
Merci, mais en fait ce n'est pas Ntdlr manquant mais ntdll ainsi que advapi32 et le dll n'est pas manquant mais il me dit entrée de procédure non trouvée ou quelques choses comme ça.
Je crois que c'est à la suite d'un virus.
Mais pour l'instant j'essaye déjà de colmater la brèche qui a été ouverte sur mon ordi et de viré tout les sales trojans qui se sont fait leur nid sur mon ordi.
Merci de votre aide.
est-ce que quelqu'un pourrait me faire une traduction de ce rapport:
| Citation : Logfile of HijackThis v1.99.1
|
Bonsoir
Le rapport est plus infecté qu'avant .
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
Ewido
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.
2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKLM\..\Run: [NI.UERSV_0001_LP] "E:\downloads\ErrorSafeScannerInstall_fr.exe"
O4 - HKLM\..\Run: [winsystems25] spread.exe
O4 - HKLM\..\Run: [msconfig38] newexe.exe
O4 - HKLM\..\Run: [secures23] lup.exe
O4 - HKLM\..\Run: [sysctl32] sysctl.exe
O4 - HKLM\..\RunServices: [winsystems25] spread.exe
O4 - HKLM\..\RunServices: [msconfig38] newexe.exe
O4 - HKLM\..\RunServices: [secures23] lup.exe
O4 - HKLM\..\RunServices: [sysctl32] sysctl.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolb [...] p=ZNfox000
O23 - Service: Win32Sr - Unknown owner - D:\WINNT\win32ssr.exe (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
5 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"Win32Sr" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "D:\WINNT\win32ssr.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
E:\downloads\ErrorSafeScannerInstall_fr.exe
D:\WINNT\system32\newexe.exe
D:\WINNT\system32\lup.exe
D:\WINNT\system32\sysctl.exe
D:\WINNT\win32ssr.exe
spread.exe Probablement dans D:\WINNT ou D:\WINNT\system32
7 Lance le nettoyage avec CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
8 Lance Ewido.
Fais un scan en mode complet.
Sauvegardes le rapport.
9 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'Ewido.
Je suis en train de faire un scan rapide Ewidoo en mode normal et il a déjà trouvé:
newexe.exe
netdrvr.exe
lup.exe
Il me dit supprimmer je dis ok mais les virus sont toujours actifs dans le gestionnaire de tache.
Il est préferable de le faire en mode sans échec pour faciliter la suppression des fichiers.
Effectue ma manip, et tu devrait être tranquille ensuite.
voilà le résultat du scan rapide Ewidoo:
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 23:07:37, 04/03/2006
+ Somme de contrôle: 85C2C0C4
+ Résultats du scan:
[640] D:\WINNT\system32\netdrvr.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
[1568] D:\WINNT\system32\newexe.exe -> Backdoor.Rbot.amz : Nettoyer et sauvegarder
[1548] D:\WINNT\system32\lup.exe -> Backdoor.Rbot.aeu : Nettoyer et sauvegarder
D:\Documents and Settings\christophe\Cookies\christophe@pinnaclesystems.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
::Fin du rapport
à noter que le Sdbot et les Rbot je les déja eu et supprimer plusieurs fois mais ils reviennent tout le temps.
J'ai fait ce que vous m'aviez dit sous le mode sans échec mais j'ai con fondu CCleaner avec eclea2_0
et impossible de lancer ewidoo la barre de réduction apparait en bas mais je ne vois pas la fenêtre.
Puis-je faire ces scans en mode normal?
Merci
Si les fichiers infectés on étés enlevés en mode sans échec, poste un rapport HijackThis pour controle.
Logfile of HijackThis v1.99.1
Scan saved at 23:58:53, on 04/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
E:\Antivirus Avast\aswUpdSv.exe
E:\Antivirus Avast\ashServ.exe
D:\WINNT\system32\CTsvcCDA.EXE
D:\WINNT\System32\svchost.exe
E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
E:\Ewidoo\ewido anti-malware\ewidoguard.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\ANTIVI~1\ashDisp.exe
E:\msn\MsgPlus.exe
D:\WINNT\tppaldr.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Google\Google Talk\googletalk.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
E:\films\Common\Bin\WinCinemaMgr.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
D:\Program Files\firefox.exe
E:\Antivirus Avast\ashMaiSv.exe
E:\Antivirus Avast\ashWebSv.exe
E:\downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\msn\MsgPlus.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] D:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [LaunchList] D:\Program Files\Pinnacle\Studio 9\LaunchList.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] D:\Program Files\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [googletalk] "D:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [a-squared] "E:\a²free\a-squared\a2guard.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\films\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] nicode.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.co [...] Atchmt.ocx
O20 - Winlogon Notify: nwprovau - D:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Antivirus Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Antivirus Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Antivirus Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Antivirus Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - D:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\System32\nvsvc32.exe
Re
Encore une correction.
