Sujet Précédent Sujet Suivant

PSGuard je n'en sors pas !

Résolu
Steve65 Messages postés 29 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,

malgré 5 heures de bidouillages d'après des infos glanées sur internet, (antivirus ewido, hijackthis, suppression dans le registre...), je suis toujours pollué par ce psguard.

HELP!!!!!!!!

à tout hasard, ci-joint le rapport Hijackthis

Merci aux compétents qui m'aideront!

Logfile of HijackThis v1.98.0
Scan saved at 00:37:10, on 21/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\LxrJD30s.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\mctt\oeur.exe
C:\WINDOWS\System32\t?skmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBCPSWX.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBCJSWX.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe,confng32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\confng32.exe,C:\Documents and Settings\Papa\Application Data\Explorer\confng32.exe,C:\Documents and Settings\Maman\Application Data\Explorer\confng32.exe,C:\Documents and Settings\Administrateur\Application Data\Explorer\confng32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O2 - BHO: (no name) - {3C513DC2-DB24-4D79-96DA-2D32C5ACC07F} - C:\WINDOWS\System32\kdbi.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [yfutjgu] c:\windows\bqjliug.exe
O4 - HKCU\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - HKCU\..\Run: [Brab] C:\Program Files\mctt\oeur.exe
O4 - HKCU\..\Run: [Faetbpel] C:\WINDOWS\System32\t?skmgr.exe
O4 - HKCU\..\Run: [skikbce] c:\windows\qxtpydp.exe
O4 - HKCU\..\Run: [ubcvgow] c:\windows\mbathbe.exe
O4 - HKCU\..\Run: [hxbymvg] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [uhhuqrx] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [plxfqyh] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [yvidifr] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [gbskurd] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [jeacoeu] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [hmtmbac] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [bcsxphn] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [kobbmmm] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [cqmlyhg] c:\windows\wmnmntm.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: winupdate79044757[1].exe
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://mediaplan.ovh.net
O15 - Trusted Zone: http://www.rivalis.fr
O16 - DPF: {0CF960BE-A9CD-387F-62E6-14E409826713} - http://69.50.182.94/1/gdnFR1882.exe
O16 - DPF: {0F9BE074-DF9E-4EB2-7FD8-5D2467C25634} - http://69.50.182.94/1/gdnFR1882.exe
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O18 - Filter: text/html - {02D40665-EBC3-4D48-BD95-DA4D3840D8E7} - C:\WINDOWS\System32\kdbi.dll
O18 - Filter: text/plain - {02D40665-EBC3-4D48-BD95-DA4D3840D8E7} - C:\WINDOWS\System32\kdbi.dll
O21 - SSODL: Client WebControl - {48810C64-A063-4C8A-A19C-F6AA40C901AD} - C:\WINDOWS\System32\comdeset.dll

52 réponses

Réponse 1 / 52
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
a mon avis tu na pas que cela

http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le

relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport

completer a la fin par hijack
0
Réponse 2 / 52
Steve65 Messages postés 29 Statut Membre
 
j'ai fait les 3 opérations, ci-joint rapports, mais j'ai toujours plein d'alertes par ewido, et l'icone point d'exclamation dans un rond rouge dans la barre de taches!

1er rapport

SmitFraudFix v0.8

Rapport fait à 0:49:45,43 le 21/07/2005
Executé à partir de C:\Documents and Settings\Papa
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Papa\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

2eme rapport

SmitFraudFix v0.8

Rapport fait à 0:50:58,70 le 21/07/2005
Executé à partir de C:\Documents and Settings\Papa
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\uninstIU.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

après redémarrage

SmitFraudFix v0.8

Rapport fait à 0:56:24,23 le 21/07/2005
Executé à partir de C:\Documents and Settings\Papa
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Papa\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Logfile of HijackThis v1.98.0
Scan saved at 00:57:47, on 21/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\LxrJD30s.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\windows\bqjliug.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\mctt\oeur.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\t?skmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Papa\Menu Démarrer\Programmes\Démarrage\winupdate79044757[1].exe
C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
C:\DOCUME~1\Papa\LOCALS~1\Temp\tmp1E.tmp
C:\WINDOWS\System32\mxipfaaa.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe,confng32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\confng32.exe,C:\Documents and Settings\Papa\Application Data\Explorer\confng32.exe,C:\Documents and Settings\Maman\Application Data\Explorer\confng32.exe,C:\Documents and Settings\Administrateur\Application Data\Explorer\confng32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll
O2 - BHO: (no name) - {3C513DC2-DB24-4D79-96DA-2D32C5ACC07F} - C:\WINDOWS\System32\kdbi.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [yfutjgu] c:\windows\bqjliug.exe
O4 - HKCU\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - HKCU\..\Run: [Brab] C:\Program Files\mctt\oeur.exe
O4 - HKCU\..\Run: [Faetbpel] C:\WINDOWS\System32\t?skmgr.exe
O4 - HKCU\..\Run: [skikbce] c:\windows\qxtpydp.exe
O4 - HKCU\..\Run: [ubcvgow] c:\windows\mbathbe.exe
O4 - HKCU\..\Run: [hxbymvg] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [uhhuqrx] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [plxfqyh] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [yvidifr] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [gbskurd] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [jeacoeu] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [hmtmbac] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [bcsxphn] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [kobbmmm] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [cqmlyhg] c:\windows\wmnmntm.exe
O4 - HKCU\..\Run: [iskfbdg] c:\windows\bxvpxwx.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: winupdate79044757[1].exe
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://mediaplan.ovh.net
O15 - Trusted Zone: http://www.rivalis.fr
O16 - DPF: {0CF960BE-A9CD-387F-62E6-14E409826713} - http://69.50.182.94/1/gdnFR1882.exe
O16 - DPF: {0F9BE074-DF9E-4EB2-7FD8-5D2467C25634} - http://69.50.182.94/1/gdnFR1882.exe
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {7D70E1A8-8BFD-43B2-A65E-21C140D54BB0} - http://69.50.182.94/1/gdnFR1882.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O18 - Filter: text/html - {02D40665-EBC3-4D48-BD95-DA4D3840D8E7} - C:\WINDOWS\System32\kdbi.dll
O18 - Filter: text/plain - {02D40665-EBC3-4D48-BD95-DA4D3840D8E7} - C:\WINDOWS\System32\kdbi.dll
O21 - SSODL: Client WebControl - {48810C64-A063-4C8A-A19C-F6AA40C901AD} - C:\WINDOWS\System32\comdeset.dll
0
Réponse 3 / 52
Rumbacampus Messages postés 1244 Statut Membre 184
 
Salut vous deux

Ta version hijackthis est ancienne. télécharges la dernière là :
http://www.florensac-chasse-trap.com
(comme dit Regis, merci Balltrapp)

@+
0
Réponse 4 / 52
Vazkor Messages postés 540 Statut Membre 42
 
Bonjour,

Sans vouloir faire de la retape, nous avons mis au point une procédure d'éradication de Smitfraud qui semble fonctionner.
http://assiste.forum.free.fr/viewtopic.php?t=7231

C'est CopyLeft, puisque trouvé ailleurs, traduit, puis adapté. Ne vous gênez donc pas pour la recopier.

Nous n'avons surtout pas envie de drainer tous les logs HJT du monde francophone...
0
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut vz
j avais vu votre procedures pour smitfraud
le fix mis au point par S!Ri/moe/et ma partitipation
fonctionne tres tres bien aussi
il suffit de finir avec hj mais une grande partie est faite--
la chasse et le balltrap ma vrai passion
voir site perso dans profil
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 52
Steve65 Messages postés 29 Statut Membre
 
Bonjour

le lien Hijack sur cette page semble inopérant...
0
Réponse 6 / 52
Steve65 Messages postés 29 Statut Membre
 
Ben finalement si, il était juste très lent!
0
Réponse 7 / 52
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut

imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
0
Réponse 8 / 52
Steve65 Messages postés 29 Statut Membre
 
me revla!

j'ai passé la procédure, avec quelques problemes:
dans l'étape "regsvr.exe..." rien n'a marché: "module spécifié introuvable", et "point d'entrée introuvable"

tous les "confng32.exe" sont en accès refusé, je n'ai pas pu les supprimer

spybot ne veut pas démarrer, ni adware

hijack actuel:
Logfile of HijackThis v1.99.1
Scan saved at 02:06:53, on 21/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\LxrJD30s.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wwww.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
F2 - REG:system.ini: Shell=explorer.exe,confng32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\confng32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://mediaplan.ovh.net
O15 - Trusted Zone: http://www.rivalis.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: Client WebControl - {BEE5DECB-6A03-4494-A90D-81921E29B6CB} - C:\WINDOWS\System32\comdeset.dll (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Lexar JD30 (LxrJD30s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD30s.exe

y'a dl'espoir, docteur??
0
Réponse 9 / 52
Steve65 Messages postés 29 Statut Membre
 
J'ai réessayé de désinstalle spybot, et le réinstaller: je le télécharge, à la fin je clic "ouvrir", il ne se passe rien.
0
Réponse 10 / 52
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
re tu as bien tenter la suppr de se que je t est dit en mode sans echec

et je ne t est pas demander de suppr c'eci 
dans l'étape "regsvr.exe..."


0
Réponse 11 / 52
Steve65 Messages postés 29 Statut Membre
 
Bonjour Balltrap34,

oui, j'étais bien en mode sans echec.

pour ta deuxième question, je ne suis pas sur de comprendre: j'ai fait ce que tu préconisais:
Démarrer--->Exécuter--->taper
regsvr32.exe -u C:\WINDOWS\SYSTEM\Loader.dll
puis cliquer sur OK
fait de meme avec
C:\WINDOWS\System32\kdbi.dll
C:\WINDOWS\System32\comdeset.dll

et ça m'a répondu
module spécifié introuvable", et "point d'entrée introuvable"

actuellement, ma bécane semble fonctionner à peu près , mais je ne peux pas remettre spybot (qui tournait en résident avant mon pb), ni pccillin (idem) donc, je n'ai plus de pare-feu?. C'est ewido qui tourne.

d'autre part, comme je n'ai pas réussi toute ta procédure, y-a-t-il des risques? (cf mon hijack log ci-dessus)

merci de ton aide (quelle énergie!!!)
0
Réponse 12 / 52
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
il faut empecher que ceci se relance confng32.exe
télécharge ceci Registry Search Tool
http://www.billsway.com/vbspage/
decompresse le et tape
confng32.exe
et copie colle le resultat dans le bloc note et donne le nous
0
Réponse 13 / 52
Steve65 Messages postés 29 Statut Membre
 
Rebonjour,

regsrch.vbs donne: "no instances found of "confng32.exe" found
0
Réponse 14 / 52
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
relance hijack coche ceci et fix
O21 - SSODL: Client WebControl - {BEE5DECB-6A03-4494-A90D-81921E29B6CB} - C:\WINDOWS\System32\comdeset.dll (file missing)

redemar(re et refait un hijack pour voir si il y est encore
0
Réponse 15 / 52
Steve65 Messages postés 29 Statut Membre
 
Je ne sais pas si c'est utile, mais je remarque:

Mon gestionnaire de taches est bizzare, aussi: sur quelques lignes, dans la zone "nom de l'image", y'a rien, ou bien un signe bizarre genre "=" ou un carré...
0
Réponse 16 / 52
Steve65 Messages postés 29 Statut Membre
 
ton post N°15: en mode normal ou sans echec?
0
Réponse 17 / 52
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
normal
0
Réponse 18 / 52
Steve65 Messages postés 29 Statut Membre
 
Bon, j'ai essayé en mode normal, une ligne 021 est revenue
seul le {BEE5DECB-6A03-4494-A90D-81921E29B6CB} diffère, le reste estr identique
0
Réponse 19 / 52
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
redonne un hijack stp
0
Réponse 20 / 52
Steve65 Messages postés 29 Statut Membre
 
voila le log:

Logfile of HijackThis v1.99.1
Scan saved at 18:28:32, on 21/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\LxrJD30s.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
F2 - REG:system.ini: Shell=explorer.exe,confng32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\confng32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://mediaplan.ovh.net
O15 - Trusted Zone: http://www.rivalis.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: Client WebControl - {8E314731-8311-475B-A102-C4D43B161E91} - C:\WINDOWS\System32\comdeset.dll (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Lexar JD30 (LxrJD30s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD30s.exe
0

Discussions similaires

Probleme de connexion à l'extérieur
macewindu -
macewindu -

7 réponses
Son sors du téléphone alors que mes écouteurs bluetooth son connecté
Taxi -
TaxiBinz -

1 réponse