Que dois-je faire maintenant ??
Résolu/Fermé
sebab
Messages postés
75
Date d'inscription
mercredi 10 août 2005
Statut
Membre
Dernière intervention
9 février 2009
-
10 août 2005 à 19:46
sebab Messages postés 75 Date d'inscription mercredi 10 août 2005 Statut Membre Dernière intervention 9 février 2009 - 27 août 2005 à 16:43
sebab Messages postés 75 Date d'inscription mercredi 10 août 2005 Statut Membre Dernière intervention 9 février 2009 - 27 août 2005 à 16:43
9 réponses
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
10 août 2005 à 20:02
10 août 2005 à 20:02
re'
Reste sur le même message.
On ne va pas s'en sortir sinon.
Fixe les entrées suivante:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
O1 - Hosts: 216.40.230.4 desktop.kazaa.com
O20 - Winlogon Notify: style2 - C:\WINNT\q7954781_disk.dll
Télécharge:
http://siri.urz.free.fr/Fix/SmitFraud_CleanUp.reg
Double click dessus (fusionne avec le registre)
Télécharge:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
dezippe, double click, lance une recherche sur: style2
Supprime les fichiers en gras:
C:\WINNT\q7954781_disk.dll
C:\WINNT\system32\msmsgs.exe
Poste le rapport RegSrch ici.
a+
Reste sur le même message.
On ne va pas s'en sortir sinon.
Fixe les entrées suivante:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
O1 - Hosts: 216.40.230.4 desktop.kazaa.com
O20 - Winlogon Notify: style2 - C:\WINNT\q7954781_disk.dll
Télécharge:
http://siri.urz.free.fr/Fix/SmitFraud_CleanUp.reg
Double click dessus (fusionne avec le registre)
Télécharge:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
dezippe, double click, lance une recherche sur: style2
Supprime les fichiers en gras:
C:\WINNT\q7954781_disk.dll
C:\WINNT\system32\msmsgs.exe
Poste le rapport RegSrch ici.
a+
sebab
Messages postés
75
Date d'inscription
mercredi 10 août 2005
Statut
Membre
Dernière intervention
9 février 2009
10 août 2005 à 21:47
10 août 2005 à 21:47
voici le rapport de regsrch :
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "style2" 10/08/2005 21:46:42
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Autodesk\Drawing Check\Plugins2\AcStDStyle.AcStDimStyle2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Autodesk\Drawing Check\Plugins2\AcStTStyle.AcStTextStyle2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcStDStyle.AcStDimStyle2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcStDStyle.AcStDimStyle2\CLSID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcStTStyle.AcStTextStyle2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcStTStyle.AcStTextStyle2\CLSID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62FDCD91-87CF-11D6-A55B-0060B0875CB4}\ProgID]
@="AcStDStyle.AcStDimStyle2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB8CA339-87D3-11D6-A55B-0060B0875CB4}\ProgID]
@="AcStTStyle.AcStTextStyle2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3050F4A2-98B5-11CF-BB82-00AA00BDCE0B}]
@="IHTMLStyle2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3050F4AC-98B5-11CF-BB82-00AA00BDCE0B}]
@="IHTMLRuleStyle2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3050F658-98B5-11CF-BB82-00AA00BDCE0B}]
@="IHTMLCurrentStyle2"
pour les fichiers à supprimer :
q7954781_disk.dll : impossible de le supprimer, il doit être utilisé...
msmsgs.exe : je ne le trouve pas dans WINNT/system32/ mais dans Program files/MSM Messenger...dois-je le supprimer quand même ?
merci pour tes éclaircissements
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "style2" 10/08/2005 21:46:42
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Autodesk\Drawing Check\Plugins2\AcStDStyle.AcStDimStyle2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Autodesk\Drawing Check\Plugins2\AcStTStyle.AcStTextStyle2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcStDStyle.AcStDimStyle2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcStDStyle.AcStDimStyle2\CLSID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcStTStyle.AcStTextStyle2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AcStTStyle.AcStTextStyle2\CLSID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62FDCD91-87CF-11D6-A55B-0060B0875CB4}\ProgID]
@="AcStDStyle.AcStDimStyle2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB8CA339-87D3-11D6-A55B-0060B0875CB4}\ProgID]
@="AcStTStyle.AcStTextStyle2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3050F4A2-98B5-11CF-BB82-00AA00BDCE0B}]
@="IHTMLStyle2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3050F4AC-98B5-11CF-BB82-00AA00BDCE0B}]
@="IHTMLRuleStyle2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3050F658-98B5-11CF-BB82-00AA00BDCE0B}]
@="IHTMLCurrentStyle2"
pour les fichiers à supprimer :
q7954781_disk.dll : impossible de le supprimer, il doit être utilisé...
msmsgs.exe : je ne le trouve pas dans WINNT/system32/ mais dans Program files/MSM Messenger...dois-je le supprimer quand même ?
merci pour tes éclaircissements
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
10 août 2005 à 22:40
10 août 2005 à 22:40
re'
Affiche tous les fichiers et dossiers :
Clique sur démarrer, paramètres, panneau de configuration, option des dossiers, affichage:
Coche "Afficher les fichiers et dossiers cachés"
Décoche "Masquer les extensions dont le type est connu"
Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Clique sur [Ok]
Supprime :
q7954781_disk.dll en mode sans echec.
et msmsgs.exe. Le malware se trouve dans WINNT/system32/. l'autre est bon.
Reposte un rapport Hijack Pour voir si les entrées que je t'ai fait supprimer au post <1> sont parties.
a+
Affiche tous les fichiers et dossiers :
Clique sur démarrer, paramètres, panneau de configuration, option des dossiers, affichage:
Coche "Afficher les fichiers et dossiers cachés"
Décoche "Masquer les extensions dont le type est connu"
Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Clique sur [Ok]
Supprime :
q7954781_disk.dll en mode sans echec.
et msmsgs.exe. Le malware se trouve dans WINNT/system32/. l'autre est bon.
Reposte un rapport Hijack Pour voir si les entrées que je t'ai fait supprimer au post <1> sont parties.
a+
sebab
Messages postés
75
Date d'inscription
mercredi 10 août 2005
Statut
Membre
Dernière intervention
9 février 2009
11 août 2005 à 13:19
11 août 2005 à 13:19
rien à faire, je n'arrive pas à supprimer ces fichiers : même en mode sans échec le premier est "utilisé par windows" et je ne trouve pas l'autre dans WINNT, même en décochant toutes les cases d'affichage...
je laisse le hijack quand même, bien que c'est certainement le même...
Logfile of HijackThis v1.99.1
Scan saved at 13:19:25, on 11/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Convertisseur Euro\Euro.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGZ\antivirus\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Convertisseur Euro.lnk = C:\Program Files\Convertisseur Euro\Euro.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/058910ba81108b5bc415/netzip/RdxIE601_fr.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f004.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
j'ai toujours smitdfraud me dit spybot....
t'as une idée S!Ri ?
je laisse le hijack quand même, bien que c'est certainement le même...
Logfile of HijackThis v1.99.1
Scan saved at 13:19:25, on 11/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Convertisseur Euro\Euro.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGZ\antivirus\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Convertisseur Euro.lnk = C:\Program Files\Convertisseur Euro\Euro.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/058910ba81108b5bc415/netzip/RdxIE601_fr.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f004.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
j'ai toujours smitdfraud me dit spybot....
t'as une idée S!Ri ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
11 août 2005 à 14:30
11 août 2005 à 14:30
re
Quelles sont les alertes que te donne spybot sur smitfraud ?
Tu peux préciser ? S'il sagit de clés du genre:
HKEY_USERS\S-1-5-21...\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\...
Se sont de faux positifs.
Tu peux toujours les effacer avec:
http://www.mvps.org/winhelp2002/DelDomains.inf
Click droit dessus, installer.
Utilise de nouveau:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
mais fait une recherche avec q7954781_disk.dll ce coup ci.
a+
Quelles sont les alertes que te donne spybot sur smitfraud ?
Tu peux préciser ? S'il sagit de clés du genre:
HKEY_USERS\S-1-5-21...\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\...
Se sont de faux positifs.
Tu peux toujours les effacer avec:
http://www.mvps.org/winhelp2002/DelDomains.inf
Click droit dessus, installer.
Utilise de nouveau:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
mais fait une recherche avec q7954781_disk.dll ce coup ci.
a+
sebab
Messages postés
75
Date d'inscription
mercredi 10 août 2005
Statut
Membre
Dernière intervention
9 février 2009
11 août 2005 à 15:19
11 août 2005 à 15:19
re
bon, j'ai installer DelDomains.inf mais je sais pas trop comment l'utiliser...peux-tu me préciser un peu ?
pour les alertes de spybot, elles sont toutes-y'en a 7- du style :
HKEY_USERS\S-1-5-21...\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\...
j'ai fait la recherche avec regsrch, voici le rapport :
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "q7954781_disk.dll" 11/08/2005 15:20:19
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}]
@="C:\\WINNT\\q7954781_disk.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InprocServer32]
@="C:\\WINNT\\q7954781_disk.dll"
[HKEY_USERS\S-1-5-21-1292428093-1383384898-682003330-500\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="q7954781_disk.dll"
il y en a trois on dirait, comment je fais pour supprimer le(s) mauvais ?
merci
bon, j'ai installer DelDomains.inf mais je sais pas trop comment l'utiliser...peux-tu me préciser un peu ?
pour les alertes de spybot, elles sont toutes-y'en a 7- du style :
HKEY_USERS\S-1-5-21...\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\...
j'ai fait la recherche avec regsrch, voici le rapport :
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "q7954781_disk.dll" 11/08/2005 15:20:19
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}]
@="C:\\WINNT\\q7954781_disk.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InprocServer32]
@="C:\\WINNT\\q7954781_disk.dll"
[HKEY_USERS\S-1-5-21-1292428093-1383384898-682003330-500\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="q7954781_disk.dll"
il y en a trois on dirait, comment je fais pour supprimer le(s) mauvais ?
merci
sebab
Messages postés
75
Date d'inscription
mercredi 10 août 2005
Statut
Membre
Dernière intervention
9 février 2009
11 août 2005 à 15:33
11 août 2005 à 15:33
bon, je dois vous laisser, je pars en rando, je ferais tout ce que vous me dites à mon retour !
bon week end et merci encore !
bye
bon week end et merci encore !
bye
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
11 août 2005 à 16:03
11 août 2005 à 16:03
Ok, bonne rando,
a ton retour
copie ce qu'il y a entre les ----- dans le bloc-note:
-----
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InprocServer32]
------
Sauvegarde sur ton bureau avec le nom clean.reg
(type tous les fichiers au moment d'enregistrer sous...)
Double click sur le fichier clean.reg (fusionne)
redemarre,
efface q7954781_disk.dll
a+
a ton retour
copie ce qu'il y a entre les ----- dans le bloc-note:
-----
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InprocServer32]
------
Sauvegarde sur ton bureau avec le nom clean.reg
(type tous les fichiers au moment d'enregistrer sous...)
Double click sur le fichier clean.reg (fusionne)
redemarre,
efface q7954781_disk.dll
a+
sebab
Messages postés
75
Date d'inscription
mercredi 10 août 2005
Statut
Membre
Dernière intervention
9 février 2009
27 août 2005 à 16:43
27 août 2005 à 16:43
salut !
bon, j'ai mis un peu de temps avant de revenir, mais bonne nouvelle : plus aucune trace de virus ou trojan !!
donc mission accomplie !
Merci à toi S!Ri !
je poste quand même un dernier rapport hijack, histoire de vérifier que tout va bien !
Logfile of HijackThis v1.99.1
Scan saved at 16:39:51, on 27/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Convertisseur Euro\Euro.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Soulseek\slsk.exe
C:\PROGZ\antivirus\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Convertisseur Euro.lnk = C:\Program Files\Convertisseur Euro\Euro.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/058910ba81108b5bc415/netzip/RdxIE601_fr.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f004.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
bon, j'ai mis un peu de temps avant de revenir, mais bonne nouvelle : plus aucune trace de virus ou trojan !!
donc mission accomplie !
Merci à toi S!Ri !
je poste quand même un dernier rapport hijack, histoire de vérifier que tout va bien !
Logfile of HijackThis v1.99.1
Scan saved at 16:39:51, on 27/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Convertisseur Euro\Euro.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Soulseek\slsk.exe
C:\PROGZ\antivirus\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Convertisseur Euro.lnk = C:\Program Files\Convertisseur Euro\Euro.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/058910ba81108b5bc415/netzip/RdxIE601_fr.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f004.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe