[Trojan] Adloader
easton
Messages postés
104
Statut
Membre
-
suoziki -
suoziki -
Bonsoir et meilleurs voeux à toutes et tous :)
Je commence fort l'année puisque je viens de choper un trojan qui me donne du mal.
Ca a commencé hier soir, dès que je me connecte avast détecte adloader.exe et a du mal à le mettre en quarantaine.
Quand il y arrive et que je le supprime, il répparait aussitot à la connexion suivante soit au meme endroit, soit à la racine de C.
Sous le nom de adloader dans un fichier qui s appelle drsmartload.exe ou drsmartloader.exe, ca depend.
L'emplacement d'origine est C\Documentsetsettings\moncompte\localsettings\temp
la fois d'après c'etait juste dans C:\
En voulant le supprimer en mode sans echec j'ai vu qu'il venait du site
//promo.dollarrevenue.com/bundle/drsmartload.exe...sur lequel je ne suis jamais allé...
J'ai supprimé les fichiers temp, puis l'entrée dans la base de registre mais en me reconnectant il est réapparu aussitôt, et j'ai fait çà 4 fois, ca me desespere un peu.
Je n'ai vu aucune trace dans le log d'hijack et ni adaware ni spybot ne semblent le détecter. Aucune piste sur internet non plus c'est pourquoi je reviens si vite poster ici, en espérant que quelqu'un puisse m'aider.
Meilleurs voeux quand même pour 2006 (sauf aux pirates:)
a+
Je commence fort l'année puisque je viens de choper un trojan qui me donne du mal.
Ca a commencé hier soir, dès que je me connecte avast détecte adloader.exe et a du mal à le mettre en quarantaine.
Quand il y arrive et que je le supprime, il répparait aussitot à la connexion suivante soit au meme endroit, soit à la racine de C.
Sous le nom de adloader dans un fichier qui s appelle drsmartload.exe ou drsmartloader.exe, ca depend.
L'emplacement d'origine est C\Documentsetsettings\moncompte\localsettings\temp
la fois d'après c'etait juste dans C:\
En voulant le supprimer en mode sans echec j'ai vu qu'il venait du site
//promo.dollarrevenue.com/bundle/drsmartload.exe...sur lequel je ne suis jamais allé...
J'ai supprimé les fichiers temp, puis l'entrée dans la base de registre mais en me reconnectant il est réapparu aussitôt, et j'ai fait çà 4 fois, ca me desespere un peu.
Je n'ai vu aucune trace dans le log d'hijack et ni adaware ni spybot ne semblent le détecter. Aucune piste sur internet non plus c'est pourquoi je reviens si vite poster ici, en espérant que quelqu'un puisse m'aider.
Meilleurs voeux quand même pour 2006 (sauf aux pirates:)
a+
A voir également:
- [Trojan] Adloader
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Trojan win32 - Forum Virus
26 réponses
bjr
essaie ces 3 log
a-squared
http://www.emsisoft.net/fr/software/download/
ewido (dowload)
http://www.ewido.net/fr/download/
spycatcher express free
http://www.tenebril.com/downloads/
colle ton hijac que je mate
ai traité ce blem ya peu, mais où ? je cherche
essaie ces 3 log
a-squared
http://www.emsisoft.net/fr/software/download/
ewido (dowload)
http://www.ewido.net/fr/download/
spycatcher express free
http://www.tenebril.com/downloads/
colle ton hijac que je mate
ai traité ce blem ya peu, mais où ? je cherche
bonsoir et merci,
J'ai installé et utilisé ces 3 logiciels aujourd'hui et j'ai un peu utilisé le pc.
Ewido a apparement tout trouvé. En tout cas beaucoup de choses ont été supprimées. Pour l'instant plus de nouvelles d'adloader...
Par contre depuis que j'ai installé spycatcher j'ai eu des problemes par exemple pour ouvrir poste de travail, ou lancer un programme quelconque (temps d'attente très très long, voire pas du tout de lancement et reboot obligatoire).
Je le garde encore un peu et si ca continue je le vire pour voir si c'est ca.
Je reste quasi sûr qu'il y a encore des saletés qui trainent mais bon...
Voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 20:45:01, on 01/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\soundman.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINNT\system32\cmd.exe
C:\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDLL (svchost32.dll)] rundll32.exe C:\WINNT\system32\svchost32.dll,start
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O13 - DefaultPrefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/17786f44c678c61cca00/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123662115875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123662477546
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F1A94C-9D94-44E8-B5A0-EB63D8237C03}: NameServer = 80.10.246.130 80.10.246.3
O20 - AppInit_DLLs: interceptor.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Program Files\Tiny Personal Firewall\persfw.exe
a+
PS : quand adloader etait présent il n'y avait aucune trace dans le log.