1 Relance un scan HijackThis et coche les lignes ci-dessous :
O23 - Service: Network DRV (NTDRV) - Unknown owner - D:\WINNT\system32\netdrvr.exe (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
2 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
3 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"Network DRV" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "D:\WINNT\system32\netdrvr.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
D:\WINNT\system32\netdrvr.exe
5 Lance le nettoyage avec CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
6 Lance Ewido.
Fais un scan en mode complet.
Sauvegarde le rapport
7 Fais une analyse antivirus en ligne sur Kaspersky
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Colle son rapport ici avec un nouveau log HijackThis et le rapport d'Ewido.
Je fais ceci en mode normale?
Oui, sauf si tu ne peux pas supprimer le fichier. Dans ce cas, tu le fais en mode sans échec.
Voici le rapport Ewidoo :
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 11:53:07, 05/03/2006
+ Somme de contrôle: FF70A3B6
+ Résultats du scan:
D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\07IBGXEJ\sysctl[1].exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\SX8L8JYN\sysctl[1].exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\STGL6FEP\rp5[1].exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
:mozilla.28
:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder
:mozilla.29:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder
:mozilla.30:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder
:mozilla.31:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
:mozilla.33:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
:mozilla.70:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
:mozilla.86:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Webtrendslive : Nettoyer et sauvegarder
:mozilla.90:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder
:mozilla.91:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder
:mozilla.94:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.95:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.96:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.101:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyer et sauvegarder
:mozilla.102:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyer et sauvegarde
:mozilla.106:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Paycounter : Nettoyer et sauvegarder
:mozilla.111:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.112:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.113:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
:mozilla.116:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
:mozilla.117:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
:mozilla.118:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
:mozilla.119:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Webtrendslive : Nettoyer et sauvegarder
:mozilla.120:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder
:mozilla.121:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder
:mozilla.122:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder
D:\Documents and Settings\christophe\sysctl.exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
D:\avenger\backup.zip/avenger/win32ssr.exe -> Backdoor.SdBot.aad : Erreur durant le nettoyage
D:\avenger\backup.zip/avenger/swchost.exe -> Dropper.Paradrop.a : Erreur durant le nettoyage
D:\avenger\backup.zip/avenger/win32ssr.exe-ren-626 -> Backdoor.SdBot.aad : Erreur durant le nettoyage
E:\RealVNC\VNC4\vncconfig.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4 : Nettoyer et sauvegarder
E:\RealVNC\VNC4\wm_hooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4 : Nettoyer et sauvegarder
E:\RealVNC\Nouveau dossier\VNC4\vncconfig.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4 : Nettoyer et sauvegarder
E:\RealVNC\Nouveau dossier\VNC4\wm_hooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4 : Nettoyer et sauvegarder
::Fin du rapport
et voici le nouveau rapport Hijack This:
Logfile of HijackThis v1.99.1
Scan saved at 12:06:36, on 05/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
E:\Antivirus Avast\aswUpdSv.exe
E:\Antivirus Avast\ashServ.exe
D:\WINNT\system32\CTsvcCDA.EXE
D:\WINNT\System32\svchost.exe
E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
E:\Ewidoo\ewido anti-malware\ewidoguard.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\ANTIVI~1\ashDisp.exe
E:\msn\MsgPlus.exe
D:\WINNT\tppaldr.exe
D:\WINNT\system32\spread.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Program Files\Google\Google Talk\googletalk.exe
E:\films\Common\Bin\WinCinemaMgr.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
E:\Antivirus Avast\ashWebSv.exe
E:\Antivirus Avast\ashMaiSv.exe
D:\Program Files\firefox.exe
E:\downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\msn\MsgPlus.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] D:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [LaunchList] D:\Program Files\Pinnacle\Studio 9\LaunchList.exe
O4 - HKLM\..\Run: [winsystems25] spread.exe
O4 - HKLM\..\RunServices: [winsystems25] spread.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] D:\Program Files\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [googletalk] "D:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [a-squared] "E:\a²free\a-squared\a2guard.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\films\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] nicode.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.co [...] Atchmt.ocx
O20 - Winlogon Notify: nwprovau - D:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Antivirus Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Antivirus Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Antivirus Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Antivirus Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\System32\nvsvc32.exe
Pourrait-on me faire un diagnostic du rapport ci-dessus.
