Se connecter avec
S'enregistrer | Connectez-vous

Infection recurente spy sheriff, adv.exe

Dernière réponse : dans Sécurité

Bonjour à ceux qui s'interresseront à mon malheur ^^...
Voila g essuyé il y a de ça une petite semaine une sérieuse attaque d'un virus qui me semble bien connu "spy sheriff"...
Apres avoir suivi les conseils avisés déjà présents sur ce forum, j'ai réussi (du moins je le pensais) à m'en débarrasser.
Cependant depuis hier, mon pc a des allures de feu Jean-Paul II et subit les assaults de plusieurs virus et trojans...
Ma connexion s'en voit fortement ralentie, coups dur pour un fan du terrible MMORPG "dofus".
Dès que je lance Internet explorer, un msg d'AVG me signale la présence de " Backdoor.Agent.BNM" dans le fichier "C:\dkihfd.exe"... Impossible de me débarrasser de ce parasite qui réapparait à chaque boot. De plus le virus "Downloader.tibs" revient à la charge après une semaine d'absence (sous la forme adv.exe)
Des pops-ups arrivent aussi sans cesse avec des émetteurs et recepteurs douteux du style de: FROM à: TO et il arrive souvent que ma machine doive redémarrer suite à une erreur du fichier Isass.exe...

JE VOUS EN SUPPLIE, AIDEZ MOI AVANT QUE CELA TOURNE A LA NEVROSE!!!

Voici mon log Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 21:49:19, on 24/06/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\System32\lssas.exe
C:\WINNT\System32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\wsfws.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\System32\lssas.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Je remercie déjà de tout coeur la personne qui se penchera sur mon triste sort
:-D

Autres pages sur : infection recurente spy sheriff adv exe

Lassé par la pub ? Créez un compte

pour spy sheriff fais ca:
1/ Télécharge Télécharge Smitfraudfix
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'Option 1 (Recherche)
Si tu vois des lignes avec PRESENT! Continue

Redémarre en mode sans échec.
2/ Relance SmitfraudFix et choisis cette fois l’Option 2 et réponds oui à chaque question
Sauvegarde puis poste le rapport.

3/ Poste un rapport Hijackthis

Oui j'ai déjà tenté avec smtfraudfix mais rien n'y fait... Je retente et te poste le rapport,
merci de ton aide

Voici le fameux rapport :SmitFraudFix v2.65

Rapport fait à 21:58:23,82, sam. 24/06/2006
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Aussi, chose assez spéciale voire dérangeante... je n'ai plus de bureaux au moment où je rédige ce texte...plus un seul icône, plus de barre des tâches...niet!

Les 3 virus qui me gènent doivent être :
1) Win32/PEPatch
2) Downloader.tibs
3) Backdoor.Agent.BNM

Autre chose : au démarrage il y a une inscription :
F1..............Hpfs
Default : F1

Ceci m'inquiète aussi...

as tu essayer ca:( telecharge les logiciel mets les a jour et fais les scan en mode sans echec puis sauvegarde le rapport ewido redemarre normalement et post le)
1/CCleaner

Telecharge ccleaner sur ce site:
CCleaner
Il nettoie ton ordi de tout les fichiers temporaires inutiles.
Fais une analyse puis lance le nettoyage.

2/Ewido

Telecharge ewido sur ce site:
Ewido-Anti-Malware
Fais les mise a jour puis fais un scan et post le rapport

Je n'ai pas été capable de faire le scan en mode sans échec mais le scan d'ewido a décellé plus d'un vingtaine de virus, le voici : ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 23:04:29 24/06/2006

+ Scan result:



C:\Program Files\SpySheriff -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\SpySheriff.dvm -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\SpySheriff.exe -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\Uninstall.exe -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\base.avd -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\base001.avd -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\base002.avd -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\found.wav -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\heur000.dll -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\heur001.dll -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\heur002.dll -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\heur003.dll -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\notfound.wav -> Adware.SpySheriff : No action taken.
C:\Program Files\SpySheriff\removed.wav -> Adware.SpySheriff : No action taken.
C:\WINNT\system32\TFTP276 -> Backdoor.Rbot.aym : No action taken.
C:\WINNT\system32\qaz -> Downloader.Ftp.cb : No action taken.
C:\WINNT\system32\tkhmmdi.exe -> Dropper.Paradrop.a : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\idlgsyi[1].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\idlgsyi[2].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : No action taken.
C:\__delete_on_reboot__y_j_l_g_._e_x_e_ -> Not-A-Virus.Hoax.Win32.Renos.bw : No action taken.
C:\winstall.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : No action taken.
[1780] c:\yjlg.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\iqyolh[1].txt -> Not-A-Virus.Hoax.Win32.Renos.dc : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\iqyolh[2].txt -> Not-A-Virus.Hoax.Win32.Renos.dc : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\iqyolh[3].txt -> Not-A-Virus.Hoax.Win32.Renos.dc : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\iqyolh[4].txt -> Not-A-Virus.Hoax.Win32.Renos.dc : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\iqyolh[5].txt -> Not-A-Virus.Hoax.Win32.Renos.dc : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\emvkunkg[1].txt -> Trojan.Sinowal.aa : No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\emvkunkg[2].txt -> Trojan.Sinowal.aa : No action taken.
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00009.dll -> Trojan.Sinowal.aa : No action taken.
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00009.exe -> Trojan.Sinowal.aa : No action taken.
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00010.dll -> Trojan.Sinowal.aa : No action taken.


::Report end

PS : Je ne sais pas trop comment me débarrasser des ces "trucs"... ^^

Bon ben rien n'y fait, ils reviennent sans cesse... J'ai beau les enlever avec ewido, spybot...
Le enfin "les" spy Sheriff reviennent aussi... Je ne sais vriament pas quoi faire... Ca fait un mois que je chipote rien à faire. Ewido les efface mais ils sont de retour 3 secondes apres...
Connais-tu un moyen de formater le disque dur et ainsi de tout virer (la méthode barbare quoi...)
PS : Il n'y a plus de fichiers personnels sur le pc...donc rien à perdre...


Voici le rapport ewido
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 20:18:23 25/06/2006

+ Scan result:



[2060] C:\WINNT\System32\winamp.exe -> Backdoor.PoeBot.c : Cleaned.
C:\WINNT\system32\mtslhi.exe -> Backdoor.Rbot.aem : Cleaned.
[2092] C:\WINNT\system32\mtslhi.exe -> Backdoor.Sdbot.510 : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\ojtsng[1].txt -> Downloader.Tiny.ap : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\krab02[1].exe -> Dropper.Agent.ol : Cleaned.
C:\WINNT\system32\buzoy.exe -> Dropper.Paradrop.a : Cleaned.
C:\WINNT\system32\winamp.exe -> Dropper.Paradrop.a : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\runfile[1].exe -> Hijacker.Small.cc : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\idlgsyi[1].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\idlgsyi[2].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Cleaned.
C:\__delete_on_reboot__y_j_l_g_._e_x_e_ -> Not-A-Virus.Hoax.Win32.Renos.bw : Cleaned.
[1768] c:\yjlg.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Error during cleaning.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\iqyolh[1].txt -> Not-A-Virus.Hoax.Win32.Renos.dc : Cleaned.
C:\Program Files\__delete_on_reboot__s_o_y_j_._e_x_e_ -> Not-A-Virus.Hoax.Win32.Renos.dc : Cleaned.
C:\WINNT\system32\ar.dll -> Proxy.Agent.df : Cleaned.
[764] C:\WINNT\System32\ar.dll -> Proxy.Agent.df : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\2236[1].exe -> Proxy.Xmiler.c : Cleaned.
C:\WINNT\system32\rdriv.sys -> Rootkit.Agent.o : Cleaned.
C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\emvkunkg[1].txt -> Trojan.Sinowal.aa : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\emvkunkg[2].txt -> Trojan.Sinowal.aa : Cleaned.
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00005.dll -> Trojan.Sinowal.aa : Cleaned.
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00006.dll -> Trojan.Sinowal.aa : Cleaned.