J'ai installé et utilisé ces 3 logiciels aujourd'hui et j'ai un peu utilisé le pc.
Ewido a apparement tout trouvé. En tout cas beaucoup de choses ont été supprimées. Pour l'instant plus de nouvelles d'adloader...
Par contre depuis que j'ai installé spycatcher j'ai eu des problemes par exemple pour ouvrir poste de travail, ou lancer un programme quelconque (temps d'attente très très long, voire pas du tout de lancement et reboot obligatoire).
Je le garde encore un peu et si ca continue je le vire pour voir si c'est ca.
Je reste quasi sûr qu'il y a encore des saletés qui trainent mais bon...
Voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 20:45:01, on 01/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\soundman.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINNT\system32\cmd.exe
C:\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDLL (svchost32.dll)] rundll32.exe C:\WINNT\system32\svchost32.dll,start
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O13 - DefaultPrefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/17786f44c678c61cca00/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123662115875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123662477546
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F1A94C-9D94-44E8-B5A0-EB63D8237C03}: NameServer = 80.10.246.130 80.10.246.3
O20 - AppInit_DLLs: interceptor.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Program Files\Tiny Personal Firewall\persfw.exe
a+
PS : quand adloader etait présent il n'y avait aucune trace dans le log.
bsr
"Par contre depuis que j'ai installé spycatcher j'ai eu des problemes par exemple pour ouvrir poste de travail, ou lancer un programme quelconque (temps d'attente très très long, voire pas du tout de lancement et reboot obligatoire).
Je le garde encore un peu et si ca continue je le vire pour voir si c'est ca."
enléve la protection résidente de spycatcher qui semble t'ennuyer, et cela devrait passer
"Par contre depuis que j'ai installé spycatcher j'ai eu des problemes par exemple pour ouvrir poste de travail, ou lancer un programme quelconque (temps d'attente très très long, voire pas du tout de lancement et reboot obligatoire).
Je le garde encore un peu et si ca continue je le vire pour voir si c'est ca."
enléve la protection résidente de spycatcher qui semble t'ennuyer, et cela devrait passer
Salut,
Ok, c'est ce que j'avais fait plutôt que de désinstaller.
Sinon le log te parait bon ?
Je me pose des questions sur ces lignes :
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F1A94C-9D94-44E8-B5A0-EB63D8237C03}: NameServer = 80.10.246.130 80.10.246.3
O20 - AppInit_DLLs: interceptor.dll
a+
Ok, c'est ce que j'avais fait plutôt que de désinstaller.
Sinon le log te parait bon ?
Je me pose des questions sur ces lignes :
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F1A94C-9D94-44E8-B5A0-EB63D8237C03}: NameServer = 80.10.246.130 80.10.246.3
O20 - AppInit_DLLs: interceptor.dll
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re
je réponds par acoups car mon ordi merde
je confirme 013 malsaine
fixe ttes les 016 avec, four faire de la place
O13 - DefaultPrefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/17786f44c678c61cca00/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123662115875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123662477546
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
le reste de la rép suit
je réponds par acoups car mon ordi merde
je confirme 013 malsaine
fixe ttes les 016 avec, four faire de la place
O13 - DefaultPrefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/17786f44c678c61cca00/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123662115875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123662477546
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
le reste de la rép suit
re
pour la 020: RAS à moins que tu ne connaisse un blem particulier, dans ce cas à découvrir - analyse possible au
http://www.all-nettools.com/toolbox/
pour la 03 faire analyse par
http://www.virustotal.com/flash/index_en.html
de cette ligne
C:\WINNT\System32\msdxm.ocx
et coller résultat
------
fais ceci aussi, pour être sur
Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
pour la 020: RAS à moins que tu ne connaisse un blem particulier, dans ce cas à découvrir - analyse possible au
http://www.all-nettools.com/toolbox/
pour la 03 faire analyse par
http://www.virustotal.com/flash/index_en.html
de cette ligne
C:\WINNT\System32\msdxm.ocx
et coller résultat
------
fais ceci aussi, pour être sur
Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
Bonsoir,
J'ai mis du temps à répondre car les infections que je supprimais revenaient dès la connexion d'après, un vrai bazar, et j'ai essayé de tout bien noter pour que ce soit clair....mais y a eu tellement de choses que j'en oublie peut-être...en tout cas Ewido supprime beaucoup de choses à chaque fois, mais elles reviennent toujours.
(Il y a 5 minutes nouvelles alertes, je colle le dernier rapport d'Ewido dans un post suivant)
Bref, pour répondre à :
Post 06 :
**O13 - DefaultPrefix: =====> impossible à fixer : en mode normal ou sans échec ca ne marche pas.
**016 ===> toutes fixées, OK
Post 07 :
**C:\WINNT\System32\msdxm.ocx ====> analysé par VirusTotal, aucun virus trouvé.
**020 ===> suis allé sur http://www.all-nettools.com/toolbox/
mais pas compris ce que je devais faire.
Je colle les rapports smitfraudfix dans le post suivant,
a+
J'ai mis du temps à répondre car les infections que je supprimais revenaient dès la connexion d'après, un vrai bazar, et j'ai essayé de tout bien noter pour que ce soit clair....mais y a eu tellement de choses que j'en oublie peut-être...en tout cas Ewido supprime beaucoup de choses à chaque fois, mais elles reviennent toujours.
(Il y a 5 minutes nouvelles alertes, je colle le dernier rapport d'Ewido dans un post suivant)
Bref, pour répondre à :
Post 06 :
**O13 - DefaultPrefix: =====> impossible à fixer : en mode normal ou sans échec ca ne marche pas.
**016 ===> toutes fixées, OK
Post 07 :
**C:\WINNT\System32\msdxm.ocx ====> analysé par VirusTotal, aucun virus trouvé.
**020 ===> suis allé sur http://www.all-nettools.com/toolbox/
mais pas compris ce que je devais faire.
Je colle les rapports smitfraudfix dans le post suivant,
a+
Re,
Pour répondre au post 7 (suite) :
Rapport smitfraudfix option1 :
SmitFraudFix v2.10
Rapport fait à 21:19:14,20 le mer. 04/01/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
C:\WINNT\blank.mht PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
(rapport n° 2 dans le post suivant)
a+
Pour répondre au post 7 (suite) :
Rapport smitfraudfix option1 :
SmitFraudFix v2.10
Rapport fait à 21:19:14,20 le mer. 04/01/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
C:\WINNT\blank.mht PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
(rapport n° 2 dans le post suivant)
a+
Re,
Réponse au Post 7 (fin) :
rapport Smitfraudfix mode normal, option 2 :
SmitFraudFix v2.10
Rapport fait à 21:27:56,71 le mer. 04/01/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINNT\blank.mht supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Voilà, pour finir je colle le dernier rapport d'Ewido dans le post suivant
a+
Réponse au Post 7 (fin) :
rapport Smitfraudfix mode normal, option 2 :
SmitFraudFix v2.10
Rapport fait à 21:27:56,71 le mer. 04/01/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINNT\blank.mht supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Voilà, pour finir je colle le dernier rapport d'Ewido dans le post suivant
a+
Re,
Rapport d'E wido :
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 21:45:44, 04/01/2006
+ Somme de contrôle: 8BB6548
+ Résultats du scan:
HKLM\SOFTWARE\Classes\ZToolbar.activator -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.activator\CLSID -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.activator\CurVer -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.activator.1 -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CLSID -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CurVer -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr.1 -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.StockBar -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CLSID -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CurVer -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.StockBar.1 -> Spyware.Azsearch : Erreur durant le nettoyage
[1124] C:\WINNT\system32\jkhfd.dll -> Downloader.ConHook.v : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\4T638LYJ\drsmartload[1].exe -> Downloader.Adload.l : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\S167C1YZ\dollar[1].zip -> Downloader.Adload.j : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\S167C1YZ\raser[1].zip -> Downloader.ConHook.n : Nettoyer et sauvegarder
C:\dr32.exe -> Downloader.Adload.j : Nettoyer et sauvegarder
::Fin du rapport
Pour finir je dois dire que mon Pc est redevenu très très lent...
