Problème : virus winm32.dll détect par AVG introuvable [RESOLU]
Dernière réponse : dans Sécurité
Boujours et merci pour votre aide :
je suis en stage ds une société informatique et un virus pas décidé à partir reste introuvable. En gros, surtt lorsque je lance ad-aware une allerte AVG me détecte un virus.
a l'écran :
VIRUS DETECTE
c:\windows\system32\winm32.dll
Cheval de troie backdoor.Generic2.UFU
je suis en train de faire a la lettre ce qui est dit ici:
http://www.infos-du-net.com/forum/210724-11-virus-voila...
mais jen suis a l'étape bitdefender : analyse en ligne
Donc si on peut mais a éliminé ce virus qui est introuvanle a son emplacement et si on peut m'expliqué pourquoi merci davance
perso peut etre quan supprimant ad-aware ca le fera plus mais mais je n'ai pas vérifier si le message apparait avec d'autre programme merci
je suis en stage ds une société informatique et un virus pas décidé à partir reste introuvable. En gros, surtt lorsque je lance ad-aware une allerte AVG me détecte un virus.
a l'écran :
VIRUS DETECTE
c:\windows\system32\winm32.dll
Cheval de troie backdoor.Generic2.UFU
je suis en train de faire a la lettre ce qui est dit ici:
http://www.infos-du-net.com/forum/210724-11-virus-voila...
mais jen suis a l'étape bitdefender : analyse en ligne
Donc si on peut mais a éliminé ce virus qui est introuvanle a son emplacement et si on peut m'expliqué pourquoi merci davance
perso peut etre quan supprimant ad-aware ca le fera plus mais mais je n'ai pas vérifier si le message apparait avec d'autre programme merci
Autres pages sur : probleme virus winm32 dll detect avg introuvable resolu
Lassé par la pub ? Créez un compte
Bonjour,
Télécharge le programme >>Hijackthis 1.99.1<<
Dézippe-le et mets-le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )
Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller
Télécharge le programme >>Hijackthis 1.99.1<<
Dézippe-le et mets-le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )
Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller
voilà:
Logfile of HijackThis v1.99.1
Scan saved at 16:30:44, on 26/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
Logfile of HijackThis v1.99.1
Scan saved at 16:30:44, on 26/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
infection Haxdoor.
Télécharger haxfix.exe
et mets-le sur le bureau.
Ferme toutes les fenêtres.
Lance haxfix.exe pour l'installer
Lors de l'installation, coche "Créer une icône sur le Bureau"
A la fin de l'installation, coche "Exécuter HaxFix"
Choisis l'option "2. Run auto fix"
(l'odinateur redémarrera)
Poste le rapport situé ici : C:\haxfix.txt
et un nouveau rapport HJT.
Télécharger haxfix.exe
et mets-le sur le bureau.
Ferme toutes les fenêtres.
Lance haxfix.exe pour l'installer
Lors de l'installation, coche "Créer une icône sur le Bureau"
A la fin de l'installation, coche "Exécuter HaxFix"
Choisis l'option "2. Run auto fix"
(l'odinateur redémarrera)
Poste le rapport situé ici : C:\haxfix.txt
et un nouveau rapport HJT.
Voici le rapport Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 16:46:53, on 26/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\cmd.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
Voici le rapport Hax:
HAXFIX logfile - by Marckie
--------------
version 2.43
26/05/2006 16:46:07,34
Auto Haxdoorfix
Mince je l'ai lancé une 2eme fois du coup ca m'a certainement mangé le bon rapport![:(]( ":(")
Tu voit kk chose dans le Hijack ?
Logfile of HijackThis v1.99.1
Scan saved at 16:46:53, on 26/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\cmd.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
Voici le rapport Hax:
HAXFIX logfile - by Marckie
--------------
version 2.43
26/05/2006 16:46:07,34
Auto Haxdoorfix
Mince je l'ai lancé une 2eme fois du coup ca m'a certainement mangé le bon rapport
Tu voit kk chose dans le Hijack ?
il reste des trucs à virer.
