PSguard/SpySheriff
Résolu
ldaude
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Salut,
Comme d'autre je suis infecté par psguard (écran de warning à la place du bureau) + page IE de démarrage vers l'anti spyware.
Voici le résultat de highjackthis 1.99
[quote]
Logfile of HijackThis v1.99.1
Scan saved at 22:03:29, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\intmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\World of Warcraft\WoW.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LLE637~1\LOCALS~1\Temp\Rar$EX00.500\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp5CD5.tmp
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe[/quote]
Merci d'avance de votre aide
L.
Comme d'autre je suis infecté par psguard (écran de warning à la place du bureau) + page IE de démarrage vers l'anti spyware.
Voici le résultat de highjackthis 1.99
[quote]
Logfile of HijackThis v1.99.1
Scan saved at 22:03:29, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\intmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\World of Warcraft\WoW.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LLE637~1\LOCALS~1\Temp\Rar$EX00.500\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp5CD5.tmp
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe[/quote]
Merci d'avance de votre aide
L.
22 réponses
salut,
alors comme d'autres fait ceci:
telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
alors comme d'autres fait ceci:
telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
merci bon alors j'ai telechargé et dezippé.
donc ca crée un fichier : SmitfraudFix
avec un sous répertoire : SmitfraudFix
et dedans un : reg.exe
Lorsque je clique sur reg.exe une fenêtre s'ouvre et se referme direct.
Donc pas d'option 1 ni 2...
Ce virus m'empeche egalement d'acceder à mes messageries (quand j'arrive sur la page de mes mails je retourne direct sur la page de telechargement de psguard).
J'attend le suite de tes indications, merci
L.
donc ca crée un fichier : SmitfraudFix
avec un sous répertoire : SmitfraudFix
et dedans un : reg.exe
Lorsque je clique sur reg.exe une fenêtre s'ouvre et se referme direct.
Donc pas d'option 1 ni 2...
Ce virus m'empeche egalement d'acceder à mes messageries (quand j'arrive sur la page de mes mails je retourne direct sur la page de telechargement de psguard).
J'attend le suite de tes indications, merci
L.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
losque je passe directemet par le fichier zip j'ai acces à un process.exe mais meme resultat : une fenetre s'ouvre et se referme immediatement
Bon voila :
SmitFraudFix v1.82
Rapport fait à 22:26:48,89 le 31/08/2005
Executé à partir de C:\Documents and Settings\L“L“\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\popuper.exe PRESENT !
C:\WINDOWS\sites.ini PRESENT !
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
C:\WINDOWS\system\svchost.exe PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\hhk.dll PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\intmon.exe PRESENT !
C:\WINDOWS\system32\intmonp.exe PRESENT !
C:\WINDOWS\system32\msmsgs.exe PRESENT !
C:\WINDOWS\system32\ole32vbs.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\shnlog.exe PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\L“L“\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\L“L“\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\Program Files\PSGuard\ PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 31/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!
C:\pagefile.sys
C:\Program
C:\WINDOWS
C:\WINDOWS\.
C:\WINDOWS\..
C:\WINDOWS\0.log
C:\WINDOWS\bootstat.dat
C:\WINDOWS\Downloaded
C:\WINDOWS\IE4
C:\WINDOWS\inf
C:\WINDOWS\popuper.exe
C:\WINDOWS\Prefetch
C:\WINDOWS\q8313046_disk.dll
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\sites.ini
C:\WINDOWS\system
C:\WINDOWS\system32
C:\WINDOWS\Temp
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\win.ini
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\system32\.
C:\WINDOWS\system32\..
C:\WINDOWS\system32\checkIn.dll
C:\WINDOWS\system32\Date.ico
C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\hp5CD5.tmp
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\LogFiles
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\ole32vbs.exe
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\wppp.html
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD Présent !
C:\WINDOWS\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00F7-C763
R‚pertoire de C:\WINDOWS\$hf_mig$\KB867282\SP2QFE
27/01/2005 19:12 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB883939\SP2QFE
02/05/2005 22:58 663ÿ040 wininet.dll
1 fichier(s) 663ÿ040 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB890923\SP2QFE
10/03/2005 09:48 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB896727\SP2QFE
03/07/2005 04:10 663ÿ552 wininet.dll
1 fichier(s) 663ÿ552 octets
R‚pertoire de C:\WINDOWS\$NtServicePackUninstall$
07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB867282$
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB867282-IE6SP1-20050127.163319$
24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB883939$
10/03/2005 10:04 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB890923$
27/01/2005 19:14 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB896727$
02/05/2005 22:57 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets
R‚pertoire de C:\WINDOWS\ServicePackFiles\i386
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\system32
03/07/2005 04:16 662ÿ528 wininet.dll
1 fichier(s) 662ÿ528 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
SmitFraudFix v1.82
Rapport fait à 22:26:48,89 le 31/08/2005
Executé à partir de C:\Documents and Settings\L“L“\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\popuper.exe PRESENT !
C:\WINDOWS\sites.ini PRESENT !
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
C:\WINDOWS\system\svchost.exe PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\hhk.dll PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\intmon.exe PRESENT !
C:\WINDOWS\system32\intmonp.exe PRESENT !
C:\WINDOWS\system32\msmsgs.exe PRESENT !
C:\WINDOWS\system32\ole32vbs.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\shnlog.exe PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\L“L“\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\L“L“\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\Program Files\PSGuard\ PRESENT!
»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 31/08/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!
C:\pagefile.sys
C:\Program
C:\WINDOWS
C:\WINDOWS\.