a+
Rapport d'E wido :
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 21:45:44, 04/01/2006
+ Somme de contrôle: 8BB6548
+ Résultats du scan:
HKLM\SOFTWARE\Classes\ZToolbar.activator -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.activator\CLSID -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.activator\CurVer -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.activator.1 -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CLSID -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CurVer -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr.1 -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.StockBar -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CLSID -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CurVer -> Spyware.Azsearch : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ZToolbar.StockBar.1 -> Spyware.Azsearch : Erreur durant le nettoyage
[1124] C:\WINNT\system32\jkhfd.dll -> Downloader.ConHook.v : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\4T638LYJ\drsmartload[1].exe -> Downloader.Adload.l : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\S167C1YZ\dollar[1].zip -> Downloader.Adload.j : Nettoyer et sauvegarder
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\S167C1YZ\raser[1].zip -> Downloader.ConHook.n : Nettoyer et sauvegarder
C:\dr32.exe -> Downloader.Adload.j : Nettoyer et sauvegarder
::Fin du rapport
Pour finir je dois dire que mon Pc est redevenu très très lent...
a+
Re,
Dernière minute, je viens de faire un log Hujack et c'est très infecté, voir notamment ligne 020:
Logfile of HijackThis v1.99.1
Scan saved at 22:18:33, on 04/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\soundman.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINNT\system32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDLL (svchost32.dll)] rundll32.exe C:\WINNT\system32\svchost32.dll,start
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKLM\..\Run: [WinDLL (jbi32.dll)] rundll32.exe C:\WINNT\system32\jbi32.dll,start
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O13 - DefaultPrefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F1A94C-9D94-44E8-B5A0-EB63D8237C03}: NameServer = 80.10.246.1 80.10.246.132
O20 - AppInit_DLLs: interceptor.dll
O20 - Winlogon Notify: jkhfd - C:\WINNT\SYSTEM32\jkhfd.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Program Files\Tiny Personal Firewall\persfw.exe
J'ai fait analyser C:\WINNT\SYSTEM32\jkhfd.dll par Virus total ca donne ca :
This is a report processed by VirusTotal on 01/04/2006 at 22:18:00 (CET) after scanning the file "jkhfd.dll" file.
Antivirus Version Update Result
AntiVir 6.33.0.74 01.04.2006 TR/Dldr.ConHook.Q.2
Avast 4.6.695.0 01.03.2006 no virus found
AVG 718 01.04.2006 no virus found
Avira 6.33.0.74 01.04.2006 TR/Dldr.ConHook.Q.2
BitDefender 7.2 01.04.2006 no virus found
CAT-QuickHeal 8.00 01.04.2006 no virus found
ClamAV devel-20051123 01.04.2006 no virus found
DrWeb 4.33 01.04.2006 Trojan.DownLoader.4412
eTrust-Iris 7.1.194.0 01.04.2006 no virus found
eTrust-Vet 12.4.1.0 01.04.2006 Win32/Chisyne.T
Ewido 3.5 01.03.2006 no virus found
Fortinet 2.54.0.0 01.04.2006 suspicious
F-Prot 3.16c 01.04.2006 no virus found
Ikarus 0.2.59.0 01.04.2006 no virus found
Kaspersky 4.0.2.24 01.04.2006 no virus found
McAfee 4667 01.04.2006 no virus found
NOD32v2 1.1352 01.04.2006 a variant of Win32/TrojanDownloader.ConHook
Norman 5.70.10 12.31.2006 no virus found
Panda 9.0.0.4 01.04.2006 Spyware/Virtumonde
Sophos 4.01.0 01.04.2006 no virus found
Symantec 8.0 01.04.2006 no virus found
TheHacker 5.9.2.067 01.02.2006 no virus found
UNA 1.83 01.04.2006 no virus found
VBA32 3.10.5 01.04.2006 Trojan.DownLoader.4412
Voilà...:(
a+
Dernière minute, je viens de faire un log Hujack et c'est très infecté, voir notamment ligne 020:
Logfile of HijackThis v1.99.1
Scan saved at 22:18:33, on 04/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\soundman.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINNT\system32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDLL (svchost32.dll)] rundll32.exe C:\WINNT\system32\svchost32.dll,start
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKLM\..\Run: [WinDLL (jbi32.dll)] rundll32.exe C:\WINNT\system32\jbi32.dll,start
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O13 - DefaultPrefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F1A94C-9D94-44E8-B5A0-EB63D8237C03}: NameServer = 80.10.246.1 80.10.246.132
O20 - AppInit_DLLs: interceptor.dll
O20 - Winlogon Notify: jkhfd - C:\WINNT\SYSTEM32\jkhfd.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Program Files\Tiny Personal Firewall\persfw.exe
J'ai fait analyser C:\WINNT\SYSTEM32\jkhfd.dll par Virus total ca donne ca :
This is a report processed by VirusTotal on 01/04/2006 at 22:18:00 (CET) after scanning the file "jkhfd.dll" file.
Antivirus Version Update Result
AntiVir 6.33.0.74 01.04.2006 TR/Dldr.ConHook.Q.2
Avast 4.6.695.0 01.03.2006 no virus found
AVG 718 01.04.2006 no virus found
Avira 6.33.0.74 01.04.2006 TR/Dldr.ConHook.Q.2
BitDefender 7.2 01.04.2006 no virus found
CAT-QuickHeal 8.00 01.04.2006 no virus found
ClamAV devel-20051123 01.04.2006 no virus found
DrWeb 4.33 01.04.2006 Trojan.DownLoader.4412
eTrust-Iris 7.1.194.0 01.04.2006 no virus found
eTrust-Vet 12.4.1.0 01.04.2006 Win32/Chisyne.T
Ewido 3.5 01.03.2006 no virus found
Fortinet 2.54.0.0 01.04.2006 suspicious
F-Prot 3.16c 01.04.2006 no virus found
Ikarus 0.2.59.0 01.04.2006 no virus found
Kaspersky 4.0.2.24 01.04.2006 no virus found
McAfee 4667 01.04.2006 no virus found
NOD32v2 1.1352 01.04.2006 a variant of Win32/TrojanDownloader.ConHook
Norman 5.70.10 12.31.2006 no virus found
Panda 9.0.0.4 01.04.2006 Spyware/Virtumonde
Sophos 4.01.0 01.04.2006 no virus found
Symantec 8.0 01.04.2006 no virus found
TheHacker 5.9.2.067 01.02.2006 no virus found
UNA 1.83 01.04.2006 no virus found
VBA32 3.10.5 01.04.2006 Trojan.DownLoader.4412
Voilà...:(
a+
bsr
fais un scan online avec
http://www.bitdefender.fr/bd/site/search.php#
et colle rapport
--------
fais une défragmentation - pour mémoire , elle doit être faite quand les dossiers fragmentés atteignent 10%
------------
diminue le nbre de log au démarrage:
pour faire,
démarrer+exécuter+tape msconfig+ok+va dans onglet démarrage+supprime tout sauf antivirus et pare-feu(si tu as un doute,tu laisses+un redémarrage sera demandé, lis bien les indications
-------
mets à jour spybot,ad-aware,ewido,spycatcher - vide leur quarantaine - vont servir
---------
si tu n'as pas de de nettoyeur de registre télécharge RegCleaner, logiciel sur
http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
fonctionnement:
-dans barre menu+outils+nettoyer registre+tout faire+cocher ttes les lignes+supprime (toutes les lignes seront en sauvegard
-en-dessous barre menu, clic sur types de fichiers+coche tous les N/A+supprimer(les lignes seront en sauvegarde)
----------
ce log va être utile aussi,CleanUp40
il nettoie les cookies,temps,tempos,historique,etc.....
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
http://pageperso.aol.fr/balltrap34/democleanup.htm
------------
je te prépare un tuto pour la suite
à +
fais un scan online avec
http://www.bitdefender.fr/bd/site/search.php#
et colle rapport
--------
fais une défragmentation - pour mémoire , elle doit être faite quand les dossiers fragmentés atteignent 10%
------------
diminue le nbre de log au démarrage:
pour faire,
démarrer+exécuter+tape msconfig+ok+va dans onglet démarrage+supprime tout sauf antivirus et pare-feu(si tu as un doute,tu laisses+un redémarrage sera demandé, lis bien les indications
-------
mets à jour spybot,ad-aware,ewido,spycatcher - vide leur quarantaine - vont servir
---------
si tu n'as pas de de nettoyeur de registre télécharge RegCleaner, logiciel sur
http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
fonctionnement:
-dans barre menu+outils+nettoyer registre+tout faire+cocher ttes les lignes+supprime (toutes les lignes seront en sauvegard
-en-dessous barre menu, clic sur types de fichiers+coche tous les N/A+supprimer(les lignes seront en sauvegarde)
----------
ce log va être utile aussi,CleanUp40
il nettoie les cookies,temps,tempos,historique,etc.....
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
http://pageperso.aol.fr/balltrap34/democleanup.htm
------------
je te prépare un tuto pour la suite
à +
re
1.redémarre en mode sans échec (redéemarrage + tapote sans arrêt sur F8 (ou f5 suivant type ordi) dés que l'ordi s'allume)
3. affiche les fichiers cachés comme ceci :
clic sur démarrer/panno config/options des dossiers/affichage
Coche " afficher les dossiers cachés"
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Decoche " masquer les extentions dont le type est connu"
puis fais «Ok» pour valider les changements.