Merci
Bonsoir
Il reste ceci dans HijackThis
O4 - HKLM\..\Run: [winsystems25] spread.exe
O4 - HKLM\..\RunServices: [winsystems25] spread.exe
Il faudrait aussi faire le scan en ligne comme demandé au point 7 dans un post ci-dessus.
ok, je vais faire le scan en ligne.
Par contre, le fichier spread.exe est insupprimable même en mode sans echec.
De plus, les virus que je retire par exemple newexe.exe reviennent tout le temps.
À chaque démarrage Ewidoo me demande de le nettoyer.
un scan ewidoo m'a donnée ça:---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 19:03:09, 06/03/2006
+ Somme de contrôle: 13A230E2
+ Résultats du scan:
D:\Documents and Settings\christophe\Local Settings\Temporary Internet Files\Content.IE5\UJWXMH69\sysctl[1].exe -> Backdoor.Agobot.agw : Nettoyer et sauvegarder
:mozilla.24:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
:mozilla.25:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\zp86eey1.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\STGL6FEP\r71[1].exe -> Backdoor.SdBot.aoj : Nettoyer et sauvegarder
::Fin du rapport
Encore un nouveau virus avez-vous une idée de comment "boucher les trous" de mon windows à part avec les mises à jour Microsoft car ça c'est déjà fait
Voilà le rapport kaspersky:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, March 06, 2006 22:58:36
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/03/2006
Kaspersky Anti-Virus database records: 169526
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - My Computer:
A:\
C:\
D:\
E:\
G:\
H:\
I:\
Scan Statistics:
Total number of scanned objects: 163402
Number of viruses found: 3
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 16333 sec
Infected Object Name - Virus Name
D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\SX8L8JYN\lat[1].exe Infected: Backdoor.Win32.Agobot.agw
D:\Documents and Settings\christophe\lup.exe Infected: Backdoor.Win32.Agobot.agw
D:\avenger\backup.zip/avenger/win32ssr.exe Infected: Backdoor.Win32.SdBot.aof
D:\avenger\backup.zip/avenger/swchost.exe Infected: Backdoor.Win32.Bifrose.ml
D:\avenger\backup.zip/avenger/win32ssr.exe-ren-626 Infected: Backdoor.Win32.SdBot.aof
D:\avenger\backup.zip Infected: Backdoor.Win32.SdBot.aof
Scan process completed.
et un nouveau hijackthis
ogfile of HijackThis v1.99.1
Scan saved at 18:24:23, on 07/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
E:\Antivirus Avast\aswUpdSv.exe
E:\Antivirus Avast\ashServ.exe
D:\WINNT\system32\CTsvcCDA.EXE
D:\WINNT\System32\svchost.exe
E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
E:\Ewidoo\ewido anti-malware\ewidoguard.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
E:\Ewidoo\ewido anti-malware\securitysuite.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\ANTIVI~1\ashDisp.exe
E:\msn\MsgPlus.exe
D:\WINNT\tppaldr.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Program Files\Google\Google Talk\googletalk.exe
E:\films\Common\Bin\WinCinemaMgr.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
E:\Antivirus Avast\ashWebSv.exe
E:\Antivirus Avast\ashMaiSv.exe
D:\Program Files\firefox.exe
D:\WINNT\system32\taskmgr.exe
E:\Antivirus Avast\ashLogV.exe
D:\WINNT\system32\NOTEPAD.EXE
E:\downloads\Nettoyage\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\msn\MsgPlus.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] D:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [LaunchList] D:\Program Files\Pinnacle\Studio 9\LaunchList.exe
O4 - HKLM\..\Run: [msconfig38] newexe.exe
O4 - HKLM\..\Run: [secures23] lup.exe
O4 - HKLM\..\RunServices: [msconfig38] newexe.exe
O4 - HKLM\..\RunServices: [secures23] lup.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] D:\Program Files\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [googletalk] "D:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [a-squared] "E:\a²free\a-squared\a2guard.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\films\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] nicode.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.co [...] Atchmt.ocx
O20 - Winlogon Notify: nwprovau - D:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Antivirus Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Antivirus Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Antivirus Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Antivirus Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\System32\nvsvc32.exe
Par contre tout à l'heure en démarrant mon ordinateur j'ai eu à nouveau un problème avec le fichier lsass qui fait redémarrer mon ordi et les virus newexe.exe et lup.exe sont toujours là en + Ewidoo ne les détecte plus lorsque je les scan alors je suis obligé de les supprimer en faisant terminer un processus.
