Smitfraud ? - impossible changer fond d'écran

pej -  
S!Ri Messages postés 932 Statut Contributeur sécurité -
Bonjour, j'ai chopé un trojan hier. Je suis sous Win XP et je me suis retrouvé avec comme fond d'écran (impossible de le changer, l'onglet dans Propriétés n'existe même plus...) :

WARNING
Your computer might be infected with spyware or adware!
[...]
CLICK HERE --> lien renvoyant sur http://psguard.com

J'ai fais qqs recherches et il semble que le trojan en question est smitfraud ?

J'ai essayé de passer le logiciel de nettoyage Cclean, de supprimer tous les fichiers des répertoires habituellement conseillés (windows\temp, windows\prefetch, etc), mais ça n'a rien changé.

J'ai fait un high jack this, voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 19:58:34, on 21/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Pej-Docs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120913599778
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Je remercie d'avance les personnes qui pourraient m'aider pour me débarrasser de ce problème.

18 réponses

  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    telecharge ceci
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    tu le decompresse tu double clik dessus et tu choisi l option 1
    cela vas generer un rapport donne nous le

    demarre en mode sans echec et
    relance le et choisi cette fois l option 2 et repond oui a tous
    redemarre et donne le nouveau rapport
    redemarre et refait un hijack

    completer a la fin par hijack
    0
  2. pej
     
    Merci.

    Voici le rapport de l'option 1 :

    SmitFraudFix v1.0

    Rapport fait à 20:31:05,07 le 21/07/2005
    Executé à partir de C:\Pej-Docs
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    C:\WINDOWS\uninstIU.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Jean-Philippe\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    fait le 2 en sans echec
    0
  4. pej
     
    ça y est c'est fait, je l'ai fait en mode sans échec session administrateur, mais en mode normal je ne trouve plus le rapport.

    dans le rapport je me souviens que ça marquait que
    C:\WINDOWS\uninstIU.exe a bien été supprimé.

    Qd j'ai redémarré c'était toujours sur l'ancien fond d'écran.
    J'ai pu changer le fond d'écran et ça a l'air de rester comme ça.

    Par contre, j'ai toujours l'icône "point d'exclamation roug" dans la barre des tâches en bas à droite, qui dit "your computer is infected" et qui qd on clic dessus renvoie sur le site PSGuard.

    Voici le hi jack this maintenant :

    Logfile of HijackThis v1.99.1
    Scan saved at 20:44:45, on 21/07/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Avast4\aswUpdSv.exe
    C:\Program Files\Avast4\ashServ.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\Program Files\Avast4\ashWebSv.exe
    C:\Program Files\Avast4\ashMaiSv.exe
    C:\WINDOWS\System32\intell32.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Crazy Browser\Crazy Browser.exe
    C:\Pej-Docs\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120913599778
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pej
     
    c'est bon je pense avoir trouvé en regardant dans msconfig quelle était la tâche qui se lançait, il s'agissait de Intell32.exe contenu dans le répertoire C:/Windows/System32, je l'ai supprimé en mode sans échec et là ça a l'air de ne pas réapparaître.

    Est ce que vous croyez que c'est bon ou y a t'il d'autres précautions à prendre ?

    En tout cas, merci bcp pour l'aide.
    0
  7. Utilisateur anonyme
     
    salut

    lance hijackthis, coche et fixe :
    O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe

    et ca devrait etre bon

    a+
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut moe je c est pas si c est a toi ou a sr que j avais mis une liste certainement arajouter a u fix
    intell32.exe dedans
    0
  9. Utilisateur anonyme
     
    c'est fais, je lui ai envoyé un mail pour intell32
    il dois ou à déjà rajouter
    C:\Windows\System32\gunist.exe
    C:\Windows\system32\param32.dll
    C:\Windows\system32\pop_up.dll
    C:\Windows\System32\searchdll.dll
    C:\Windows\System32\svchosts.dll

    edit
    dejà fais pour les 5 derniers
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tu a jeter un oeil sur la liste
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    c est pas a toi ou je l avais mis sur un post
    j en est trouver une flopper pas forcement tous en rela tion avec mais il me parle sur plusieur post smitfraud
    dont bien sur intel32.dll

    je te la donne
    C:\WINDOWS\System32\confng32.exe
    C:\Documents and Settings\Papa\Application Data\Explorer\confng32.exe
    C:\Documents and Settings\Maman\Application Data\Explorer\confng32.exe
    C:\Documents and Settings\Administrateur\Application Data\Explorer\confng32.exe
    C:\WINDOWS\SYSTEM\Loader.dll
    C:\WINDOWS\System32\confng32.exe
    combop.exe
    combo.exe
    C:\WINDOWS\System32\intell32.exe
    C:\Program Files\SpyKiller<==le dossier
    c:\windows\bqjliug.exe
    C:\Program Files\mctt\oeur.exe
    C:\WINDOWS\System32\t?skmgr.exe
    c:\windows\qxtpydp.exe
    c:\windows\mbathbe.exe
    c:\windows\jekipnv.exe
    C:\WINDOWS\System32\kdbi.dll
    c:\windows\wmnmntm.exe
    c:\windows\bxvpxwx.exe
    C:\Documents and Settings\Papa\Menu Démarrer\Programmes\Démarrage\winupdate79044757[1].exe
    C:\WINDOWS\System32\comdeset.dll

    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    avec celle la j est eu du mal
    je t est parler de smitfraud car tu disait que tu as envoyer mail pour intel
    0
  13. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Salut,

    Je suis en train de mettre a jour le fix.
    Ces fichiers seront dans la v1.1

    C:\WINDOWS\system\svchost.exe
    C:\WINDOWS\System32\intell32.exe
    C:\WINDOWS\System32\kernels32.exe
    C:\WINDOWS\System32\vxgame?.exe
    C:\WINDOWS\System32\vxgamet?.exe
    C:\Program Files\SpyKiller\ <-- Dossier
    http://www.spywarewarrior.com/rogue_anti-spyware.htm

    Pour les autres, il faudra y aller à la main. Ce sont des fichiers avec des noms aléatoires.

    On voit ici:
    http://research.sunbelt-software.com/threat_display.cfm?name=Trojan.vxgame&threatid=39597
    que les vxgame??.exe désactivent le firewall de windows
    tout comme C:\WINDOWS\system\svchost.exe
    O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

    Je n'ai pas intégré la réactivation du firewall dans le registre (certaines personnes utilisent un autre firewall que celui du SP2).
    Cette fausse version de svchost.exe semble aussi désactiver les notifications du SP2 Firewall/Antivirus. Je creuse cette piste avant d'integrer ou non dans le registre.

    Merci à vous 2
    a++
    0
  14. Utilisateur anonyme
     
    salut siri

    pour la v1.1 il manque intell32.exe dans la partie recherche.

    beau boulot

    a+
    0
  15. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    salut

    Merci beaucoup. Tu as l'oeil ;-)
    C'est corrigé et en ligne.

    Tu as remarqué ici :
    http://www.commentcamarche.net/forum/affich-1683783-Probl%E8me-de-virus-Antivirus-Gold#4
    L'infection Wininet.dll semble être différente.
    Le fix ne trouve pas la référence oleadm, mais Norton trouve quelque chose.
    J'ai déja vu ca dans un autre post avec un autre antivirus...

    a+
    0
    1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
       
      salut
      dommage tu lui as deja mis de refaire le fix
      ont aurait put lui faire passer wininet en scan en ligne
      ont verrat le resultat avec le fix
      0
      1. skaknot > balltrap34 Messages postés 16241 Statut Contributeur sécurité
         
        Salut...
        J'ai le meme porbleme mais on plus ça ma changé ma page d'accueil et ça m'a rajouté des favoris...

        Voilà un Hijackthis j'esper que tu poura m'aider:
        Logfile of HijackThis v1.99.1
        Scan saved at 13:24:49, on 22.07.2005
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
        C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
        C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
        C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
        C:\Program Files\QuickTime\qttask.exe
        C:\Program Files\iTunes\iTunesHelper.exe
        C:\PROGRA~1\Save\Save.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\Skype\Phone\Skype.exe
        C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
        C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
        C:\Program Files\Norton AntiVirus\navapsvc.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\iPod\bin\iPodService.exe
        C:\WINDOWS\System32\wuauclt.exe
        C:\Program Files\MSN Messenger\msnmsgr.exe
        C:\WINDOWS\sysww32.exe
        C:\WINDOWS\sysmv32.exe
        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tr15.exe
        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tr16.exe
        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd.exe
        C:\WINDOWS\System32\intell32.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\Documents and Settings\Administrateur\Mes documents\Simon\Anti-Virus\hijackthis_199\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
        R3 - Default URLSearchHook is missing
        O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: Class - {BC18BA43-C47A-6611-F21E-B318D4B30ACB} - C:\WINDOWS\crru32.dll
        O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
        O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\timon3.dll
        O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
        O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\timon3.dll
        O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
        O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
        O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
        O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
        O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
        O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
        O4 - HKLM\..\Run: [sysmv32.exe] C:\WINDOWS\sysmv32.exe
        O4 - HKLM\..\Run: [combo.exe] combo.exe
        O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
        O4 - HKLM\..\RunOnce: [sysww32.exe] C:\WINDOWS\sysww32.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
        O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1041.dll,InstantAccess
        O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
        O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
        O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
        O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
        O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
        O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
        O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab
        O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_FR_XP.cab
        O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
        O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
        O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\javaeh.exe (file missing)
        O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
        O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
        O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
        O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
        O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
        O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
        O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
        O23 - Service: Infrastructure de pilote-mode utilisateur Windows (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)


        merci d'avance...
        0
    2. S!Ri Messages postés 932 Statut Contributeur sécurité 10
       
      Salut,

      Oui, j'y ai pensé trop tard.
      Je voulais lui demander de m'envoyer le fichier par email pour verifier la presence d'un autre nom de dll dans le code de wininet.dll.

      On verra par la suite.
      a+
      0
  16. Utilisateur anonyme
     
    salut siri

    oui j'ai vu pour wininet, faudrait voir si norton était à jour, car il me semble que les alertes bloodhound correspondent à l'analyse heuristique de norton.
    Peut etre qu'une maj de norton règlerait le probleme.
    à vérifier quand meme.

    a+
    0
  17. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    re'

    Il est vrais que les alertes bloodhound correspondent à une possible infection. Mais un autre antivirus (je ne retrouve plus le post) signalait aussi un problème.
    Peut être une tentative de modification...

    a+
    0