Sujet Précédent Sujet Suivant

[HijackThis] Rapport, deux spywares coriaces.

Fermé
Pierrou - 15 déc. 2005 à 18:50
 pierrou - 16 déc. 2005 à 23:41
Bonjour.

Spybot me trouve deux entrées que je n'arrive pas a effacer.
Il s'agit de command service et max search.

J'ai essayé par Regedit, Regcleaner, Adaware, A-squared (A2), Ccleaner et l'antivirus (Avast!).

J'en arrive au bout de mes cmpétences et je fait donc appel à vous pour m'aider sur la base de ce rapport Hijack This.

D'avance merci.

Citation:
Logfile of HijackThis v1.99.1
Scan saved at 18:41:11, on 15/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\ntsfd.exe
C:\windows\adtech2006a.exe
C:\WINDOWS\System32\NeroFil.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\NukeNabber\nukenabber.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\Run: [NeroFil] NeroFil.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\RunServices: [NeroFil] NeroFil.EXE
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKCU\..\Run: [NeroFil] NeroFil.EXE
O4 - HKCU\..\RunServices: [NeroFil] NeroFil.EXE
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Manager.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\system32\winksas.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
A voir également:

28 réponses

  • 1
  • 2
Réponse 1 / 28
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
15 déc. 2005 à 19:11
Bonsoir Pierrou,

Essaye de passer Spybot et adaware en mode sans echec,
Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)

bon courage.

a+
0
Pierrou
15 déc. 2005 à 19:35
J'ai essayé en mode sans echec, sans résultat. :/
0
Réponse 2 / 28
Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 106
15 déc. 2005 à 19:39
Bonsoir Pierrou,

Vide le contenu de ces dossiers :

C:\Documents and Settings\ton compte\Local Settings\Temp
C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
C:\Windows\Temp
C:\Windows\Prefetch [supprime tout sauf le fichier nommé " layout.ini"]

Scanne ton PC avec cet antispyware en ligne : http://www.trendmicro.com/spyware-scan/

Dis moi ensuite si le problème est reglé.
0
Réponse 3 / 28
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
15 déc. 2005 à 19:40
Re,

en attendant que je regarde ton log, peux tu faire ceci:

Scanne en ligne avec bitdefender
http://www.bitdefender.fr/bd/site/page.php


A+
0
Réponse 4 / 28
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
15 déc. 2005 à 19:55
J'ai un doute sur un fichier,

Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !


analyse ce fichier sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci :
C:\WINDOWS\ALCWZRD.EXE

Clik send et colle le rapport ici

Bon Appétit à tous !

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
pierrou
15 déc. 2005 à 21:32
@Kristopher:

Scan effectué, plusieurs menaces détéctées et éradiquées. (action effectuée apres le scan bitdefender)

Apres un second scan il reste toujours command service :(

@Incognito02:

Le scan bitdefender m'a trouvé et supprimé 4 virus sur six fichiers.

Et voila le log de totalvirus:


This is a report processed by VirusTotal on 12/15/2005 at 21:27:00 (CET) after scanning the file "ALCWZRD.EXE" file.

Antivirus Version Update Result
AntiVir 6.33.0.61 12.15.2005 no virus found
Avast 4.6.695.0 12.15.2005 no virus found
AVG 718 12.15.2005 no virus found
Avira 6.33.0.61 12.15.2005 no virus found
BitDefender 7.2 12.15.2005 no virus found
CAT-QuickHeal 8.00 12.15.2005 no virus found
ClamAV devel-20051108 12.15.2005 no virus found
DrWeb 4.33 12.15.2005 no virus found
eTrust-Iris 7.1.194.0 12.15.2005 no virus found
eTrust-Vet 12.3.3.0 12.15.2005 no virus found
Fortinet 2.54.0.0 12.15.2005 no virus found
F-Prot 3.16c 12.15.2005 no virus found
Ikarus 0.2.59.0 12.15.2005 no virus found
Kaspersky 4.0.2.24 12.15.2005 no virus found
McAfee 4651 12.15.2005 no virus found
NOD32v2 1.1325 12.15.2005 no virus found
Norman 5.70.10 12.15.2005 no virus found
Panda 8.02.00 12.15.2005 no virus found
Sophos 4.00.0 12.15.2005 no virus found
Symantec 8.0 12.15.2005 no virus found
TheHacker 5.9.1.056 12.15.2005 no virus found
VBA32 3.10.5 12.15.2005 no virus found

A priori celui la est clean ^^
0
Réponse 6 / 28
Utilisateur anonyme
15 déc. 2005 à 21:33
salut
je fais une breve apparition

Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

Incognito reprendra la suite
0
Réponse 7 / 28
pierrou
15 déc. 2005 à 21:39
SmitFraudFix v2.08

Rapport fait à 21:38:56,81 le 15/12/2005
Executé à partir de C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

C:\drsmartload1.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\Fichiers communs\Windows\services32.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport





C'est grave docteur? O_o
0
Réponse 8 / 28
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
15 déc. 2005 à 21:42
Bien vu Régis !

Pierrou,

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)


Relance Smitfraud et choisis l'option 2, réponds Oui à chaque question
Sauvegarde le log.

Vide la corbeille.

Redémarre en mode normal, reposte un log Hijackthis et le log de smitfraud.

A+

0
Réponse 9 / 28
aza
15 déc. 2005 à 22:23
Pierrou a du quitter son appart, on s'y remet demain, merci pour la reponse, et dire que j'avais pensé a Smitfraud dès le début ^^

:)
0
Réponse 10 / 28
pierrou
16 déc. 2005 à 16:18
SmitFraudFix v2.08

Rapport fait à 16:12:44,25 le 16/12/2005
Executé à partir de C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\drsmartload1.exe supprimé
C:\Program Files\Fichiers communs\Windows\services32.exe supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



Ok, sur un autre forum on me diagnostique Gaobot et Rbot, je vais voir ce uqe je peux faire de ce coté, je vous tient au courant de toute façons... Merci pour Smitfraud.
0
Réponse 11 / 28
pierrou
16 déc. 2005 à 17:18
Et un rapport panda, on me l'a conseillé ailleurs et ca pourra peut être nous aider.

Incident Statut Analyse

Adware:adware/sqwire Non désinfecté C:\WINDOWS\SYSTEM32\tsuninst.exe
Adware:adware/dollarrevenue Non désinfecté C:\WINDOWS\drsmartload.dat
Adware:adware/popupsandbannersNon désinfecté C:\WINDOWS\teller2.chk
Adware:adware/maxifiles Non désinfecté C:\PROGRAM FILES\FICHIERS COMMUNS\Windows
Adware:adware/commad Non désinfecté Registre Windows
Adware:Adware/Sqwire Non désinfecté C:\Program Files\Fichiers communs\wuzf\wuzfd\wuzfc.dll
Adware:Adware/DollarRevenue Non désinfecté C:\suhde.exe
Adware:Adware/Noname Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6VG56Z2V\adtech2006a[1].exe
Adware:Adware/CommAd Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6VG56Z2V\timessquare[1].exe
Adware:Adware/DollarRevenue Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OR4J0ZY7\drsmartload[1].exe
Adware:Adware/Sqwire Non désinfecté C:\WINDOWS\system32\tsuninst.exe
0
Réponse 12 / 28
pierrou
16 déc. 2005 à 17:39
Désolé d'insister ^^

Mais je vous copie le lien de mon post sur un autre forum, peut être que ça pourra aider, vu que les diagnostics sont differents ^^

http://www.depannetonpc.net/phpbb2/forum13.html
0
Réponse 13 / 28
pierrou
16 déc. 2005 à 18:50
Je suis désespéré ^^

Un log Spybot, sica peut aider:

Command Service: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

Command Service: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Common Dialogs: History (2 files) (Clé du registre, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Internet Explorer: User agent (Modification du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Log: Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Log: Activity: ntbtlog.txt (Sauver le fichier, nothing done)
C:\WINDOWS\ntbtlog.txt

Log: Activity: SchedLgU.Txt (Sauver le fichier, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Install: setupapi.log (Sauver le fichier, nothing done)
C:\WINDOWS\setupapi.log

Log: Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Sauver le fichier, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemprox.log

MaxSearch: Réglages (Clé du registre, nothing done)
HKEY_USERS\S-1-5-18\Software\XBTB07618

MaxSearch: Réglages (Clé du registre, nothing done)
HKEY_USERS\.DEFAULT\Software\XBTB07618

MS Direct3D: Most recent application (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

MS DirectDraw: Most recent application (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS Media Player: Client ID (Modification du registre, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Media Player: Application data file (global) () (Fichier, nothing done)
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Media Index\wmplibrary_v_0_12.db

MS Media Player: Client ID (Modification du registre, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Regedit: Recent open key (Modification du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey!=

Windows Explorer: Recent file global history (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Explorer: Last visited history (2 files) (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: User Assistant history files (83 files) (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: User Assistant history IE (7 files) (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Media SDK: Volume serial number (Valeur du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Computer name (Modification du registre, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Modification du registre, nothing done)
HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}


--- Spybot - Search && Destroy version: 1.3 ---
2005-12-09 Includes\Cookies.sbi
2005-12-09 Includes\Dialer.sbi
2005-12-09 Includes\Hijackers.sbi
2005-12-09 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2005-12-09 Includes\Malware.sbi
2005-12-09 Includes\PUPS.sbi
2005-12-09 Includes\Revision.sbi
2005-12-09 Includes\Security.sbi
2005-12-09 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2005-12-09 Includes\Trojans.sbi


J'ai toujours command service et max search qui ne veulent pas partir... Et le scan panda online qui me trouve des virus (sans les supprimer) alors qu'Avast viens de terminer un scan complet sans rien trouver...

Le formatage approche à grands pas...
0
Réponse 14 / 28
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
16 déc. 2005 à 18:51
Bonsoir Pierrou,

Remet un log hikackthis stp

A+

0
Réponse 15 / 28
pierrou
16 déc. 2005 à 18:54
Bonsoir Incognito02 et merci de m'aider ^^

Voila un log Hijackthis sans avoir redemaré en mode sans echec.

Logfile of HijackThis v1.99.1
Scan saved at 18:52:10, on 16/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Manager.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
0
Réponse 16 / 28
pierrou
16 déc. 2005 à 18:57
En regardant mon log, j'ai remarqué cette ligne:

C:\WINDOWS\Explorer.EXE


Dans un autre post quelqu'un a indiqué que le .EXE en majuscules etait louche.

C'est qu'a force je vais finir par comprendre ^^
0
Réponse 17 / 28
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
16 déc. 2005 à 19:12
Re,

Pour ton fichier, tu peux le tester ici :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche Le fichier
Clik send et colle le rapport ici

Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

Précise tes soucis, si il en reste.

A+
0
Réponse 18 / 28
pierrou
16 déc. 2005 à 19:32
Ok. Le fichier est clean et la ligne fixée.

Mais Spybot me trouve toujours Maxsearch et Command Service sans parvenir a les supprimer.

Ce matin j'ai recu ca dans ma boite aux lettres:

Amour-Travail-Informatique
Le marabout Dontaccartvisa à la solution a tes problemes.
Tel: 06.....

Vous pensez que je devrai?

Plus serieusement si j'arrive a relancer un scan panda je colle le rapport.
0
Réponse 19 / 28
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
16 déc. 2005 à 19:37
Télécharge lopxp ici:

http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

A+
0
Réponse 20 / 28
pierrou
16 déc. 2005 à 19:56
Merci encore ^^

Voila le log:

Rapport fait à 19:55:24,56 le 16/12/2005

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 803D-9D90

R‚pertoire de C:\Documents and Settings\All Users\Application Data

03/11/2005 04:05 62 desktop.ini
03/11/2005 04:05 <REP> Microsoft
03/11/2005 04:05 <REP> ..
03/11/2005 04:05 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 16501727232 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 803D-9D90

R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data

15/12/2005 17:05 <REP> Spybot - Search & Destroy
14/12/2005 22:53 <REP> Adobe
12/12/2005 23:39 <REP> CyberLink
02/11/2005 23:34 62 desktop.ini
02/11/2005 23:33 <REP> Microsoft
02/11/2005 23:33 <REP> ..
02/11/2005 23:33 <REP> .
1 fichier(s) 62 octets
6 R‚p(s) 16501723136 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 803D-9D90

R‚pertoire de C:\Documents and Settings\Default User\Application Data

03/11/2005 04:05 62 desktop.ini
03/11/2005 04:05 <REP> ..
03/11/2005 04:05 <REP> Microsoft
03/11/2005 04:05 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 16501723136 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 803D-9D90

R‚pertoire de C:\Documents and Settings\Default User.WINDOWS\Application Data

02/11/2005 23:34 62 desktop.ini
02/11/2005 23:33 <REP> ..
02/11/2005 23:33 <REP> Microsoft
02/11/2005 23:33 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 16501710848 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 803D-9D90

R‚pertoire de C:\Documents and Settings\pierrou\Application Data

02/11/2005 23:14 <REP> Identities
02/11/2005 23:14 62 desktop.ini
02/11/2005 23:14 <REP> ..
02/11/2005 23:14 <REP> Microsoft
02/11/2005 23:14 <REP> .
1 fichier(s) 62 octets
4 R‚p(s) 16501710848 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 803D-9D90

R‚pertoire de C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Application Data

15/12/2005 21:25 <REP> Trend Micro
15/12/2005 18:17 <REP> Help
14/12/2005 23:43 <REP> Lavasoft
14/12/2005 23:09 <REP> Macromedia
14/12/2005 23:07 <REP> Mozilla
14/12/2005 22:53 <REP> AdobeUM
14/12/2005 22:53 <REP> Adobe
12/12/2005 23:40 <REP> CyberLink
20/11/2005 02:10 <REP> dvdcss
02/11/2005 23:52 <REP> ATI
02/11/2005 23:43 <REP> Identities
02/11/2005 23:43 62 desktop.ini
02/11/2005 23:43 <REP> ..
02/11/2005 23:43 <REP> .
02/11/2005 23:43 <REP> Microsoft
1 fichier(s) 62 octets
14 R‚p(s) 16501710848 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 803D-9D90

R‚pertoire de C:\Documents and Settings\pierroux\Application Data

02/11/2005 21:43 <REP> ATI
02/11/2005 21:22 <REP> Identities
02/11/2005 21:22 62 desktop.ini
02/11/2005 21:22 <REP> ..
02/11/2005 21:22 <REP> Microsoft
02/11/2005 21:22 <REP> .
1 fichier(s) 62 octets
5 R‚p(s) 16501710848 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 803D-9D90

R‚pertoire de C:\WINDOWS\Tasks

02/11/2005 23:39 6 SA.DAT
02/11/2005 23:38 65 desktop.ini
02/11/2005 21:17 <REP> ..
02/11/2005 21:17 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 16ÿ501ÿ706ÿ752 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************
0

Discussions similaires

écrire un rapport de travail
asi -
REGINALD -

3 réponses
Comment supprimer une conversation Messenger pour les 2 personnes ?
mercidemaider -
sd -

7 réponses
Un seul de mes écouteurs marche. Que faire ?
VM_417 -
vali54 -

4 réponses