1/ Télécharge et installe CCleaner
2/ Télécharge, installe et mets à jour ewido
Lors de l'installation, décoche les 2 cases "Install background guard" et "Install scan via context menu"
3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
4/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll <-- cette ligne ne devrait plus être là ! :-? :-?
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
5/ Supprime les services infectieux comme ceci :
Démarrer/Exécuter/ tape sc delete BitSec puis Entrée
Démarrer/Exécuter/ tape sc delete chckntfs puis Entrée
Démarrer/Exécuter/ tape sc delete lsass puis Entrée
Démarrer/Exécuter/ tape sc delete NTSec puis Entrée
Démarrer/Exécuter/ tape sc delete Perfhmon puis Entrée
Démarrer/Exécuter/ tape sc delete "windows security centre" puis Entrée
6/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage
7/ Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.
8/ Redémarre normalement, poste le rapport d'ewido ainsi qu'un nouveau rapport HijackThis.
9/ et pense à mettre ton système à jour via http://windowsupdate.microsoft.com/
1/ Télécharge et installe CCleaner
2/ Télécharge, installe et mets à jour ewido
Lors de l'installation, décoche les 2 cases "Install background guard" et "Install scan via context menu"
3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
4/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll <-- cette ligne ne devrait plus être là ! :-? :-?
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
5/ Supprime les services infectieux comme ceci :
Démarrer/Exécuter/ tape sc delete BitSec puis Entrée
Démarrer/Exécuter/ tape sc delete chckntfs puis Entrée
Démarrer/Exécuter/ tape sc delete lsass puis Entrée
Démarrer/Exécuter/ tape sc delete NTSec puis Entrée
Démarrer/Exécuter/ tape sc delete Perfhmon puis Entrée
Démarrer/Exécuter/ tape sc delete "windows security centre" puis Entrée
6/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage
7/ Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.
8/ Redémarre normalement, poste le rapport d'ewido ainsi qu'un nouveau rapport HijackThis.
9/ et pense à mettre ton système à jour via http://windowsupdate.microsoft.com/
Bien je te file le rapport ewido et le HijackThis :
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 09:52:42, 29/05/2006
+ Somme de contrôle: E3ABCA7E
+ Résultats du scan:
HKU\.DEFAULT\Software\DNS -> Adware.Shorty : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\DNS -> Adware.Shorty : Nettoyer et sauvegarder
C:\WINDOWS\system32\eraseme_44065.exe -> Backdoor.Aimbot.cc : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_63124.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_81084.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_85726.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP2176 -> Backdoor.Rbot.rp : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP3512 -> Backdoor.Rbot : Nettoyer et sauvegarder
::Fin du rapport
Logfile of HijackThis v1.99.1
Scan saved at 09:54:22, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 09:52:42, 29/05/2006
+ Somme de contrôle: E3ABCA7E
+ Résultats du scan:
HKU\.DEFAULT\Software\DNS -> Adware.Shorty : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\DNS -> Adware.Shorty : Nettoyer et sauvegarder
C:\WINDOWS\system32\eraseme_44065.exe -> Backdoor.Aimbot.cc : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_63124.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_81084.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_85726.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP2176 -> Backdoor.Rbot.rp : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP3512 -> Backdoor.Rbot : Nettoyer et sauvegarder
::Fin du rapport
Logfile of HijackThis v1.99.1
Scan saved at 09:54:22, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
Bonjour,
1/ Lance HijackThis
Clique sur le bouton Open the Misc Tools Section
Clique sur Delete a file on reboot...
Dans "Nom du fichier :" colle C:\WINDOWS\SYSTEM32\winm32.dll puis clique sur Ouvrir
À la question "Voulez-vous redémarrer maintenant ?" clique sur Oui
2/ Fait un scan en ligne chez Kaspersky et poste le rapport :
http://webscanner.kaspersky.fr/
1/ Lance HijackThis
Clique sur le bouton Open the Misc Tools Section
Clique sur Delete a file on reboot...
Dans "Nom du fichier :" colle C:\WINDOWS\SYSTEM32\winm32.dll puis clique sur Ouvrir
À la question "Voulez-vous redémarrer maintenant ?" clique sur Oui
2/ Fait un scan en ligne chez Kaspersky et poste le rapport :
http://webscanner.kaspersky.fr/
l'analyse enfin terminé je met le rapport :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
lundi 29 mai 2006 11:47:35
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 29/05/2006
Enregistrements dans la base antivirus Kaspersky : 185094
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
H:\
Statistiques de l'analyse:
Total d'objets analysés :: 90183
Nombre de virus trouvés: 6
Nombre d'objets infectés: 33
Nombre d'objets suspects: 2
Durée de l'analyse: 00:45:26
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip/gimmy2.exe Suspect : Password-protected-EXE ignoré
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip ZIP: suspect - 1 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg NSIS: infecté - 3 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe NSIS: infecté - 3 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe NSIS: infecté - 2 ignoré
C:\WINDOWS\system32\eraseme_53863.exe Infecté: Backdoor.Win32.SdBot.akc ignoré
Analyse terminée.
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
lundi 29 mai 2006 11:47:35
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 29/05/2006
Enregistrements dans la base antivirus Kaspersky : 185094
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
H:\
Statistiques de l'analyse:
Total d'objets analysés :: 90183
Nombre de virus trouvés: 6
Nombre d'objets infectés: 33
Nombre d'objets suspects: 2
Durée de l'analyse: 00:45:26
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip/gimmy2.exe Suspect : Password-protected-EXE ignoré
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip ZIP: suspect - 1 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg NSIS: infecté - 3 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe NSIS: infecté - 3 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe NSIS: infecté - 2 ignoré
C:\WINDOWS\system32\eraseme_53863.exe Infecté: Backdoor.Win32.SdBot.akc ignoré
Analyse terminée.
désactiver la restauration système: pour cela :
poste de travail, puis clic droit=> propriétés=>restauration système=>coche désactiver restauration système => ok
télécharger
Cleanup :
http://www.stevengould.org/software/cleanup/download.ht...
ou
http://www.graphiquenalie.com/cleanup/1-Cleanup.exe
le lancer
redemmarrer
réactiver restauration système
poste de travail, puis clic droit=> propriétés=>restauration système=>coche désactiver restauration système => ok
télécharger
Cleanup :
http://www.stevengould.org/software/cleanup/download.ht...
ou
http://www.graphiquenalie.com/cleanup/1-Cleanup.exe
le lancer
redemmarrer
réactiver restauration système
d'après cette ligne :
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
il reste Haxdoor
>> Lance à nouveau HaxFix
>> Choisis l'option "3. Run manual fix"
>> lorsqu'il te demande "insert the Haxdoor key" tape winm puis entrée
attends qq instants pendant qu'il travaille
ensuite à la question "Do you want to add a new Haxdoorkey?" tape N puis Entrée
>> une fois terminé, poste le rapport situé ici : C:\haxfix.txt
et un nouveau rapport HJT.
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
il reste Haxdoor
>> Lance à nouveau HaxFix
>> Choisis l'option "3. Run manual fix"
>> lorsqu'il te demande "insert the Haxdoor key" tape winm puis entrée
attends qq instants pendant qu'il travaille
ensuite à la question "Do you want to add a new Haxdoorkey?" tape N puis Entrée
>> une fois terminé, poste le rapport situé ici : C:\haxfix.txt
et un nouveau rapport HJT.
Bien comme dder voila :
1) le rapport kaspersky
2) le rapport haxfix
3) (je suis pas sur de filé le bon) le rapport "rapport HJT.