C:\WINDOWS\..
C:\WINDOWS\0.log
C:\WINDOWS\bootstat.dat
C:\WINDOWS\Downloaded
C:\WINDOWS\IE4
C:\WINDOWS\inf
C:\WINDOWS\popuper.exe
C:\WINDOWS\Prefetch
C:\WINDOWS\q8313046_disk.dll
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\sites.ini
C:\WINDOWS\system
C:\WINDOWS\system32
C:\WINDOWS\Temp
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\win.ini
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\system32\.
C:\WINDOWS\system32\..
C:\WINDOWS\system32\checkIn.dll
C:\WINDOWS\system32\Date.ico
C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\hp5CD5.tmp
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\LogFiles
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\ole32vbs.exe
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\wppp.html
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD Présent !
C:\WINDOWS\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00F7-C763
R‚pertoire de C:\WINDOWS\$hf_mig$\KB867282\SP2QFE
27/01/2005 19:12 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB883939\SP2QFE
02/05/2005 22:58 663ÿ040 wininet.dll
1 fichier(s) 663ÿ040 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB890923\SP2QFE
10/03/2005 09:48 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets
R‚pertoire de C:\WINDOWS\$hf_mig$\KB896727\SP2QFE
03/07/2005 04:10 663ÿ552 wininet.dll
1 fichier(s) 663ÿ552 octets
R‚pertoire de C:\WINDOWS\$NtServicePackUninstall$
07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB867282$
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB867282-IE6SP1-20050127.163319$
24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB883939$
10/03/2005 10:04 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB890923$
27/01/2005 19:14 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets
R‚pertoire de C:\WINDOWS\$NtUninstallKB896727$
02/05/2005 22:57 662ÿ016 wininet.dll
1 fichier(s) 662ÿ016 octets
R‚pertoire de C:\WINDOWS\ServicePackFiles\i386
20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets
R‚pertoire de C:\WINDOWS\system32
03/07/2005 04:16 662ÿ528 wininet.dll
1 fichier(s) 662ÿ528 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
OK alors maintenant,
alors voila ce que tu vas faire,
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4) relance le prog
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
choisi l'option 2 et accepte tout. (même nettoyage registre)
copie le log ensuite.
5)redemarre
lance Hijack puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
A+
alors voila ce que tu vas faire,
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4) relance le prog
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
choisi l'option 2 et accepte tout. (même nettoyage registre)
copie le log ensuite.
5)redemarre
lance Hijack puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.
A+
Super cela semble etre eradiqué !
Voici le dernier log du nettoyage en sans echec :
SmitFraudFix v1.82
Rapport fait à 22:37:43,46 le 31/08/2005
Executé à partir de C:\Documents and Settings\L“L“\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Problème suppression C:\WINDOWS\system32\oleext.dll
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
et voici le log du highjackthis apres etre revenu en mode normal :
Logfile of HijackThis v1.99.1
Scan saved at 22:39:17, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LLE637~1\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
En tout cas un tout grand merci.
Penses tu que le problème est totalement écarté ?
(pu de probleme de page de demarrage ni de probleme de fond d'ecran en tout cas).
Encore merci !
Voici le dernier log du nettoyage en sans echec :
SmitFraudFix v1.82
Rapport fait à 22:37:43,46 le 31/08/2005
Executé à partir de C:\Documents and Settings\L“L“\Bureau
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Problème suppression C:\WINDOWS\system32\oleext.dll
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
et voici le log du highjackthis apres etre revenu en mode normal :
Logfile of HijackThis v1.99.1
Scan saved at 22:39:17, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LLE637~1\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
En tout cas un tout grand merci.
Penses tu que le problème est totalement écarté ?
(pu de probleme de page de demarrage ni de probleme de fond d'ecran en tout cas).
Encore merci !
je ne comprends pas pourquoi tu n'as pas deO4???
lance hijack,
ferme le bloc note et coche les cases devant les lignes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
refait un log et revient demain je ne comprends pas pourquoi rien ne se charge au demarrage.
lance hijack,
ferme le bloc note et coche les cases devant les lignes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
refait un log et revient demain je ne comprends pas pourquoi rien ne se charge au demarrage.
Mais c'est quoi O4 ? Tu as l'air d'en parler comme si c'était aussi important que des dll windows :)
les O4 ce sont tous les programmes chargés au demarrage.
pour plus info, jette un oeil là:
http://www.zebulon.fr/articles/HijackThis.php
encore bravo à balltrap34
pour plus info, jette un oeil là:
http://www.zebulon.fr/articles/HijackThis.php
encore bravo à balltrap34
salut il me semble bizard que l ont ne vois meme pas ton anti virus au demarrage
alors plusieurs cas
1)tu l active manuellement a chaque demarrage
2) tu nas pas d anti virus actif
3)tu as bien fait le hijack en mode normal
alors plusieurs cas
1)tu l active manuellement a chaque demarrage
2) tu nas pas d anti virus actif
3)tu as bien fait le hijack en mode normal
wahou
pas bien
va vite sur le site
Pour des infos plus détaillées et claires concernant la sécurité en général, voir ici http://sebsauvage.net/ et plus particulièrement http://sebsauvage.net/safehex.html .
et charge un pare feu et un anti virus gratuit et performant.
pas bien
va vite sur le site
Pour des infos plus détaillées et claires concernant la sécurité en général, voir ici http://sebsauvage.net/ et plus particulièrement http://sebsauvage.net/safehex.html .
et charge un pare feu et un anti virus gratuit et performant.
