[Virus Randex, Trojan...]

Damien -  
 Damien -
Bonjour,
Mon PC est victime des virus randex, trojan et spybot.worm?
Impossible de les eradiquer pour l'instant...
J'etais aussi ces deniers jours victime de nombreux spyware que j'ai a peu prés reussi à eradiquer avec adaware et spybot...
Voici le rapport Hijackthis - que me conseillez vous? Merci pour votre aide - Damien
Logfile of HijackThis v1.99.1
Scan saved at 19:01:28, on 08/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\notes.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\wftestb.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\CTSVCCD.EXE
C:\WINDOWS\System32\MSMSN7.exe
C:\program files\180searchassistant\sac.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\MSMSN7.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\SCardClnt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {05B5A8E6-AF84-9855-F1DD-233BC83B806D} - MSTCPDLL.dll (file missing)
O2 - BHO: IE SP2 AddOn - {B8FEAB2A-13C7-48C3-892D-00A130851785} - C:\WINDOWS\System32\sphet.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Vdat Update] lalaa.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Utilisateur\lc.exe
O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WFFT Test] wftestb.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [sac] c:\program files\180searchassistant\sac.exe
O4 - HKLM\..\Run: [MSTCPDLL] syspanel.exe
O4 - HKLM\..\Run: [WTFCTF] dialer423.exe
O4 - HKLM\..\Run: [mfmzuhud] C:\WINDOWS\mfmzuhud.exe
O4 - HKLM\..\RunServices: [Vdat Update] lalaa.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [WFFT Test] wftestb.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Vdat Update] lalaa.exe
O4 - HKCU\..\Run: [WFFT Test] wftestb.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [WareOut] C:\Program Files\WareOut\WareOut.exe
O4 - HKCU\..\Run: [Trayz] defect08.exe
O4 - HKCU\..\Run: [ERTYDF] prcmon.exe
O4 - HKCU\..\Run: [dialer423] MSTCPDLL.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/275ecb3fc1022f68c518/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115478295524
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{498D74F9-1511-4141-B2D1-55A20D658266}: NameServer = 69.50.184.86 195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{C19373C8-5D83-4AAC-8A36-DCECC808DFC7}: NameServer = 69.50.184.86,195.225.176.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{498D74F9-1511-4141-B2D1-55A20D658266}: NameServer = 69.50.184.86 195.225.176.110
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

17 réponses

  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    il te reste pas mal de cochonnerie d
    0
  2. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    pardon faute de frappe,

    as tu bien suivi le processus de nettoyage avec ad aware et spybot, c'est à dire, dans un premier temps, tu les mets à jour.

    ensuite:
    A/ si tu ne l'a pas, telecharge CleanUp312.exe
    http://www.florensac-chasse-trap.com
    section virus

    ne l'utilise pas tout de suite

    1) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    execute cleanup312.exe

    tu relances ton scan et la tu devrais pouvoir supprimer tes trojans.
    lance egalement
    ad aware
    puis spy boot
    et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

    vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.

    redemarre fait un nouveau log et post le

    tiens moi au jus
    0
  3. Damien
     
    Que me conseillerais tu ? Je patauge...
    Merci!
    0
  4. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Je te consille de suivre ce que je t'ai indiqué au post2

    et ensuite reposte un log hijack.

    Jean
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. damien
     
    ok merci - voici le nouveau log :

    Logfile of HijackThis v1.99.1
    Scan saved at 20:10:08, on 08/05/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\notes.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\WINDOWS\System32\wftestb.exe
    C:\WINDOWS\System32\MSMSN32.exe
    C:\WINDOWS\System32\CTSVCCD.EXE
    C:\WINDOWS\System32\MSMSN7.exe
    C:\program files\180searchassistant\sac.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\CursorXP\CursorXP.exe
    C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\MSMSN32.exe
    C:\WINDOWS\System32\MSMSN7.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\srvany.exe
    C:\WINDOWS\System32\r_server.exe
    C:\WINDOWS\system32\resetservice.exe
    C:\WINDOWS\System32\SCardClnt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\Program Files\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {05B5A8E6-AF84-9855-F1DD-233BC83B806D} - MSTCPDLL.dll (file missing)
    O2 - BHO: IE SP2 AddOn - {B8FEAB2A-13C7-48C3-892D-00A130851785} - C:\WINDOWS\System32\sphet.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Vdat Update] lalaa.exe
    O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Utilisateur\lc.exe
    O4 - HKLM\..\Run: [notes] notes.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [WFFT Test] wftestb.exe
    O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
    O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKLM\..\Run: [sac] c:\program files\180searchassistant\sac.exe
    O4 - HKLM\..\Run: [MSTCPDLL] syspanel.exe
    O4 - HKLM\..\Run: [WTFCTF] dialer423.exe
    O4 - HKLM\..\RunServices: [Vdat Update] lalaa.exe
    O4 - HKLM\..\RunServices: [notes] notes.exe
    O4 - HKLM\..\RunServices: [WFFT Test] wftestb.exe
    O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
    O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
    O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Vdat Update] lalaa.exe
    O4 - HKCU\..\Run: [WFFT Test] wftestb.exe
    O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
    O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKCU\..\Run: [WareOut] C:\Program Files\WareOut\WareOut.exe
    O4 - HKCU\..\Run: [Trayz] defect08.exe
    O4 - HKCU\..\Run: [ERTYDF] prcmon.exe
    O4 - HKCU\..\Run: [dialer423] MSTCPDLL.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/275ecb3fc1022f68c518/netzip/RdxIE601_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115478295524
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildAppNonUS.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C19373C8-5D83-4AAC-8A36-DCECC808DFC7}: NameServer = 69.50.184.86,195.225.176.110
    O17 - HKLM\System\CS2\Services\Tcpip\..\{498D74F9-1511-4141-B2D1-55A20D658266}: NameServer = 69.50.184.86 195.225.176.110
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
    O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    0
  7. Damien
     