::Report end


Merci d'avance

Oui mais ca revient ENCORE... je vais peter un cable serieux, à chaque fois que j'allume le pc ewido decouvre une vingtaine de virus et avg une cinquantaine...spy sheriff est toujours là et en plus il y a une espèce de petit virus (hoax) qui reste impossible à nettoyer (de toutes manieres même si il etait nettoyable il se repointerait après 10 min)...
Je pense être complètement hacké et mon desarroi va m'amener à la police pour qu'il coince ce sal****!!! (ce qui'ls font généralement vite ai-je entendu)


ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 17:00:26 26/06/2006

+ Scan result:



C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\Installer[1].exe -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\__delete_on_reboot__g_u_a_r_d_._t_m_p_ -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\dRdrm.dll -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\dcmrtp.dll -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\dfuiext.dll -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\dvcapi.dll -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\guard.tmp -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\mlobjs.dll -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\n0n6la5s1d.dll -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\n8p4li7q18.dll -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\odslb400.dll -> Adware.Look2Me : Cleaned.
C:\__delete_on_reboot__w_a_r_e_b_u_n_d_l_e_._e_x_e_ -> Adware.Look2Me : Cleaned.
C:\windows\__delete_on_reboot__w_a_r_e_b_u_n_d_l_e_._e_x_e_ -> Adware.Look2Me : Cleaned.
C:\WINNT\system32\__delete_on_reboot__j_z_y_l_w_r_._e_x_e_ -> Backdoor.PoeBot.c : Cleaned.
C:\WINNT\system32\__delete_on_reboot__t_v_x_y_._e_x_e_ -> Backdoor.PoeBot.c : Cleaned.
C:\WINNT\system32\__delete_on_reboot__u_v_a_l_u_._e_x_e_ -> Backdoor.PoeBot.c : Cleaned.
C:\WINNT\system32\__delete_on_reboot__i_c_r_y_j_p_._e_x_e_ -> Backdoor.Rbot.aem : Cleaned.
C:\__delete_on_reboot__m_t_e_3_n_d_i_6_o_d_o_x_n_g_._e_x_e_ -> Downloader.Small.buy : Cleaned.
C:\windows\__delete_on_reboot__m_t_e_3_n_d_i_6_o_d_o_x_n_g_._e_x_e_ -> Downloader.Small.buy : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\avtslij[1].txt -> Downloader.Tiny.ap : Cleaned.
C:\__delete_on_reboot__d_r_s_m_a_r_t_l_o_a_d_8_4_9_k_._e_x_e_ -> Downloader.VB.afn : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\kybrd_1[1].exe -> Hijacker.VB.fc : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\nwnm_1[1].exe -> Hijacker.VB.fc : Cleaned.
C:\__delete_on_reboot__k_y_b_r_d___1_._e_x_e_ -> Hijacker.VB.fc : Cleaned.
C:\__delete_on_reboot__n_w_n_m___1_._e_x_e_ -> Hijacker.VB.fc : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\ykslvefr[1].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Cleaned.
C:\__delete_on_reboot__i_e_i_l_._e_x_e_ -> Not-A-Virus.Hoax.Win32.Renos.bw : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\85XQGXBV\swrgqax[1].txt -> Not-A-Virus.Hoax.Win32.Renos.dc : Cleaned.
C:\Program Files\__delete_on_reboot__i_o_b_f_c_._e_x_e_ -> Not-A-Virus.Hoax.Win32.Renos.dc : Cleaned.
C:\WINNT\system32\__delete_on_reboot____z_s_k_w_r_k_n_i_0_4_^_g_b_e_[_`_h_]_l_x_v_b_f_e_r_e_._d_l_l_ -> Proxy.Agent.km : Cleaned.


::Report end


Bonjour,

Imprime ces instructions, ou colle les dans un fichier texte.
Regarde bien l'indication en bas, avant de commencer la procédure.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.

. Ferme toutes les fenêtres actives.
. Lance l'outil Look2Me-Destroyer.exe.
. Coche Run this program as a task
. Un message s'affichera :
"Look2Me-Destroyer will close and re-open in approximately 1 minute"-> OK
. Il se relancera après la minute, puis appuie sur le bouton Scan for L2M.
. Les icônes de ton Bureau vont disparaître.
. Le scan termine, clique sur Remove L2M
. Un nouveau message Done Scanning apparaîtra, clique sur OK.
. Suivi de Done removing infected files! Look2Me-Destroyer will now shutdown your computer -> OK.
. Ton PC va s’éteindre.
. Démarre ton PC normalement.
. Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt

Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Voici le rapport généré... (la tempête de virus à l'aire de s'être calmée)


Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 26/06/2006 17:19:53

Infected! C:\WINNT\system32\n0n6la5s1d.dll

Attempting to delete infected files...

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SharedDLLs

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B4572DF0-4EE7-4D8C-90B9-EC9182B6C1F4}"
HKCR\Clsid\{B4572DF0-4EE7-4D8C-90B9-EC9182B6C1F4}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0E07D431-9CD9-4DDB-BCE2-6847ACDC465A}"
HKCR\Clsid\{0E07D431-9CD9-4DDB-BCE2-6847ACDC465A}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3F9C7DE0-5EDD-47D0-98F8-F0D4E59FE6C9}"
HKCR\Clsid\{3F9C7DE0-5EDD-47D0-98F8-F0D4E59FE6C9}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{7443D197-7A0A-4EEF-99A8-E68FD858004E}"
HKCR\Clsid\{7443D197-7A0A-4EEF-99A8-E68FD858004E}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{59AAA629-7C76-4C90-B27E-04BC738D8DAA}"
HKCR\Clsid\{59AAA629-7C76-4C90-B27E-04BC738D8DAA}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F8EF7175-35F6-4BBA-8C8C-CB1CC7C8975F}"
HKCR\Clsid\{F8EF7175-35F6-4BBA-8C8C-CB1CC7C8975F}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BCD772DC-BCBE-418B-A2EC-CEB150614A55}"
HKCR\Clsid\{BCD772DC-BCBE-418B-A2EC-CEB150614A55}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded


Merci de ton aide,

1) Le rapport hijackLogfile of HijackThis v1.99.1
Scan saved at 17:33:00, on 26/06/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\wfsup.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\winnt\system32\_zskwrkni04hvacecvfrkgsc^zy.exe
C:\WINNT\System32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Dofus\Dofus.exe
C:\Program Files\Dofus\dofus.dll
C:\Program Files\Dofus\Dofus.exe
C:\Program Files\Dofus\dofus.dll
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

Et celui d'EWIDO
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 19:03:25 26/06/2006

+ Scan result:



C:\WINNT\system32\esuxp.exe -> Backdoor.PoeBot.c : No action taken.
C:\WINNT\system32\msconfigs.exe -> Backdoor.Rbot.aym : No action taken.
C:\WINNT\system32\ghsgtxsi.exe -> Dropper.Paradrop.a : No action taken.


::Report end


VOila le rapport que j'ai avec ewido ^^---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 20:43:53 26/06/2006

+ Scan result:



C:\WINNT\system32\esuxp.exe -> Backdoor.PoeBot.c : Cleaned.
C:\WINNT\system32\msconfigs.exe -> Backdoor.Rbot.aym : Cleaned.
C:\WINNT\system32\ghsgtxsi.exe -> Dropper.Paradrop.a : Cleaned.


::Report end


Bon ben c'est de retour, enfin les virus que je n'arrivais pas à effacer sont partis depuis le L2M remove mais Spy Sheriff revient à l'attaque alors que j'ai fait (et refait, et refait, et refait) le fix de smitfraud... Ewido ne trouve plus aucuns virus (ce qui est "cool") mais AVG en trouve une quinzaine à chaque démarrage. Mon système de liens sur internet est aussi un peu perturbé, bref... I'm going to devenir fou...


VOICI LE RAPPORT AVG :

"Partition table (MBR)";"ok";"Quick checked"
"Boot sector of disk C:";"ok";"Quick checked"
"System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Load";"";"Scanned"
"System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Run";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\Run";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunOnce";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunOnceEx";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunServices";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunServicesOnce";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\Run";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunOnce";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunOnceEx";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunServices";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunServicesOnce";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\Winlogon\Userinit";"";"Scanned"
"System registry SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell";"";"Scanned"
"System registry exefile\shell\open\command";"";"Scanned"
"System registry scrfile\shell\open\command";"";"Scanned"
"System registry scrfile\shell\config\command";"";"Scanned"
"System registry batfile\shell\open\command";"";"Scanned"
"System registry cmdfile\shell\open\command";"";"Scanned"
"System registry comfile\shell\open\command";"";"Scanned"
"System registry piffile\shell\open\command";"";"Scanned"
"System registry giffile\shell\open\command";"";"Scanned"
"System registry htmlfile\shell\open\command";"";"Scanned"
"System registry htafile\shell\open\command";"";"Scanned"
"System registry jpegfile\shell\open\command";"";"Scanned"
"System registry txtfile\shell\open\command";"";"Scanned"
"System registry regfile\shell\open\command";"";"Scanned"
"System registry cplfile\shell\cplopen\command";"";"Scanned"
"System registry Word.Document.8\shell\open\command";"";"Scanned"
"System registry WordPad.Document.1\shell\open\command";"";"Scanned"
"System registry inffile\shell\open\command";"";"Scanned"
"System registry vbsfile\shell\open\command";"";"Scanned"
"System registry vbefile\shell\open\command";"";"Scanned"
"C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe";"ok";"Quick checked"
"C:\Program Files\Internet Explorer\IEXPLORE.EXE";"ok";"Quick checked"
"C:\Program Files\ewido anti-spyware 4.0\ewido.exe";"ok";"Quick checked"
"C:\WINNT\System32\internat.exe";"ok";"Quick checked"
"C:\WINNT\System32\mobsync.exe";"ok";"Quick checked"
"C:\WINNT\System32\mshta.exe";"ok";"Quick checked"
"C:\WINNT\System32\rundll32.exe";"ok";"Quick checked"
"C:\WINNT\System32\shell32.dll";"ok";"Quick checked"
"C:\WINNT\regedit.exe";"ok";"Quick checked"
"c:\winnt\system32\_zskwrkni04HVACECVFRKGSC^ZY.exe";"ok";"Quick checked"
"C:\WINNT\System32\kernel32.dll";"ok";"Quick checked"
"C:\WINNT\System32\wsock32.dll";"ok";"Quick checked"
"C:\WINNT\System32\user32.dll";"ok";"Quick checked"
"C:\WINNT\System32\shell32.dll";"ok";"Quick checked"
"C:\WINNT\System32\ntoskrnl.exe";"ok";"Quick checked"
"C:\WINNT\System32\drivers\etc\hosts";"Change";"Changed"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\85XQGXBV\ojhgvfpzoa[1].htm";"Virus found SpySheriff";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\85XQGXBV\ojhgvfpzoa[2].htm";"Virus found SpySheriff";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\85XQGXBV\ojhgvfpzoa[3].htm";"Virus found SpySheriff";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\85XQGXBV\ojhgvfpzoa[4].htm";"Virus found SpySheriff";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\fniuj[1].txt";"Virus found Downloader.Tibs";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\fniuj[2].txt";"Virus found Downloader.Tibs";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\lxsurfb[1].htm";"Virus found SpySheriff";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\ojhgvfpzoa[1].htm";"Virus found SpySheriff";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GM8IJDIA\qizblv[1].txt";"Virus found Downloader.Tibs";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\Y05GG0JN\loadadv711[1].exe";"Virus found Downloader.Tibs";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\fniuj[1].txt";"Virus found Downloader.Tibs";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\idpeo[1].txt";"Virus found Downloader.Tibs";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\ojhgvfpzoa[1].htm";"Virus found SpySheriff";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\ojhgvfpzoa[2].htm";"Virus found SpySheriff";"Infected"
"C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YS3UJRW8\qizblv[1].txt";"Virus found Downloader.Tibs";"Infected"
"C:\WINNT\Temp\adv.exe";"Virus found Downloader.Tibs";"Infected"
"System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Load";"";"Scanned"
"System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Run";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\Run";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunOnce";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunOnceEx";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunServices";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunServicesOnce";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\Run";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunOnce";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunOnceEx";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunServices";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\RunServicesOnce";"";"Scanned"
"System registry Software\Microsoft\Windows\CurrentVersion\Winlogon\Userinit";"";"Scanned"
"System registry SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell";"";"Scanned"
"System registry exefile\shell\open\command";"";"Scanned"
"System registry scrfile\shell\open\command";"";"Scanned"
"System registry scrfile\shell\config\command";"";"Scanned"
"System registry batfile\shell\open\command";"";"Scanned"
"System registry cmdfile\shell\open\command";"";"Scanned"
"System registry comfile\shell\open\command";"";"Scanned"
"System registry piffile\shell\open\command";"";"Scanned"
"System registry giffile\shell\open\command";"";"Scanned"
"System registry htmlfile\shell\open\command";"";"Scanned"
"System registry htafile\shell\open\command";"";"Scanned"
"System registry jpegfile\shell\open\command";"";"Scanned"
"System registry txtfile\shell\open\command";"";"Scanned"
"System registry regfile\shell\open\command";"";"Scanned"
"System registry cplfile\shell\cplopen\command";"";"Scanned"
"System registry Word.Document.8\shell\open\command";"";"Scanned"
"System registry WordPad.Document.1\shell\open\command";"";"Scanned"
"System registry inffile\shell\open\command";"";"Scanned"
"System registry vbsfile\shell\open\command";"";"Scanned"
"System registry vbefile\shell\open\command";"";"Scanned"
"C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe";"ok";"Quick checked"
"C:\Program Files\Internet Explorer\IEXPLORE.EXE";"ok";"Quick checked"
"C:\Program Files\ewido anti-spyware 4.0\ewido.exe";"ok";"Quick checked"
"C:\WINNT\System32\internat.exe";"ok";"Quick checked"
"C:\WINNT\System32\mobsync.exe";"ok";"Quick checked"
"C:\WINNT\System32\mshta.exe";"ok";"Quick checked"
"C:\WINNT\System32\rundll32.exe";"ok";"Quick checked"
"C:\WINNT\System32\shell32.dll";"ok";"Quick checked"
"C:\WINNT\regedit.exe";"ok";"Quick checked"
"c:\winnt\system32\_zskwrkni04HVACECVFRKGSC^ZY.exe";"ok";"Quick checked"


MERCI ENCORE DE VOTRE AIDE A TOUS,

bonjour

en mode sans échec
vérifier qu'il ne rest rien de spysheriff ==> dans c:/ program files


supprimer
en ayant accés aux fichiers cachés
Démarrer =>Poste de travail =>Outils =>Options des dossiers =>Affichage
Cocher = Afficher les fichiers et dossiers cachés
Plus bas
Décocher =Masquer les extensions des fichiers dont le type est connu
Décocher =Masquer les fichiers protégés du système d'exploitation


YS3UJRW8 ==> dans C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5
GM8IJDIA ==> dans C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5
85XQGXBV ==> dans C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5

plus tout ce qui reste dans Content.IE5

Bonjour

Comment se manifeste SpySheriff ?
As tu une localisation ?

Essaye avec cet utilitaire.

1 Télécharge SmitRem.exe
http://noahdfear.geekstogo.com/click%20counter/click.ph...
Installe le sur le Bureau.
Si ton antivirus rouspète, désactive le le temps du téléchargement.

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

3 Ouvre Smitrem
Double clique sur RunThis.bat
Lance le nettoyage. Ecran et icones vont apparaitre et réapparaitre.
Cela peut durer un certain temps.

4 Redémarre normalement

Poste le rapport de Smitrem avec un nouveau HijackThis.

Voici le rapport,
Logfile of HijackThis v1.99.1
Scan saved at 13:39:17, on 28/06/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\Run: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Microsoft Networks DN (msndn) - Unknown owner - C:\WINNT\msndn.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Bonjour

As tu fait Smitrem ?
As tu toujours des alertes ?

1 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

2 Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\Run: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: Microsoft Networks DN (msndn) - Unknown owner - C:\WINNT\msndn.exe (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

3 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionne
"Microsoft Networks DN" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINNT\msndn.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINNT\msndn.exe
C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
rpcc.exe --> Probablement dans C:\WINNT\System32 ou C:\WINNT.

