Smitfraud

Thierry Chavez -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Salut moe !
J'ai écrit un message sur ce forum hier, car mon pc est également infecté par smitfraud.
Malheureusement je n'ai pu lire ta réponse; il m'éjecte à chaque tentative d'ouverture.
En parcourant les autres messages, j'ai pu comprendre que tu trouves une solution pour chaque cas de figure. J'ai bien essayé d'appliquer l'une ou l'autre solution, mais apparemment c'est pas la même pour chacun.
Voici donc mon Hijack en espérant que tu puisses m'aider.
Merci d'avance...
Logfile of HijackThis v1.99.1
Scan saved at 11:25:19, on 1/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Mes documents\Antivirus et spyware\Torjan-spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\iLookup\ezStub22.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O15 - Trusted Zone: http://*.windupdates.com
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

12 réponses

  1. Neo-Nil@u Messages postés 1595 Statut Contributeur 96
     
    Salut,

    regarde tout d'abord si tu as un dossier en rapport avec NewNet ou NewDotNet dans C:\Program Files
    Si oui, supprime le dossier et vide ta corbeille !
    0
  2. moe
     
    salut thierry

    Est ce que tu peux préciser quand tu dis je n'ai plus d'onglet fond d'ecran ?
    je suppose que tu veux parler de l'onglet bureau, quand tu fais un clic droit sur le bureau puis propriétés ?

    -= 1 =-
    Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant.

    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher la case "désactiver la restauration système".
    valider
    (accepte le redemarrage).

    -= 2 =-
    Les manips doivent etres faites en mode sans echecs
    Redémarrer en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8.
    Choisis le mode sans échec dans les options et valide avec entrée.

    -= 3 =-
    Rendre visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher " afficher les fichiers et dossiers cachés "
    Décocher " masquer les extentions des fichiers dont le type est connu
    Décocher " masquer les fichiers protégés du système"
    Valide

    _-_-_-_-_-_-_-_-_-_-

    Vide le cache d'Internet Explorer et supprime les cookies:

    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"

    Lance hijackthis et Fixe:
    cocher la case au début des lignes suivantes:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

    R3 - Default URLSearchHook is missing

    O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
    O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll

    O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
    O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
    O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
    O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
    O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
    O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\iLookup\ezStub22.exe

    O15 - Trusted Zone: http://*.windupdates.com

    valider avec [fix checked]

    -----------------------------------

    Rechercher et supprimer si présent:

    Dans le cas ou tu utiliserais la fonction Rechercher:
    Assure toi que dans:
    Tous les fichiers et tous les dossiers >> Options avancées
    • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
    • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
    • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

    Supprime:

    C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
    C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
    C:\WINDOWS\System32\spoolsrv32.exe
    C:\WINDOWS\iLookup
    C:\Program Files\QuickSearch
    C:\Program Files\Security iGuard<salut thierry

    Est ce que tu peux préciser quand tu dis je n'ai plus d'onglet fond d'ecran ?
    je suppose que tu veux parler de l'onglet bureau, quand tu fais un clic droit sur le bureau puis propriétés ?

    -= 1 =-
    Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant.

    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher la case "désactiver la restauration système".
    valider
    (accepte le redemarrage).

    -= 2 =-
    Les manips doivent etres faites en mode sans echecs
    Redémarrer en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8.
    Choisis le mode sans échec dans les options et valide avec entrée.

    -= 3 =-
    Rendre visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher " afficher les fichiers et dossiers cachés "
    Décocher " masquer les extentions des fichiers dont le type est connu
    Décocher " masquer les fichiers protégés du système"
    Valide

    _-_-_-_-_-_-_-_-_-_-

    Vide le cache d'Internet Explorer et supprime les cookies:

    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"

    Lance hijackthis et Fixe:
    cocher la case au début des lignes suivantes:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

    R3 - Default URLSearchHook is missing

    O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
    O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll

    O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
    O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
    O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
    O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
    O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
    O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\iLookup\ezStub22.exe

    O15 - Trusted Zone: http://*.windupdates.com

    valider avec [fix checked]

    -----------------------------------

    Rechercher et supprimer si présent:

    Dans le cas ou tu utiliserais la fonction Rechercher:
    Assure toi que dans:
    Tous les fichiers et tous les dossiers >> Options avancées
    • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
    • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
    • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

    Supprime:

    C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
    (attention, ne pas confondre avec C:\WINDOWS\System32\svchost.exe qui lui est ok)

    C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
    C:\WINDOWS\System32\spoolsrv32.exe
    C:\WINDOWS\iLookup <- tout le dossier
    C:\Program Files\QuickSearch <- tout le dossier
    C:\Program Files\Security iGuard <- tout le dossier

    ----------------------------------------------

    Ensuite, tres important:

    Supprimer les fichiers temporaires:

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Temp
    * C:\Windows\Temp
    vider tout le contenu des dossiers en gras.

    Le contenu du dossier prefetch:

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    * Ne pas oublier de vider la corbeille !

    ------------------------------------------------

    Redemarre normalement, et ensuite fais un scan AV ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

    Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers

    a+
    0
    1. Thierry Chavez
       
      Salut moe!

      Désolé de répondre si tard, mais je me suis "cassé la gueule" en voiture ... Ca va; quelques points autour de la lèvre mais voiture HS.

      Ceci dit, j'ai appliqué les manips que tu m'as conseillées et voici les résultats:

      1/ l'onglet fond d'écran= clic droit bureau; propriétés
      2/ la page de démarrage d'internet explorer (ipassisst.biz ....) n'apparaît plus.
      3/ l'utilisation d'internet expolrer est plus rapide et je n'ai plus de pop-up qui apparaît.
      4/ voici le rapport du scan de Rav antvirus

      Scan started at 4/05/2005 11:30:51

      Scanning memory...
      Scanning boot sectors...
      Scanning files...
      C:\Program Files\Windows Media Player\wmplayer.exe.tmp - TrojanDropper:Win32/Small.SB -> Infected
      C:\WINDOWS\HLInstaller3.exe - Trojan:Win32/SecondThought.R.dr -> Infected
      C:\WINDOWS\system32\HLInstaller1.exe - Trojan:Win32/SecondThought.R.dr -> Infected
      D:\installation\Internet\java\1stpage2.zip->setup.exe->(CABSfx)->\data1.cab->[ishld.445]->(SCRIPT0000) - Trojan:JS/Loop* -> Infected

      Scanned
      ============================
      Objects: 19693
      Directories: 1667
      Archives: 754
      Size(Kb): -90934
      Infected files: 4

      Found
      ============================
      Viruses found: 3
      Suspicious files: 0
      Disinfected files: 0
      Mail files: 38

      5/ voici le rapport Hijack

      Logfile of HijackThis v1.99.1
      Scan saved at 11:55:13, on 4/05/2005
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\System32\CTHELPER.EXE
      C:\Program Files\Logitech\MouseWare\system\em_exec.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
      C:\WINDOWS\System32\CTsvcCDA.exe
      C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
      C:\WINDOWS\System32\MsPMSPSv.exe
      C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
      C:\Documents and Settings\Administrateur\Mes documents\Antivirus et spyware\Torjan-spy\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe
      O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
      O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
      O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
      O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
      O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
      O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
      O14 - IERESET.INF: START_PAGE_URL=about:blank
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
      O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
      O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
      O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

      Apparemment il reste des "intrus", mais on est sur la bonne voie.

      Je t'en remercie encore.

      A+
      0
  3. Neo-Nil@u Messages postés 1595 Statut Contributeur 96
     
    Salut Thierry,

    supprime les fichiers en gras :
    C:\Program Files\Windows Media Player\wmplayer.exe.tmp
    C:\WINDOWS\HLInstaller3.exe
    C:\WINDOWS\system32\HLInstaller1.exe
    D:\installation\Internet\java\1stpage2.zip
    0
    1. Chavez Thierry
       
      Merci.

      J'ai effacé les fichiers. Tout à l'air OK.
      Il me reste un tout petit problème: comment faire réapparaître l'onglet fond d'écran (clic droit sur bureau; propriétés), et par la même occasion mon fond d'écran ?
      0
  4. moe
     
    salut thierry

    Fais ceci:

    Ovre le bloc note et colle dedans ce qui est en gras ci dessous:

    REGEDIT4

    [-HKEY_CLASSES_ROOT\CLSID\{145E6FB1-1256-44ED-A336-8BBA43373BE6}]

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoActiveDesktopChanges"=-

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "NoDispAppearancePage"=-
    "NoDispBackgroundPage"=-
    "Wallpaper"=-


    Puis:
    fichier > enregistrer sous

    dans:
    Nom du fichier: met bureau.reg
    dans
    type de fichier: selectionne tous les fichiers

    l'effet devrait etre immediat, sinon redemarre

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Neo-Nil@u Messages postés 1595 Statut Contributeur 96
     
    C'est dans ton log HijackThis que se trouve la solution !
    Il faut attendre quelqu'un de plus compétent que moi qui analysera ton log !
    @++
    0
    1. moe
       
      salut neo

      Malheureusement non, ce trojan modifie les parametres du bureau dans le registre et le fait de le virer ne remet pas les modifs comme elles etaient avant infection.
      Il faut les remettrent manuellement ou en passant par un fichier reg

      a+
      0
  7. moe
     
    l'effet devrait etre immediat, sinon redemarre

    Apres avoir double cliqué sur bureau.reg et accepté de fusionner bien sur !!!

    a+
    0
  8. Neo-Nil@u Messages postés 1595 Statut Contributeur 96
     
    OK, merci Moe !
    Ce soir, je m'endormirai un peu moins bête !
    @+ sur le forum
    ;))
    0
  9. moe
     
    de rien

    a++
    0
    1. Chavez Thierry
       
      Voilà qui est fait.

      Un très grand merci à vous deux ! Chapeau bas; vous êtes des as ! et puis bravo pour la simplicité des infos.
      Merci aussi au concepteur de ce forum. Idée génial s'il en est pour un inculte en informatique comme moi.

      Ah oui: je suppose qu'après tout cela je peux restaurer le système?
      Et tant que j'y suis pouvez vous me conseiller un programme ( simple) pour transformer des cd musicaux en MP3 ?

      Encore merci pour votre aide.
      A+

      Thierry
      0
  10. Neo-Nil@u Messages postés 1595 Statut Contributeur 96
     
    Salut Thierry,

    je pense qu'on te répondra si tu postes un message dans un forum autre que Virus/Sécurité !
    @+
    0
    1. Thierry Chavez
       
      Logique!
      a+
      0
  11. moe
     
    salut thierry

    Content que tout soit rentrer dans l'ordre, tu peux reactiver la restau systeme et meme creer un point de restauration.

    Pour le prog que tu cherche, jete un oeil ici et c'est gratuit et sans spy:
    http://www.zebulon.fr/articles/CDex_1.php

    a++
    0
  12. megha
     
    salut tous le monde,

    j ai besoin d aide de pro, j ai un souci avec smifraud ou bankfraud. mon pc s allume mais sans le bareau c'est a dire écran noir. si vous pouvez m aider en m envoyant un mail? svp !!!
    en vous remerciant
    megha
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut si tu peut fait ceci
    fait ceci
    HijackThis (ici) http://www.florensac-chasse-trap.com/
    section virus

    telecharge le et met le dans son propre dossier ex/c :hj

    clik sur do a systeme scan et save a logfile
    et copier coller le rapport
    0