1)
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
lundi 29 mai 2006 15:07:23
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 29/05/2006
Enregistrements dans la base antivirus Kaspersky : 185117
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
H:\
Statistiques de l'analyse:
Total d'objets analysés :: 78600
Nombre de virus trouvés: 5
Nombre d'objets infectés: 20
Nombre d'objets suspects: 0
Durée de l'analyse: 00:42:28
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg NSIS: infecté - 3 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg NSIS: infecté - 2 ignoré
C:\WINDOWS\system32\eraseme_53863.exe Infecté: Backdoor.Win32.SdBot.akc ignoré
Analyse terminée.
2)
HAXFIX logfile - by Marckie
--------------
version 2.43
29/05/2006 15:09:05,29
Manual Haxdoorfix
Adding haxdoorkeys to delete...
winm
haxdoor key: winm
searching for services....
services found
deleting services.....
[SWSC] DeleteService SUCCESS
[SWSC] DeleteService SUCCESS
rebooting the computer.....
haxdoor key: winm
searching for services....
services not found
checking if files are found.....
winm32.dll
winm32.sys
winm64.sys
deleting files.....
checking if files are deleted.....
checking for other files.....
qy.sys
qz.dll
qz.sys
klogini.dll
p3.ini
ps.a3d
deleting other files.....
checking if the files are deleted.....
Finished
3)
SmitFraudFix v2.45
Rapport fait à 11:41:38,73, 22/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\smit\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\ms1.exe supprimé
C:\uniq supprimé
C:\WINDOWS\gimmygames.dat supprimé
C:\WINDOWS\warnhp.html supprimé
C:\WINDOWS\system32\dlh9jkdq?.exe supprimé
C:\Program Files\secure32.html supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin
1) le rapport kaspersky
2) le rapport haxfix
3) (je suis pas sur de filé le bon) le rapport "rapport HJT.
1)
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
lundi 29 mai 2006 15:07:23
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 29/05/2006
Enregistrements dans la base antivirus Kaspersky : 185117
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
H:\
Statistiques de l'analyse:
Total d'objets analysés :: 78600
Nombre de virus trouvés: 5
Nombre d'objets infectés: 20
Nombre d'objets suspects: 0
Durée de l'analyse: 00:42:28
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg NSIS: infecté - 3 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg NSIS: infecté - 2 ignoré
C:\WINDOWS\system32\eraseme_53863.exe Infecté: Backdoor.Win32.SdBot.akc ignoré
Analyse terminée.
2)
HAXFIX logfile - by Marckie
--------------
version 2.43
29/05/2006 15:09:05,29
Manual Haxdoorfix
Adding haxdoorkeys to delete...
winm
haxdoor key: winm
searching for services....
services found
deleting services.....
[SWSC] DeleteService SUCCESS
[SWSC] DeleteService SUCCESS
rebooting the computer.....
haxdoor key: winm
searching for services....
services not found
checking if files are found.....
winm32.dll
winm32.sys
winm64.sys
deleting files.....
checking if files are deleted.....
checking for other files.....
qy.sys
qz.dll
qz.sys
klogini.dll
p3.ini
ps.a3d
deleting other files.....
checking if the files are deleted.....
Finished
3)
SmitFraudFix v2.45
Rapport fait à 11:41:38,73, 22/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\smit\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\ms1.exe supprimé
C:\uniq supprimé
C:\WINDOWS\gimmygames.dat supprimé
C:\WINDOWS\warnhp.html supprimé
C:\WINDOWS\system32\dlh9jkdq?.exe supprimé
C:\Program Files\secure32.html supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Re,
Ta version de SmitfraudFix est périmée donc supprime la et fait comme suit.
1/ Télécharge SmitfraudFix de S!Ri :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.
2/ Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
3/ Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.
4/ Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
5/ Redémarres normalement et communiques le deuxième rapport de SmitfraudFix
avec un nouveau rapport Hijackthis.
Ta version de SmitfraudFix est périmée donc supprime la et fait comme suit.
1/ Télécharge SmitfraudFix de S!Ri :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.
2/ Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
3/ Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.
4/ Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
5/ Redémarres normalement et communiques le deuxième rapport de SmitfraudFix
avec un nouveau rapport Hijackthis.
LOOOOOOOOOOOOOOOOOOOOOOOOL
dsl tien voila le HJT :
Logfile of HijackThis v1.99.1
Scan saved at 15:22:18, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
dsl tien voila le HJT :
Logfile of HijackThis v1.99.1
Scan saved at 15:22:18, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
Voila le rapport de SmitFraudFix v2.50
SmitFraudFix v2.50
Rapport fait à 15:29:05,32, 29/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\albespy\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\albespy\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
SmitFraudFix v2.50
Rapport fait à 15:29:05,32, 29/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\albespy\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\albespy\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
1) rapport HJT
2) rapport SmitFraudFix v2.50
1) Logfile of HijackThis v1.99.1
Scan saved at 15:40:27, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
2)
SmitFraudFix v2.50
Rapport fait à 15:33:30,89, 29/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
2) rapport SmitFraudFix v2.50
1) Logfile of HijackThis v1.99.1
Scan saved at 15:40:27, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
2)
SmitFraudFix v2.50
Rapport fait à 15:33:30,89, 29/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
c'est presque bon ;-)
1/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)
2/ ensuite supprime les fichiers et/ou dossiers suivants :
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\--> vide ce dossier sauf index.dat
C:\WINDOWS\system32\eraseme_53863.exe
3/ Supprime le service infectieux comme ceci :
Démarrer/Exécuter/ tape sc delete "windows security centre" puis Entrée
4/ Pense aussi à ceci :
- Mets ton système à jour via http://windowsupdate.microsoft.com/
- Installe un pare-feu, par exemple ZoneAlarm qui est simple et gratuit.
1/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)
2/ ensuite supprime les fichiers et/ou dossiers suivants :
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\--> vide ce dossier sauf index.dat
C:\WINDOWS\system32\eraseme_53863.exe
3/ Supprime le service infectieux comme ceci :
Démarrer/Exécuter/ tape sc delete "windows security centre" puis Entrée
4/ Pense aussi à ceci :
- Mets ton système à jour via http://windowsupdate.microsoft.com/
- Installe un pare-feu, par exemple ZoneAlarm qui est simple et gratuit.
Voila j'ai suivi a la lettre tt les conseils donc je te donne un petit dernier HJT pour voir si tt va bien :
Logfile of HijackThis v1.99.1
Scan saved at 16:47:50, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
et je fais une dernière analyse antivirus en ligne pour voir s'il trouve qqc. Si jamais il trouve j'envois le rapport.
Logfile of HijackThis v1.99.1
Scan saved at 16:47:50, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
et je fais une dernière analyse antivirus en ligne pour voir s'il trouve qqc. Si jamais il trouve j'envois le rapport.
Citation :
Angeldark a écrit :
Pour Esteban,
Haxfix n'a pas marche parce qu'il fallait faire l'option 1 avant led autres, non ?
Bonsoir Angeldark,
à mon avis l'option 1 crée simplement un rapport informatif sur la présence de Haxdoor et n'influe pas sur le bon fonctionnement de l'option 2
cela dit l'option 1 est recommandée mais je l'ai zappée (c'est vrai que c'est pas une bonne idée) car j'étais sûr que Haxdoor était bien présent...
MON PROB TOUCHE A LA FIN
la supression (sc delete "windows security centre") na pas marché car estéban me l'avais déja fait suprimé page 1.
sinon il reste 5 virus et 20 infecté a la dernière analyse antivirus.
voila le rapport :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
mardi 30 mai 2006 08:49:08
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 30/05/2006
Enregistrements dans la base antivirus Kaspersky : 185289
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Statistiques de l'analyse:
Total d'objets analysés :: 29922
Nombre de virus trouvés: 5
Nombre d'objets infectés: 20
Nombre d'objets suspects: 0
Durée de l'analyse: 00:24:22
Nom de l'objet infecté / Nom du virus / Dernière action
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg NSIS: infecté - 3 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc6.exe Infecté: Backdoor.Win32.SdBot.akc ignoré
Analyse interrompue par l'utilisateur !