6 Lance le nettoyage avec CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

7 Redémarre normalement et poste un nouveau log HijackThis.

Non je n'ai plus d'alerte
Je vais essayer la procedure que tu m'indiques...j'espere en finir avec tous ces problemes

Merci

Voici le log

Logfile of HijackThis v1.99.1
Scan saved at 21:06:41, on 28/06/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\wfsup.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spoolsvc.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\System32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

PS: il y a encore un arret de svchost au demarrage, une redirection suspecte vers msn search au lancement de internet explorer et "Backdoor.PoeBot.c" et Backdoor.AGent.ABC" qui font une rave party dans le dossier System 32

Ok voila c'est fait,
J'ai encore un arrêt anormal de svchost.exe et alors il y aussi "Backdoor.PoeBot.c" et "Backdoor.Agent.ABC" qui infectent des fichiers du dossier System 32...
J'ai déjà fait "clean" de smilliers de fois mais ils reviennent...

Voici le log

Logfile of HijackThis v1.99.1
Scan saved at 20:59:51, on 28/06/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\wfsup.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spoolsvc.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\System32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Merci de ton aide,

Voila c'est fait... Mais il y a encore un arrêt suspect de svchost.exe au démarrage, une redirection vers la page msnsearch lors de l'utilisation du navigateur i ex et alors deux petites choses nomées "Backdoor.PoeBot.c" et "Backdoor.Agent.ABC" qui font une rave party dans le dossier system 32... Je le sais déjà "cleané" à maintes reprises sans succès...rien n'y fait...

Voici le log

Logfile of HijackThis v1.99.1
Scan saved at 21:06:41, on 28/06/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\wfsup.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spoolsvc.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\System32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Le fichier résiste.

Démarre le logiciel HijackThis et lance un scan "Do a system scan only".
Puis coche les lignes suivantes (dans HijackThis):

O4 - HKLM\..\Run: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe
O4 - HKLM\..\RunServices: [ÿ_zskMXJ] C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

Toujours sur Hijackthis > Config >Misc tools > delete a file on reboot.
Entre ce chemin:

C:\WINNT\System32\_zskwrkni04]TKI[XRCL[D^\JXM.exe

Redémarre l'ordinateur.
Et on continue le nettoyage.

Étape 1:
Télécharge eScan Antivirus Toolkit
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec
Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option
Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse avec un nouveau HijackThis.

Voila j'ai cru compendre que les symptomes de mon pc sont ceux du ver SASSER... Il a infecté Lsass.exe et je ne parviens pas à l'ôter même avec des fix SASSER... EN mode sans échec le fix dit que je ne suis connecté comme 'administrator' et donc, que je n'ai pas acces à tous les fichiers... et qu'il est possible que certains fichiers infectés restent....

HELPPPPPPP!!!!! Je rêve de me débarrasser de ce truc!

Je ne sais pas si tu as résolu ton problème depuis ce temps, mais je te suggèrerais d'utiliser également le logiciel copylock, qui va te permettre de supprimer définitivement certains fichiers ou dossiers suspects qui ne veulent pas se supprimer de maniere classique.

J'ai déja chopé Spysheriff ainsi que PEPatch, et celà m'a bcp aidé. Cela dit, je n'en était pas au meme degré d'infection que toi.

Une fois que tu as localisé ou le virus s'installe (souvent dans c://documents and settings/"ton compte"/ ; et/ou dans c://win32) cherche les fichiers dont la date de modification correspond a la date d'infection et efface les définitivement, non sans avoir vérifié avant ce à quoi ils correspondent, bien sur. (Je veux dire par là vérifier sur le net si ces fichiers correspondent a ton systeme ou bien a des logiciels importants pour toi).

Sinon le combo AVG + Spybot + AdAware est je pense un bon compromis pour protéger ton PC. Penses aussi a couper ta connection quand tu fais tout ça, tu éviteras que le virus télécharge d'autres saloperies pendant que tu nettoies le PC, ce qui risque fortement d'arriver si tu laisses ta connection ouverte.

Bon courage !!!
Lassé par la pub ? Créez un compte

Créer un nouveau sujet

Tom's guide dans le monde