Bonjour STOP Infesté ! pas d'autre mot besoin d'aide STOP dans un état de décomposition avancé STOP Merci

*******************

Logfile of HijackThis v1.99.1
Scan saved at 09:39:56, on 23/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Post-me\post-me.exe
C:\Program Files\ibfvutqg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
c:\Program Files\ibfvutqg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\Program Files\ibfvutqg.exe
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Post-me] C:\Program Files\Post-me\post-me.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\system32\winmuse.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\ibfvutqg.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00005.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 3987243234
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\artm_new.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

**************

bonjour, je n'ai pas eu le temps de tout lire
fait ça pour commencer avec l'infection Smitfraud
• Télécharger
Ewido
http://www.ewido.net/fr/download/
Lancer et mettre à jour

SmitfraudFix :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Ou
http://siri.geekstogo.com/SmitfraudFix.zip

ouvrir SmitfraudFix, en dézippant toute l’archive sur le bureau
Puis double clic sur SmitfraudFix.cmd puis choisir OPTION 1
Sauver le rapport.

Redémarrer en mode sans échec. Attention, pas accès à internet dans ce mode
Pour demarrage sans échec : à la mise en route de l’ordi :Tapoter sur la touche F8 ou F5. Puis
En utilisant les touches du curseur, sélectionner le mode sans échec et Entrée.

Relancer SmitfraudFix
choisir cette fois OPTION 2 et oui à tout.

Lancer Ewido. Faire un scan en mode complet.
Copier le rapport.

Bonjour,

1/ Télécharge et installe CCleaner

http://www.clubic.com/telecharger- [...] aner-.html

Télécharge, installe et mets à jour ewido
Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

http://www.infos-du-net.com/telech [...] Suite.html

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

3/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O4 - HKLM\..\Run: [Post-me] C:\Program Files\Post-me\post-me.exe <== sauf si tu connais
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\system32\winmuse.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\ibfvutqg.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00005.exe"
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 3987243234
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab

4/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

5/ ensuite supprime les fichiers et/ou dossiers suivants si présents :

C:\WINDOWS\system32\winbrume.dll
C:\Program Files\Post-me <== sauf si tu connais
C:\WINDOWS\system32\winmuse.exe
c:\Program Files\ibfvutqg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders <== le dossier

6/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

7/ Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.

8/ Redémarre normalement et poste le rapport Ewido

9/ Fait analyser sur virusscan.jotti de ce fichier et poste le rapport.

C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\artm_new.dll

Le site : http://virusscan.jotti.org/

Son tuto. d'utilisation : http://forum.telecharger.01net.com [...] ost5496130

10/ Fait un scan en ligne chez Kaspersky et poste le rapport :

http://webscanner.kaspersky.fr/

11/ Reposte un nouveau rapport HijackThis

Merci les gars ! je fait ça et vous tiens au courant !

j'adore cette esprit d'entre aide !!!

merci

voici le rapport ewido

**********

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 17:28:12, 23/05/2006
+ Somme de contrôle: E9D637F3

+ Résultats du scan:

[228] C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\artm_new.dll -> Proxy.Xorpix.u : Erreur durant le nettoyage
C:\Program Files\ibfvutqg.exe -> Not-A-Virus.Hoax.Win32.Renos.dc : Nettoyer et sauvegarder
C:\Program Files\Internet Explorer\update.exe -> Adware.BHO : Nettoyer et sauvegarder
C:\WINDOWS\system32\dlh9jkdq5.exe -> Downloader.Small : Nettoyer et sauvegarder
C:\yxycsgu.exe -> Trojan.Sinowal.q : Nettoyer et sauvegarder
D:\hijackthis\backups\backup-20050421-181134-775.dll -> Adware.NewDotNet : Nettoyer et sauvegarder
D:\hijackthis\backups\backup-20060523-132512-514.dll -> Adware.BHO : Nettoyer et sauvegarder


::Fin du rapport


-*************

pour info à ce stade toujours des trojan :-(

heuuu je n'ai pas le fichier "artm_new.dll" ???

Pas grave continue ;-)

déjà moi j'ai vu au premier coup d'oeil dans ton rapport highjackthis que ya une ligne ou c'est écrit "Kernel", et ben ya de très fortes chances que ce soit ton trojan...

heuu thermadcat lol je t'aime bien mais ça je le sais que j'ai un trojan lol ;-)

bon vois le rapport kaperski :

*********

mardi 23 mai 2006 19:31:04
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 23/05/2006
Enregistrements dans la base antivirus Kaspersky : 184051


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie. vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Statistiques de l'analyse
Total d'objets analysés : 62875
Nombre de virus trouvés 6
Nombre d'objets infectés 12
Nombre d'objets suspects 0
Durée de l'analyse 01:08:51

Nom de l'objet infecté Nom du virus Dernière action
C:\Program Files\secure32.html Infecté: Trojan.Win32.Harnig.k ignoré

C:\secure32.html Infecté: Trojan.Win32.Harnig.k ignoré

C:\System Volume Information\_restore{4E7C850A-9B16-490F-A1ED-FFBEE203B13D}\RP59\A0018509.exe Infecté: Trojan-PSW.Win32.Sinowal.q ignoré

C:\System Volume Information\_restore{4E7C850A-9B16-490F-A1ED-FFBEE203B13D}\RP59\A0018518.exe Infecté: Trojan-Downloader.Win32.Tiny.ap ignoré

C:\System Volume Information\_restore{4E7C850A-9B16-490F-A1ED-FFBEE203B13D}\RP59\A0018532.exe Infecté: Packed.Win32.Tibs ignoré

C:\System Volume Information\_restore{4E7C850A-9B16-490F-A1ED-FFBEE203B13D}\RP59\A0018742.exe Infecté: not-virus:Hoax.Win32.Renos.dc ignoré

C:\System Volume Information\_restore{4E7C850A-9B16-490F-A1ED-FFBEE203B13D}\RP59\A0018745.exe Infecté: Trojan-PSW.Win32.Sinowal.q ignoré

C:\WINDOWS\system32\1712.exe Infecté: Packed.Win32.Tibs ignoré

C:\WINDOWS\system32\3812.exe Infecté: Packed.Win32.Tibs ignoré

C:\WINDOWS\system32\dlh9jkdq6.exe Infecté: Packed.Win32.Tibs ignoré

C:\WINDOWS\system32\dlh9jkdq7.exe Infecté: Packed.Win32.Tibs ignoré

C:\WINDOWS\system32\maxd641.exe Infecté: Trojan.Win32.Dialer.ay ignoré

Analyse terminée.
*********************************

Bonsoir,

Télécharge : Pocket KillBox

Mets le dans un dossier ou sur ton bureau (Clique droit puis Extraire tout)
Selectionne le texte dans le cadre:

Clique droit puis Copier.
----------

. Ouvre Killbox.exe
. Choisis "Delete on reboot"
. Clique sur "File" et ensuite "Paste from Clipboard"
. Clique sur All Files
. Clique sur le rond rouge avec une croix blanche.
. Repond par "oui", ton pc va redemarrer.
----------

Supprime ce dossier : C:\!KillBox
----------

Desactive puis reactive la restauration du systeme

Télécharge Smitfraudfix
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'Option 1 (Recherche)
Poste le rapport

ok alors voila :
***************************
SmitFraudFix v2.46

Rapport fait à 20:16:02,67, 23/05/2006
Executé à partir de C:\Documents and Settings\dsd\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\uniq PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\dlh9jkdq?.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\dsd\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\dsd\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin