Sujet Précédent Sujet Suivant

Smitfraud ? - impossible changer fond d'écran

pej -  
S!Ri Messages postés 932 Statut Contributeur sécurité -
Bonjour, j'ai chopé un trojan hier. Je suis sous Win XP et je me suis retrouvé avec comme fond d'écran (impossible de le changer, l'onglet dans Propriétés n'existe même plus...) :

WARNING
Your computer might be infected with spyware or adware!
[...]
CLICK HERE --> lien renvoyant sur http://psguard.com

J'ai fais qqs recherches et il semble que le trojan en question est smitfraud ?

J'ai essayé de passer le logiciel de nettoyage Cclean, de supprimer tous les fichiers des répertoires habituellement conseillés (windows\temp, windows\prefetch, etc), mais ça n'a rien changé.

J'ai fait un high jack this, voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 19:58:34, on 21/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Pej-Docs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120913599778
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Je remercie d'avance les personnes qui pourraient m'aider pour me débarrasser de ce problème.
A voir également:

18 réponses

Réponse 1 / 18
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
telecharge ceci
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le

demarre en mode sans echec et
relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport
redemarre et refait un hijack

completer a la fin par hijack
0
Réponse 2 / 18
pej
 
Merci.

Voici le rapport de l'option 1 :

SmitFraudFix v1.0

Rapport fait à 20:31:05,07 le 21/07/2005
Executé à partir de C:\Pej-Docs
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Jean-Philippe\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
0
Réponse 3 / 18
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
fait le 2 en sans echec
0
Réponse 4 / 18
pej
 
ça y est c'est fait, je l'ai fait en mode sans échec session administrateur, mais en mode normal je ne trouve plus le rapport.

dans le rapport je me souviens que ça marquait que
C:\WINDOWS\uninstIU.exe a bien été supprimé.

Qd j'ai redémarré c'était toujours sur l'ancien fond d'écran.
J'ai pu changer le fond d'écran et ça a l'air de rester comme ça.

Par contre, j'ai toujours l'icône "point d'exclamation roug" dans la barre des tâches en bas à droite, qui dit "your computer is infected" et qui qd on clic dessus renvoie sur le site PSGuard.

Voici le hi jack this maintenant :

Logfile of HijackThis v1.99.1
Scan saved at 20:44:45, on 21/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Pej-Docs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120913599778
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
pej
 
c'est bon je pense avoir trouvé en regardant dans msconfig quelle était la tâche qui se lançait, il s'agissait de Intell32.exe contenu dans le répertoire C:/Windows/System32, je l'ai supprimé en mode sans échec et là ça a l'air de ne pas réapparaître.

Est ce que vous croyez que c'est bon ou y a t'il d'autres précautions à prendre ?

En tout cas, merci bcp pour l'aide.
0
Réponse 6 / 18
Utilisateur anonyme
 
salut

lance hijackthis, coche et fixe :
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe

et ca devrait etre bon

a+
0
Réponse 7 / 18
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut moe je c est pas si c est a toi ou a sr que j avais mis une liste certainement arajouter a u fix
intell32.exe dedans
0
Réponse 8 / 18
Utilisateur anonyme
 
c'est fais, je lui ai envoyé un mail pour intell32
il dois ou à déjà rajouter
C:\Windows\System32\gunist.exe
C:\Windows\system32\param32.dll
C:\Windows\system32\pop_up.dll
C:\Windows\System32\searchdll.dll
C:\Windows\System32\svchosts.dll

edit
dejà fais pour les 5 derniers
0
Réponse 9 / 18
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
tu a jeter un oeil sur la liste
0
Réponse 10 / 18
Utilisateur anonyme
 
laquelle ?
tu as le lien ?
0
Réponse 11 / 18
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
c est pas a toi ou je l avais mis sur un post
j en est trouver une flopper pas forcement tous en rela tion avec mais il me parle sur plusieur post smitfraud
dont bien sur intel32.dll

je te la donne
C:\WINDOWS\System32\confng32.exe
C:\Documents and Settings\Papa\Application Data\Explorer\confng32.exe
C:\Documents and Settings\Maman\Application Data\Explorer\confng32.exe
C:\Documents and Settings\Administrateur\Application Data\Explorer\confng32.exe
C:\WINDOWS\SYSTEM\Loader.dll
C:\WINDOWS\System32\confng32.exe
combop.exe
combo.exe
C:\WINDOWS\System32\intell32.exe
C:\Program Files\SpyKiller<==le dossier
c:\windows\bqjliug.exe
C:\Program Files\mctt\oeur.exe
C:\WINDOWS\System32\t?skmgr.exe
c:\windows\qxtpydp.exe
c:\windows\mbathbe.exe
c:\windows\jekipnv.exe
C:\WINDOWS\System32\kdbi.dll
c:\windows\wmnmntm.exe
c:\windows\bxvpxwx.exe
C:\Documents and Settings\Papa\Menu Démarrer\Programmes\Démarrage\winupdate79044757[1].exe
C:\WINDOWS\System32\comdeset.dll

0
Réponse 12 / 18
Utilisateur anonyme
 
ok

ca ressemble à cette variante:
http://www.webhelper4u.com/CWS/Research/screenimages/searchterrordesktop.html
la plus pourrie de toute.

Rien à voir avec smitfraud, mais il y a un trojan qui utilise le meme principe, mais au lieu d'infecté wininet il infecte carrement explorer.exe en utilisant la meme methode, signé cws.
http://www.webhelper4u.com/CWS/softexeadmin2cash.html
pas vu encore mais ca devrait arriver....
0
Réponse 13 / 18
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
avec celle la j est eu du mal
je t est parler de smitfraud car tu disait que tu as envoyer mail pour intel
0
Réponse 14 / 18
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut,

Je suis en train de mettre a jour le fix.
Ces fichiers seront dans la v1.1

C:\WINDOWS\system\svchost.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\vxgame?.exe
C:\WINDOWS\System32\vxgamet?.exe
C:\Program Files\SpyKiller\ <-- Dossier
http://www.spywarewarrior.com/rogue_anti-spyware.htm

Pour les autres, il faudra y aller à la main. Ce sont des fichiers avec des noms aléatoires.

On voit ici:
http://research.sunbelt-software.com/threat_display.cfm?name=Trojan.vxgame&threatid=39597
que les vxgame??.exe désactivent le firewall de windows
tout comme C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

Je n'ai pas intégré la réactivation du firewall dans le registre (certaines personnes utilisent un autre firewall que celui du SP2).
Cette fausse version de svchost.exe semble aussi désactiver les notifications du SP2 Firewall/Antivirus. Je creuse cette piste avant d'integrer ou non dans le registre.

Merci à vous 2
a++
0
Réponse 15 / 18
Utilisateur anonyme
 
salut siri

pour la v1.1 il manque intell32.exe dans la partie recherche.

beau boulot

a+
0
Réponse 16 / 18
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
salut

Merci beaucoup. Tu as l'oeil ;-)
C'est corrigé et en ligne.

Tu as remarqué ici :
http://www.commentcamarche.net/forum/affich-1683783-Probl%E8me-de-virus-Antivirus-Gold#4
L'infection Wininet.dll semble être différente.
Le fix ne trouve pas la référence oleadm, mais Norton trouve quelque chose.
J'ai déja vu ca dans un autre post avec un autre antivirus...

a+
0
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
dommage tu lui as deja mis de refaire le fix
ont aurait put lui faire passer wininet en scan en ligne
ont verrat le resultat avec le fix
0
skaknot > balltrap34 Messages postés 16241 Statut Contributeur sécurité
 
Salut...
J'ai le meme porbleme mais on plus ça ma changé ma page d'accueil et ça m'a rajouté des favoris...

Voilà un Hijackthis j'esper que tu poura m'aider:
Logfile of HijackThis v1.99.1
Scan saved at 13:24:49, on 22.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\Save\Save.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\sysww32.exe
C:\WINDOWS\sysmv32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tr15.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tr16.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dd.exe
C:\WINDOWS\System32\intell32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Mes documents\Simon\Anti-Virus\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hbbzb.dll/sp.html#55135
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {BC18BA43-C47A-6611-F21E-B318D4B30ACB} - C:\WINDOWS\crru32.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\timon3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\timon3.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [sysmv32.exe] C:\WINDOWS\sysmv32.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\RunOnce: [sysww32.exe] C:\WINDOWS\sysww32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1041.dll,InstantAccess
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab
O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_FR_XP.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\javaeh.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Infrastructure de pilote-mode utilisateur Windows (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)


merci d'avance...
0
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut,

Oui, j'y ai pensé trop tard.
Je voulais lui demander de m'envoyer le fichier par email pour verifier la presence d'un autre nom de dll dans le code de wininet.dll.

On verra par la suite.
a+
0
Réponse 17 / 18
Utilisateur anonyme
 
salut siri

oui j'ai vu pour wininet, faudrait voir si norton était à jour, car il me semble que les alertes bloodhound correspondent à l'analyse heuristique de norton.
Peut etre qu'une maj de norton règlerait le probleme.
à vérifier quand meme.

a+
0
Réponse 18 / 18
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
re'

Il est vrais que les alertes bloodhound correspondent à une possible infection. Mais un autre antivirus (je ne retrouve plus le post) signalait aussi un problème.
Peut être une tentative de modification...

a+
0

Discussions similaires

Impossible de changer mon fond d'écran Redmi Note 9
Slooping -
Do -

27 réponses
Fond d'écran carousel xiaomi
Thomasg -
Albator -

3 réponses
Enlever les fond d'ecran carousel auto du tel XIAMI 14
Joo2795 -
MPMP10 -

1 réponse