    Toujours des alertes norton sur randex et trojan - je dois m'absenter - Merci encore pour votre aide - c vraiment cool - Damien
    0
  8. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Il reste pas mal de truc dont ce machin VoissaNoPubs

    avant de fixer les lignes à pb, verifie en faisant un scan en ligne
    ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    damien tu na pas utiliser spybot tet adaware
    je n en vois aucune trace dans ton log
    0
  10. Damien
     
    Le scan a l'air nickel :

    Scan started at 08/05/2005 22:54:57

    Scanning memory...
    Scanning boot sectors...
    Scanning files...

    Scanned
    ============================
    Objects: 20643
    Directories: 1532
    Archives: 538
    Size(Kb): 466764
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 40

    J'ai relancé Spybot et Adaware qui me redetectent des nouveaux trucs à chaque fois ...
    Toujours des alertes Norton sur Randex, Trojan mais aussi Spybot.worm ...
    Merci encore pour votre aide - precieuse !
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki donc refait un hijack stp
    0
  12. Damien
     
    voici le rapport mais j'ai ete obligé de redemarrer l'ordi - j'avais 1 message d'erreur qd je lançais hijack

    Logfile of HijackThis v1.99.1
    Scan saved at 23:36:52, on 08/05/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\notes.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\WINDOWS\System32\wftestb.exe
    C:\WINDOWS\System32\MSMSN32.exe
    C:\WINDOWS\System32\CTSVCCD.EXE
    C:\WINDOWS\System32\MSMSN7.exe
    C:\program files\180searchassistant\sac.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\CursorXP\CursorXP.exe
    C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\wftestb.exe
    C:\WINDOWS\System32\MSMSN32.exe
    C:\WINDOWS\System32\CTSVCCD.EXE
    C:\WINDOWS\System32\MSMSN7.exe
    C:\Program Files\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {05B5A8E6-AF84-9855-F1DD-233BC83B806D} - MSTCPDLL.dll (file missing)
    O2 - BHO: IE SP2 AddOn - {B8FEAB2A-13C7-48C3-892D-00A130851785} - C:\WINDOWS\System32\sphet.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Vdat Update] lalaa.exe
    O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Utilisateur\lc.exe
    O4 - HKLM\..\Run: [notes] notes.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [WFFT Test] wftestb.exe
    O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
    O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKLM\..\Run: [sac] c:\program files\180searchassistant\sac.exe
    O4 - HKLM\..\Run: [MSTCPDLL] syspanel.exe
    O4 - HKLM\..\Run: [WTFCTF] dialer423.exe
    O4 - HKLM\..\RunServices: [Vdat Update] lalaa.exe
    O4 - HKLM\..\RunServices: [notes] notes.exe
    O4 - HKLM\..\RunServices: [WFFT Test] wftestb.exe
    O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
    O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
    O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Vdat Update] lalaa.exe
    O4 - HKCU\..\Run: [WFFT Test] wftestb.exe
    O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
    O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKCU\..\Run: [WareOut] C:\Program Files\WareOut\WareOut.exe
    O4 - HKCU\..\Run: [Trayz] defect08.exe
    O4 - HKCU\..\Run: [ERTYDF] prcmon.exe
    O4 - HKCU\..\Run: [dialer423] MSTCPDLL.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/275ecb3fc1022f68c518/netzip/RdxIE601_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115478295524
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{498D74F9-1511-4141-B2D1-55A20D658266}: NameServer = 69.50.184.86 195.225.176.110
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C19373C8-5D83-4AAC-8A36-DCECC808DFC7}: NameServer = 69.50.184.86,195.225.176.110
    O17 - HKLM\System\CS1\Services\Tcpip\..\{498D74F9-1511-4141-B2D1-55A20D658266}: NameServer = 69.50.184.86 195.225.176.110
    O17 - HKLM\System\CS2\Services\Tcpip\..\{498D74F9-1511-4141-B2D1-55A20D658266}: NameServer = 69.50.184.86 195.225.176.110
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
    O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    imprime ceci pour ne rien oublier et tous faire
    tous faire dans l ordre imperativement
    -------------------------
    tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore
    adaware (1)
    spyboot (2)
    (ici) http://www.florensac-chasse-trap.com/ section virus
    et aussi ceci
    CleanUp312.exe (3)
    et aussi ceci

    ----------------
    desactive ta restauration systeme
    pour ça tu fais clic droit sur poste de travail
    propriété tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------

    demarre en mode sans echec
    mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
    -------------------------

    assure toi de ceci
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer
    ----------------------
    vide tes fichiers temps et tempory internet file sur tous les utilisateur
    utilise ceci pour le faire
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

    --------------------
    relance hijack coche ces lignes et ensuite clik sur fix
    R3 - URLSearchHook: (no name) - {05B5A8E6-AF84-9855-F1DD-233BC83B806D} - MSTCPDLL.dll (file missing)
    O2 - BHO: IE SP2 AddOn - {B8FEAB2A-13C7-48C3-892D-00A130851785} - C:\WINDOWS\System32\sphet.dll
    O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
    O4 - HKLM\..\Run: [Vdat Update] lalaa.exe
    O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Utilisateur\lc.exe
    O4 - HKLM\..\Run: [notes] notes.exe
    O4 - HKLM\..\Run: [WFFT Test] wftestb.exe
    O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
    O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKLM\..\Run: [sac] c:\program files\180searchassistant\sac.exe
    O4 - HKLM\..\Run: [MSTCPDLL] syspanel.exe
    O4 - HKLM\..\Run: [WTFCTF] dialer423.exe
    O4 - HKLM\..\RunServices: [Vdat Update] lalaa.exe
    O4 - HKLM\..\RunServices: [notes] notes.exe
    O4 - HKLM\..\RunServices: [WFFT Test] wftestb.exe
    O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
    O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKCU\..\Run: [Vdat Update] lalaa.exe
    O4 - HKCU\..\Run: [WFFT Test] wftestb.exe
    O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
    O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
    O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
    O4 - HKCU\..\Run: [WareOut] C:\Program Files\WareOut\WareOut.exe
    O4 - HKCU\..\Run: [Trayz] defect08.exe
    O4 - HKCU\..\Run: [ERTYDF] prcmon.exe
    O4 - HKCU\..\Run: [dialer423] MSTCPDLL.exe
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/275ecb3fc1022f68c518/netzip/RdxIE601_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115478295524
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O20 - Winlogon Notify: reset5 - O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe

    ----------------------
    recherche et suppr ceci
    attention seulement les fichiers
    C:\WINDOWS\System32\sphet.dll
    lalaa.exe
    C:\Documents and Settings\Utilisateur\lc.exe
    notes.exe
    wftestb.exe
    MSMSN32.exe
    CTSVCCD.EXE
    MSMSN7.exe
    c:\program files\180searchassistant<==le dossier
    syspanel.exe
    dialer423.exe
    lalaa.exe
    C:\Program Files\WareOut\WareOut.exe
    defect08.exe
    prcmon.exe
    MSTCPDLL.exe
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    C:\WINDOWS\System32\SCardClnt.exe

    ---------------
    Démarrer->exécuter->tape: services.msc

    Double-clique: Smart Card Client (SCardClnt

    Règle-le sur "Arrêté" et "Désactivé".

    -------------

    passe adaware et vire tous se qu il trouve
    ----------
    passe spy boot et vire tous se qu il trouvent
    -------------

    tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

    et precise ou en sont tes soucis

    --
    0
  14. damien
     
    merci bcp !
    j'essaie tout ça dés que possible et te tiens au courant
    0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    lol
    le probleme si tu redemarre les fichiers risque de changer
    0
  16. Damien
     
    Le souci est que je n'ai pas d'imprimante branchée sur mon ordi at home ! Donc faut que j'imprime la procédure que tu m'as donné ailleurs... Umm !
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    se que tu peut faire c est l enregistrer avec le bloc note comme cela tu pourrat l ouvrir en mode sans echec
    0
  18. Damien
     
    Je ne peux pas enregistrer ni avec word ni avec le bloc note... ça me plante... Bon je jette l'éponge pour ce soir... MILLE MERCI encore pour le coup de main ... Je me remet sur le chantier demain soir...
    0