INTERROMPUE CAR JE SAIS QUE IL NY EN A PAS APRES.
donc es ce que si avec la méthothe du sc delete dans exécuté je prend tt les fichier et que je les vire cela peut marché?
exemple : sc delete "C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc6.exe"
Sinon vous avez di de faire loption 1 du haxfix alors je lai fai voila le rapport :
HAXFIX logfile - by Marckie
--------------
version 2.43
30/05/2006 8:15:03,34
checking for a3d files....
a3d files not found
checking for matching notify keys....
no matching notify keys found
checking for matching services....
matching services found
Aspi32
checking for matching safeboot services....
no matching safeboot services found
Avec tt ca et mon dernier HJT encore bon pouvez vous me dire quoi faire?
merci
la supression (sc delete "windows security centre") na pas marché car estéban me l'avais déja fait suprimé page 1.
sinon il reste 5 virus et 20 infecté a la dernière analyse antivirus.
voila le rapport :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
mardi 30 mai 2006 08:49:08
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 30/05/2006
Enregistrements dans la base antivirus Kaspersky : 185289
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Statistiques de l'analyse:
Total d'objets analysés :: 29922
Nombre de virus trouvés: 5
Nombre d'objets infectés: 20
Nombre d'objets suspects: 0
Durée de l'analyse: 00:24:22
Nom de l'objet infecté / Nom du virus / Dernière action
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg NSIS: infecté - 3 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc6.exe Infecté: Backdoor.Win32.SdBot.akc ignoré
Analyse interrompue par l'utilisateur !
INTERROMPUE CAR JE SAIS QUE IL NY EN A PAS APRES.
donc es ce que si avec la méthothe du sc delete dans exécuté je prend tt les fichier et que je les vire cela peut marché?
exemple : sc delete "C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc6.exe"
Sinon vous avez di de faire loption 1 du haxfix alors je lai fai voila le rapport :
HAXFIX logfile - by Marckie
--------------
version 2.43
30/05/2006 8:15:03,34
checking for a3d files....
a3d files not found
checking for matching notify keys....
no matching notify keys found
checking for matching services....
matching services found
Aspi32
checking for matching safeboot services....
no matching safeboot services found
Avec tt ca et mon dernier HJT encore bon pouvez vous me dire quoi faire?
merci
1/ pour tout ce qui est dans C:\RECYCLER\
--> vide ta corbeille
2/ la commande sc delete permet uniquement de supprimer un service
3/ pour Haxdoor c'est bon, il n'est plus là ;-)
4/ pour cette ligne résiduelle :
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
essaie ceci :
Démarrer/Exécuter/ tape cmd puis Entrée
une fenêtre noire va s'ouvrir.
tape :
sc config "windows security centre" start= disabled puis entrée
sc stop "windows security centre" puis entrée
sc delete "windows security centre" puis entrée
ensuite ferme la fenêtre noire.
--> vide ta corbeille
2/ la commande sc delete permet uniquement de supprimer un service
3/ pour Haxdoor c'est bon, il n'est plus là ;-)
4/ pour cette ligne résiduelle :
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
essaie ceci :
Démarrer/Exécuter/ tape cmd puis Entrée
une fenêtre noire va s'ouvrir.
tape :
sc config "windows security centre" start= disabled puis entrée
sc stop "windows security centre" puis entrée
sc delete "windows security centre" puis entrée
ensuite ferme la fenêtre noire.
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumComment supprimer un virus sur avg
- ForumProbleme de virus trojan et dll
- ForumProbleme virus resolu
- ForumProblème avg
- ForumProbleme avec un virus spam .dll
- solutionsProblème dll
- ForumAvg comment desactiver anti virus
- ForumDetruire les virus detectes par avg
- downloadProbleme avec avg anti virus free
- ForumVirus .dll
- Voir plus