Voilà avec Ewidoo, j'ai également vu que les trojans newexe.exe et lup.exe se trouvaient dans les données de démarrage.
Est-ce qu'il faut que je les supprime?
Bonjour
Oui, mais en mode sans échec, ils ne devraient pas être actifs.
1 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
2 Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKLM\..\Run: [msconfig38] newexe.exe
O4 - HKLM\..\Run: [secures23] lup.exe
O4 - HKLM\..\RunServices: [msconfig38] newexe.exe
O4 - HKLM\..\RunServices: [secures23] lup.exe
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
3 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
D:\Documents and Settings\christophe\lup.exe
newexe.exe
lup.exe
Généralement dans D:\WINNT\system32 ou D:\WINNT. Mais vérifie aussi dans D:\Documents and Settings\christophe
5 Lance le nettoyage avec CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
6 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'Ewido.
hier en voulant redémarrer l'ordi en mode sans échec plus moyen de démarrer; en mode normal,j'arrivais au niveau de rentrer son mot de passe pour ouvrir sa session puis l'ordinateur se bloquait plus rien.
J'ai rebooter au moins 5 fois dans quasiment tous les mods (mode normal, mode sans échec, mode déboguage...), rien à faire.
Donc, j'ai attendu et puis ce soir ça allait si ce n'est que lorsque je me suis connecter à ma session, j'ai essayé de faire un scan anti sasser car de tant en tant mon ordi me donne 1 minute pour démarrer (j'ai remonter l'horloge d'une heure et l'ordi me laissait alors 1 heure), enfin bon j'ai essayé de faire un scan et là il me dit vous n'êtes pas administrateur vous ne pouvez pas faire ce scan alors que normalement je suis administrateur, donc je me suis connecté sous la session administrateur et j'ai fais quelques scans, j'ai trouvé les virus habituels: newexe.exe, lup.exe.
Mais est-ce que je peux faire la manipulation en mod normal et y a t-il un moyen pour arrêter que les virus reviennent? car ils sont tous dans le fichier content IE5 alors que j'ai mis à jour internet explorer et puis j'utilises seulement firefox.
Merci beaucoup de votre aide.
Bonsoir
Fais la manip en mode normal.
Mais avant de supprimer les fichiers, arrête les dans les processus actifs.
Ensuite, poste un nouveau HijackThis et ce qui suit.
Télécharge ce fichier
http://www.silentrunners.org/Silent%20Runners.zip
Une fois téléchargé,tu le dézippes dans un dossier dédié.
Puis tu double cliques sur ce fichier,il va travailler, patiente jusqu'à l'affichage d'un message.
Un rapport est généré dans le meme dossier, colle le ici.
Si tu as une alerte au cours du téléchargement ,ou au cours des réparations de votre antivirus,au sujet de ce script,n'en tiends pas compte.
Je ne vois pas de pare feu. Il en faut un.
par exemple ZoneAlarm
http://www.zonelabs.com/
et son tutorial
http://speedweb1.free.fr/frames2.php?page=tuto1
Un ami m'a dit que avast intégrait un pare-feu et qu'il n'y avait pas besoin de zone alarm en plus.
Dois-je vraiment prendre un parefeu car je dois dire que j'en avais un peu de devoir cliqué sur accepter 30 fois au démarrage
Le parefeu de ZoneAlarm est très performant.
Avec le tutorial indiqué, il est facilement configurable.
Au début, effectivement il faut parfois plusieurs clics. Mais c'est juste le temps que ZoneAlarm reconnaisse les programmes.
D'accord, merci beaucoup je supprime tout demain et puis j'installe zoneAlarm.
Hier, j'ai fait un scan Ewidoo complet,il m'a trouvé encore les même virus, j'ai tout supprimé et aujourd'hui plus rien donc je suppose que je ne suis plus infecté?
Voici le nouveau log Hijack this les lignes que je devaient supprimer ne sont plus là donc je pense que c'est bon.
