PSGuard je n'en sors pas !

Résolu
Steve65 Messages postés 29 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,

malgré 5 heures de bidouillages d'après des infos glanées sur internet, (antivirus ewido, hijackthis, suppression dans le registre...), je suis toujours pollué par ce psguard.

HELP!!!!!!!!

à tout hasard, ci-joint le rapport Hijackthis

Merci aux compétents qui m'aideront!

Logfile of HijackThis v1.98.0
Scan saved at 00:37:10, on 21/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\LxrJD30s.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\mctt\oeur.exe
C:\WINDOWS\System32\t?skmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBCPSWX.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBCJSWX.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe,confng32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\confng32.exe,C:\Documents and Settings\Papa\Application Data\Explorer\confng32.exe,C:\Documents and Settings\Maman\Application Data\Explorer\confng32.exe,C:\Documents and Settings\Administrateur\Application Data\Explorer\confng32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O2 - BHO: (no name) - {3C513DC2-DB24-4D79-96DA-2D32C5ACC07F} - C:\WINDOWS\System32\kdbi.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [yfutjgu] c:\windows\bqjliug.exe
O4 - HKCU\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
O4 - HKCU\..\Run: [Brab] C:\Program Files\mctt\oeur.exe
O4 - HKCU\..\Run: [Faetbpel] C:\WINDOWS\System32\t?skmgr.exe
O4 - HKCU\..\Run: [skikbce] c:\windows\qxtpydp.exe
O4 - HKCU\..\Run: [ubcvgow] c:\windows\mbathbe.exe
O4 - HKCU\..\Run: [hxbymvg] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [uhhuqrx] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [plxfqyh] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [yvidifr] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [gbskurd] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [jeacoeu] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [hmtmbac] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [bcsxphn] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [kobbmmm] c:\windows\jekipnv.exe
O4 - HKCU\..\Run: [cqmlyhg] c:\windows\wmnmntm.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Startup: winupdate79044757[1].exe
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://mediaplan.ovh.net
O15 - Trusted Zone: http://www.rivalis.fr
O16 - DPF: {0CF960BE-A9CD-387F-62E6-14E409826713} - http://69.50.182.94/1/gdnFR1882.exe
O16 - DPF: {0F9BE074-DF9E-4EB2-7FD8-5D2467C25634} - http://69.50.182.94/1/gdnFR1882.exe
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O18 - Filter: text/html - {02D40665-EBC3-4D48-BD95-DA4D3840D8E7} - C:\WINDOWS\System32\kdbi.dll
O18 - Filter: text/plain - {02D40665-EBC3-4D48-BD95-DA4D3840D8E7} - C:\WINDOWS\System32\kdbi.dll
O21 - SSODL: Client WebControl - {48810C64-A063-4C8A-A19C-F6AA40C901AD} - C:\WINDOWS\System32\comdeset.dll
Configuration: Windows XP sp1

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème central : un PC sous Windows XP est pollué par psguard malgré plusieurs heures de recherche et l’analyse HijackThis révèle de nombreuses entrées malveillantes et des programmes au démarrage.
Des solutions proposées reposent sur des outils anti-malware et des procédures manuelles, notamment Spybot S&D, Ad-Aware SE et Clean Up 40, puis démarrage en mode sans échec et vérification des fichiers cachés.
Les réponses recommandent aussi d’éteindre la restauration système, d’analyser et supprimer les entrées de démarrage malignes (confng32.exe, intell32.exe) et les clés de registre correspondantes, puis de relancer des analyses et HijackThis.
En dernier recours, SmitFraudFix peut être utilisé et HijackThis doit être mis à jour pour éviter les fausses détections et repérer les éléments restants non visibles.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    a mon avis tu na pas que cela

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    tu le decompresse tu double clik dessus et tu choisi l option 1
    cela vas generer un rapport donne nous le

    relance le et choisi cette fois l option 2 et repond oui a tous
    redemarre et donne le nouveau rapport

    completer a la fin par hijack
    0
  2. Steve65 Messages postés 29 Statut Membre
     
    j'ai fait les 3 opérations, ci-joint rapports, mais j'ai toujours plein d'alertes par ewido, et l'icone point d'exclamation dans un rond rouge dans la barre de taches!

    1er rapport

    SmitFraudFix v0.8

    Rapport fait à 0:49:45,43 le 21/07/2005
    Executé à partir de C:\Documents and Settings\Papa
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    C:\WINDOWS\uninstIU.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Papa\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    2eme rapport

    SmitFraudFix v0.8

    Rapport fait à 0:50:58,70 le 21/07/2005
    Executé à partir de C:\Documents and Settings\Papa
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\uninstIU.exe supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    après redémarrage

    SmitFraudFix v0.8

    Rapport fait à 0:56:24,23 le 21/07/2005
    Executé à partir de C:\Documents and Settings\Papa
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Papa\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Logfile of HijackThis v1.98.0
    Scan saved at 00:57:47, on 21/07/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\Program Files\ewido\security suite\ewidoguard.exe
    C:\WINDOWS\system32\LxrJD30s.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\Dell\Media Experience\PCMService.exe
    C:\WINDOWS\System32\DSentry.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\WINDOWS\System32\intell32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\windows\bqjliug.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\mctt\oeur.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\t?skmgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Papa\Menu Démarrer\Programmes\Démarrage\winupdate79044757[1].exe
    C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
    C:\DOCUME~1\Papa\LOCALS~1\Temp\tmp1E.tmp
    C:\WINDOWS\System32\mxipfaaa.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe,confng32.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\confng32.exe,C:\Documents and Settings\Papa\Application Data\Explorer\confng32.exe,C:\Documents and Settings\Maman\Application Data\Explorer\confng32.exe,C:\Documents and Settings\Administrateur\Application Data\Explorer\confng32.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll
    O2 - BHO: (no name) - {3C513DC2-DB24-4D79-96DA-2D32C5ACC07F} - C:\WINDOWS\System32\kdbi.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
    O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
    O4 - HKLM\..\Run: [combop.exe] combop.exe
    O4 - HKLM\..\Run: [combo.exe] combo.exe
    O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [yfutjgu] c:\windows\bqjliug.exe
    O4 - HKCU\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
    O4 - HKCU\..\Run: [Brab] C:\Program Files\mctt\oeur.exe
    O4 - HKCU\..\Run: [Faetbpel] C:\WINDOWS\System32\t?skmgr.exe
    O4 - HKCU\..\Run: [skikbce] c:\windows\qxtpydp.exe
    O4 - HKCU\..\Run: [ubcvgow] c:\windows\mbathbe.exe
    O4 - HKCU\..\Run: [hxbymvg] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [uhhuqrx] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [plxfqyh] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [yvidifr] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [gbskurd] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [jeacoeu] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [hmtmbac] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [bcsxphn] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [kobbmmm] c:\windows\jekipnv.exe
    O4 - HKCU\..\Run: [cqmlyhg] c:\windows\wmnmntm.exe
    O4 - HKCU\..\Run: [iskfbdg] c:\windows\bxvpxwx.exe
    O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
    O4 - Startup: winupdate79044757[1].exe
    O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
    O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
    O15 - Trusted Zone: http://mediaplan.ovh.net
    O15 - Trusted Zone: http://www.rivalis.fr
    O16 - DPF: {0CF960BE-A9CD-387F-62E6-14E409826713} - http://69.50.182.94/1/gdnFR1882.exe
    O16 - DPF: {0F9BE074-DF9E-4EB2-7FD8-5D2467C25634} - http://69.50.182.94/1/gdnFR1882.exe
    O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
    O16 - DPF: {7D70E1A8-8BFD-43B2-A65E-21C140D54BB0} - http://69.50.182.94/1/gdnFR1882.exe
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
    O18 - Filter: text/html - {02D40665-EBC3-4D48-BD95-DA4D3840D8E7} - C:\WINDOWS\System32\kdbi.dll
    O18 - Filter: text/plain - {02D40665-EBC3-4D48-BD95-DA4D3840D8E7} - C:\WINDOWS\System32\kdbi.dll
    O21 - SSODL: Client WebControl - {48810C64-A063-4C8A-A19C-F6AA40C901AD} - C:\WINDOWS\System32\comdeset.dll
    0
  3. Vazkor Messages postés 540 Statut Membre 42
     
    Bonjour,

    Sans vouloir faire de la retape, nous avons mis au point une procédure d'éradication de Smitfraud qui semble fonctionner.
    http://assiste.forum.free.fr/viewtopic.php?t=7231

    C'est CopyLeft, puisque trouvé ailleurs, traduit, puis adapté. Ne vous gênez donc pas pour la recopier.

    Nous n'avons surtout pas envie de drainer tous les logs HJT du monde francophone...
    0
    1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
       
      salut vz
      j avais vu votre procedures pour smitfraud
      le fix mis au point par S!Ri/moe/et ma partitipation
      fonctionne tres tres bien aussi
      il suffit de finir avec hj mais une grande partie est faite--
      la chasse et le balltrap ma vrai passion
      voir site perso dans profil
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Steve65 Messages postés 29 Statut Membre
     
    Bonjour

    le lien Hijack sur cette page semble inopérant...
    0
  6. Steve65 Messages postés 29 Statut Membre
     
    Ben finalement si, il était juste très lent!
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut

    imprime ceci pour ne rien oublier et tous faire
    tous faire dans l ordre imperativement
    -------------------------
    tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

    ad-aware (1)version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip
    0
  8. Steve65 Messages postés 29 Statut Membre
     
    me revla!

    j'ai passé la procédure, avec quelques problemes:
    dans l'étape "regsvr.exe..." rien n'a marché: "module spécifié introuvable", et "point d'entrée introuvable"

    tous les "confng32.exe" sont en accès refusé, je n'ai pas pu les supprimer

    spybot ne veut pas démarrer, ni adware

    hijack actuel:
    Logfile of HijackThis v1.99.1
    Scan saved at 02:06:53, on 21/07/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\Program Files\ewido\security suite\ewidoguard.exe
    C:\WINDOWS\system32\LxrJD30s.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\Dell\Media Experience\PCMService.exe
    C:\WINDOWS\System32\DSentry.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
    C:\Program Files\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wwww.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    F2 - REG:system.ini: Shell=explorer.exe,confng32.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\confng32.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
    O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
    O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
    O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
    O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
    O15 - Trusted Zone: http://mediaplan.ovh.net
    O15 - Trusted Zone: http://www.rivalis.fr
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O21 - SSODL: Client WebControl - {BEE5DECB-6A03-4494-A90D-81921E29B6CB} - C:\WINDOWS\System32\comdeset.dll (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Lexar JD30 (LxrJD30s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD30s.exe

    y'a dl'espoir, docteur??
    0
  9. Steve65 Messages postés 29 Statut Membre
     
    J'ai réessayé de désinstalle spybot, et le réinstaller: je le télécharge, à la fin je clic "ouvrir", il ne se passe rien.
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re tu as bien tenter la suppr de se que je t est dit en mode sans echec

    et je ne t est pas demander de suppr c'eci
    dans l'étape "regsvr.exe..." 


    0
  11. Steve65 Messages postés 29 Statut Membre
     
    Bonjour Balltrap34,

    oui, j'étais bien en mode sans echec.

    pour ta deuxième question, je ne suis pas sur de comprendre: j'ai fait ce que tu préconisais:
    Démarrer--->Exécuter--->taper
    regsvr32.exe -u C:\WINDOWS\SYSTEM\Loader.dll
    puis cliquer sur OK
    fait de meme avec
    C:\WINDOWS\System32\kdbi.dll
    C:\WINDOWS\System32\comdeset.dll

    et ça m'a répondu
    module spécifié introuvable", et "point d'entrée introuvable"

    actuellement, ma bécane semble fonctionner à peu près , mais je ne peux pas remettre spybot (qui tournait en résident avant mon pb), ni pccillin (idem) donc, je n'ai plus de pare-feu?. C'est ewido qui tourne.

    d'autre part, comme je n'ai pas réussi toute ta procédure, y-a-t-il des risques? (cf mon hijack log ci-dessus)

    merci de ton aide (quelle énergie!!!)
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    il faut empecher que ceci se relance confng32.exe
    télécharge ceci Registry Search Tool
    http://www.billsway.com/vbspage/
    decompresse le et tape
    confng32.exe
    et copie colle le resultat dans le bloc note et donne le nous
    0
  13. Steve65 Messages postés 29 Statut Membre
     
    Rebonjour,

    regsrch.vbs donne: "no instances found of "confng32.exe" found
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    relance hijack coche ceci et fix
    O21 - SSODL: Client WebControl - {BEE5DECB-6A03-4494-A90D-81921E29B6CB} - C:\WINDOWS\System32\comdeset.dll (file missing)

    redemar(re et refait un hijack pour voir si il y est encore
    0
  15. Steve65 Messages postés 29 Statut Membre
     
    Je ne sais pas si c'est utile, mais je remarque:

    Mon gestionnaire de taches est bizzare, aussi: sur quelques lignes, dans la zone "nom de l'image", y'a rien, ou bien un signe bizarre genre "=" ou un carré...
    0
  16. Steve65 Messages postés 29 Statut Membre
     
    ton post N°15: en mode normal ou sans echec?
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    normal
    0
  18. Steve65 Messages postés 29 Statut Membre
     
    Bon, j'ai essayé en mode normal, une ligne 021 est revenue
    seul le {BEE5DECB-6A03-4494-A90D-81921E29B6CB} diffère, le reste estr identique
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    redonne un hijack stp
    0
  20. Steve65 Messages postés 29 Statut Membre
     
    voila le log:

    Logfile of HijackThis v1.99.1
    Scan saved at 18:28:32, on 21/07/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\Program Files\ewido\security suite\ewidoguard.exe
    C:\WINDOWS\system32\LxrJD30s.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\Dell\Media Experience\PCMService.exe
    C:\WINDOWS\System32\DSentry.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    F2 - REG:system.ini: Shell=explorer.exe,confng32.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\confng32.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
    O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Client Connection] C:\WINDOWS\System32\confng32.exe
    O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
    O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
    O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .tiff: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
    O15 - Trusted Zone: http://mediaplan.ovh.net
    O15 - Trusted Zone: http://www.rivalis.fr
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O21 - SSODL: Client WebControl - {8E314731-8311-475B-A102-C4D43B161E91} - C:\WINDOWS\System32\comdeset.dll (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Lexar JD30 (LxrJD30s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD30s.exe
    0
  • 1
  • 2
  • 3