Logfile of HijackThis v1.99.1
Scan saved at 18:14:08, on 10/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
E:\Antivirus Avast\aswUpdSv.exe
E:\Antivirus Avast\ashServ.exe
D:\WINNT\system32\CTsvcCDA.EXE
D:\WINNT\System32\svchost.exe
E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\ANTIVI~1\ashDisp.exe
E:\msn\MsgPlus.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\WINNT\tppaldr.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Google\Google Talk\googletalk.exe
E:\films\Common\Bin\WinCinemaMgr.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
E:\Antivirus Avast\ashMaiSv.exe
E:\Antivirus Avast\ashWebSv.exe
E:\Ewidoo\ewido anti-malware\ewidoguard.exe
E:\Limewire\Limwire pro\LimeWire\LimeWire.exe
D:\WINNT\system32\taskmgr.exe
E:\Ewidoo\ewido anti-malware\SecuritySuite.exe
D:\Program Files\firefox.exe
E:\downloads\Nettoyage\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\msn\MsgPlus.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] D:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [LaunchList] D:\Program Files\Pinnacle\Studio 9\LaunchList.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] D:\Program Files\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [googletalk] "D:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [a-squared] "E:\a²free\a-squared\a2guard.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\films\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] nicode.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.co [...] Atchmt.ocx
O20 - Winlogon Notify: nwprovau - D:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Antivirus Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Antivirus Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Antivirus Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Antivirus Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\System32\nvsvc32.exe
Voici le nouveau log
Logfile of HijackThis v1.99.1
Scan saved at 22:07:34, on 14/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
E:\Antivirus Avast\aswUpdSv.exe
E:\Antivirus Avast\ashServ.exe
D:\WINNT\system32\CTsvcCDA.EXE
D:\WINNT\System32\svchost.exe
E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
E:\Ewidoo\ewido anti-malware\ewidoguard.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZONELABS\vsmon.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
E:\ANTIVI~1\ashDisp.exe
E:\msn\MsgPlus.exe
D:\WINNT\tppaldr.exe
E:\ZoneAlarmPro\ZoneAlarm\zlclient.exe
D:\WINNT\system32\runll.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Google\Google Talk\googletalk.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
E:\films\Common\Bin\WinCinemaMgr.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.exe
D:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
E:\Ewidoo\ewido anti-malware\securitysuite.exe
D:\Program Files\firefox.exe
E:\Antivirus Avast\ashWebSv.exe
E:\Antivirus Avast\ashMaiSv.exe
E:\Skype\Phone\Skype.exe
E:\downloads\Nettoyage\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\msn\MsgPlus.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] D:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [LaunchList] D:\Program Files\Pinnacle\Studio 9\LaunchList.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\ZoneAlarmPro\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Microsoft Command C] runll.exe
O4 - HKLM\..\RunServices: [Microsoft Command C] runll.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] D:\Program Files\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [googletalk] "D:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [a-squared] "E:\a²free\a-squared\a2guard.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\films\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] nicode.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.co [...] Atchmt.ocx
O20 - Winlogon Notify: nwprovau - D:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Antivirus Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Antivirus Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Antivirus Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Antivirus Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\Ewidoo\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZONELABS\vsmon.exe
Je suspecte ceci:
| Citation : O4 - HKLM\..\Run: [Microsoft Command C] runll.exe
|
et auriez vous une solution au niveau des DLL Advapi32.dll et ntdll.dll
car je ne supporte plus de devoir fermer 10 fenêtre à chaque ouverture de session et de ne plus pouvoir me connecter à MSN Messenger.
Merci beaucoup.
Et voici aussi le scan Silent runners
"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"MSMSGS" = "D:\Program Files\Messenger\msmsgs.exe /background" [file not found]
"googletalk" = ""D:\Program Files\Google\Google Talk\googletalk.exe" /autostart" ["Google"]
"a-squared" = ""E:\a²free\a-squared\a2guard.exe"" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"NvCplDaemon" = "RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Share-to-Web Namespace Daemon" = "D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"CloneCDElbyCDFL" = ""D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"CloneCDTray" = ""D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"" ["Elaborate Bytes AG"]
"SunJavaUpdateSched" = "D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NeroCheck" = "D:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"avast!" = "E:\ANTIVI~1\ashDisp.exe" [null data]
"MessengerPlus3" = ""E:\msn\MsgPlus.exe"" ["Patchou"]
"TPP Auto Loader" = "D:\WINNT\tppaldr.exe" ["Cypress Semiconductor"]
"LaunchList" = "D:\Program Files\Pinnacle\Studio 9\LaunchList.exe" [file not found]
"Zone Labs Client" = "E:\ZoneAlarmPro\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"Microsoft Command C" = "runll.exe" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Spybot\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "D:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu Extension"
\InProcServer32\(Default) = "E:\Win ace\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 DragDrop Shell Extension"
-> {HKLM...CLSID} = "WinAceDrag-Drop Extension"
\InProcServer32\(Default) = "E:\Win ace\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "E:\Win ace\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Property Sheet Shell Extension"
-> {HKLM...CLSID} = "WinAceProperty Sheet Extension"
\InProcServer32\(Default) = "E:\Win ace\arcext.dll" ["e-merge GmbH"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "D:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "D:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {HKLM...CLSID} = "CloneCD Shell Extension"
\InProcServer32\(Default) = "D:\Program Files\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{8e9d6600-f84a-11ce-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare Objects"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{e3f2bac0-099f-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare UNC Folder Menu"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{52c68510-09a0-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare Hood Verbs"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "E:\Antivirus Avast\ashShell.dll" ["ALWIL Software"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar\rarext.dll" [null data]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {HKLM...CLSID} = "a² Context Menu Shell Extension"
\InProcServer32\(Default) = "E:\a²free\a-squared\a2contmenu.dll" [null data]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "E:\Ewidoo\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "E:\Antivirus Avast\ashShell.dll" ["ALWIL Software"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "E:\Ewidoo\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "E:\Win ace\arcext.dll" ["e-merge GmbH"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "E:\Ewidoo\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar\rarext.dll" [null data]
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "E:\Win ace\arcext.dll" ["e-merge GmbH"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {HKLM...CLSID} = "a² Context Menu Shell Extension"
\InProcServer32\(Default) = "E:\a²free\a-squared\a2contmenu.dll" [null data]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "E:\Antivirus Avast\ashShell.dll" ["ALWIL Software"]
NetWareUNCMenu\(Default) = "{e3f2bac0-099f-11cf-8daa-00aa004a5691}"
-> {HKLM...CLSID} = "NetWare UNC Folder Menu"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\Winrar\rarext.dll" [null data]
Default executables:
--------------------
HKCU\Software\Classes\.bat\(Default) = (value not set)
HKCU\Software\Classes\.cmd\(Default) = (value not set)
HKCU\Software\Classes\.com\(Default) = (value not set)
HKCU\Software\Classes\.exe\(Default) = (value not set)
HKCU\Software\Classes\.hta\(Default) = (value not set)
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "D:\WINNT\system32\ssstars.scr" [MS]
Startup items in "christophe" & "All Users" startup folders:
------------------------------------------------------------
D:\Documents and Settings\christophe\Menu Démarrer\Programmes\Démarrage
"OpenOffice.org 2.0" -> shortcut to: "D:\Program Files\OpenOffice.org 2.0\program\quickstart.exe" [null data]
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Microsoft Office" -> shortcut to: "D:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"Adobe Gamma Loader" -> shortcut to: "D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"InterVideo WinCinema Manager" -> shortcut to: "E:\films\Common\Bin\WinCinemaMgr.exe" [empty string]
Enabled Scheduled Tasks:
------------------------
"Spybot - Search & Destroy - Scheduled Task" -> launches: "E:\Spybot\Spybot - Search & Destroy\SpybotSD.exe /AUTOCHECK" ["Safer Networking Limited"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "D:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "MSN Messenger Service"
"Exec" = "D:\Program Files\Messenger\MSMSGS.EXE" [file not found]
Miscellaneous IE Hijack Points
------------------------------
D:\WINNT\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
avast! Antivirus, avast! Antivirus, ""E:\Antivirus Avast\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""E:\Antivirus Avast\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""E:\Antivirus Avast\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""E:\Antivirus Avast\ashWebSv.exe" /service" ["ALWIL Software"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "D:\WINNT\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
ewido security suite control, ewido security suite control, "E:\Ewidoo\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "E:\Ewidoo\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
NVIDIA Display Driver Service, NVSvc, "D:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Service client pour NetWare, NWCWorkstation, "D:\WINNT\system32\services.exe" [MS]
Système d'événements de COM+, EventSystem, "D:\WINNT\System32\svchost.exe -k netsvcs" {"D:\WINNT\System32\es.dll" [null data]}
TrueVector Internet Monitor, vsmon, "D:\WINNT\system32\ZONELABS\vsmon.exe -service" ["Zone Labs, LLC"]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 175 seconds, including 16 seconds for message boxes)
Merci beaucoup.
Est-ce que quelqu'un pourrait me répondre car j'ai ça dans le rapport silent runner:
| Citation : HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
|
Il y a 265 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