4 - hijac
fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O13 - DefaultPrefix:
O20 - Winlogon Notify: jkhfd - C:\WINNT\SYSTEM32\jkhfd.dll
5 - cherche
C:\WINNT\SYSTEM32\jkhfd.dll
et supprime le dossier "jkhfd.dll " - que le dossier !!
6- fais fonctionner ton antivirus+spybot+ad-aware+ewido+spycatcher+cleanup40, enfin tous tes outils de nettoyage
vide ttes les quarantaines
vide la poubelle
7 - reviens en mode normal et fais en sens inverse le paragraphe "3"
8 - refais un smitfraud avec rapports
9 - poste un hijac
1.redémarre en mode sans échec (redéemarrage + tapote sans arrêt sur F8 (ou f5 suivant type ordi) dés que l'ordi s'allume)
3. affiche les fichiers cachés comme ceci :
clic sur démarrer/panno config/options des dossiers/affichage
Coche " afficher les dossiers cachés"
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Decoche " masquer les extentions dont le type est connu"
puis fais «Ok» pour valider les changements.
4 - hijac
fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O13 - DefaultPrefix:
O20 - Winlogon Notify: jkhfd - C:\WINNT\SYSTEM32\jkhfd.dll
5 - cherche
C:\WINNT\SYSTEM32\jkhfd.dll
et supprime le dossier "jkhfd.dll " - que le dossier !!
6- fais fonctionner ton antivirus+spybot+ad-aware+ewido+spycatcher+cleanup40, enfin tous tes outils de nettoyage
vide ttes les quarantaines
vide la poubelle
7 - reviens en mode normal et fais en sens inverse le paragraphe "3"
8 - refais un smitfraud avec rapports
9 - poste un hijac
Re,
(Je venais poster en réponse à ton post 14 et je viens juste de voir ton post 13...j'étais trop pressé et j'avais pas relu le fil....désolé... et là je n'ai plus le temps pour ce soir de tout refaire, je referai tout dans l'ordre demain soir à partir de défrag et tout le reste).
Voici quand même les réponses à ton post n°14 :
***"O13 - DefaultPrefix " => impossible à fixer (je le fais mais elle ne disparait jamais)
***"C:\WINNT\SYSTEM32\jkhfd.dll
et supprime le dossier "jkhfd.dll " - que le dossier !! "
===> impossible, message :"Le fichier spécifié est utilisé par Windows"
***"fais fonctionner ton antivirus+spybot+ad-aware+ewido+spycatcher+cleanup40"
===> spybot détecte toujours le malware Azesearch (risque élévé) mais ne peut jamais le supprimer.
Emplacement :
Hkeylocalmachine\software\classes\ztoolbar.stockbar.1
Hkeylocalmachine\software\classes\ztoolbar.stockbar
Hkeylocalmachine\software\classes\ztoolbar.ParamWr.1
Hkeylocalmachine\software\classes\ztoolbar.ParamWr
Hkeylocalmachine\software\classes\ztoolbar.activator.1
Hkeylocalmachine\software\classes\ztoolbar.activator
A la connection j'ai encore eu les alertes Avast, ca donne ca :
C\documentsandsettings\administrateur\localsettings\temporaryinternetfiles\contentIE5\S5M7CPMR\drsmartload.exe
===> Avast recommande la quarantaine mais ne peut pas le faire, alors je clique sur supprimer et j'ai alors cette alerte virus:
C\drsmartload1.exe
===>idem, quarantaine impossible j'ai cliqué sur supprimer.
Ca se passe comme ca à chaque connexion internet.
De plus cette fois j'ai eu C\winnt\system32\IEXPLORE.exe
===>quarantaine puis suppression définitive et vidage corbeille.
Le rapport Smitfraud :
SmitFraudFix v2.10
Rapport fait à 21:05:40,71 le jeu. 05/01/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Log Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 21:06:15, on 05/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\soundman.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\jkhfd.dll (file missing)
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDLL (svchost32.dll)] rundll32.exe C:\WINNT\system32\svchost32.dll,start
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKLM\..\Run: [WinDLL (jbi32.dll)] rundll32.exe C:\WINNT\system32\jbi32.dll,start
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O13 - DefaultPrefix:
O20 - AppInit_DLLs: interceptor.dll
O20 - Winlogon Notify: jkhfd - jkhfd.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Program Files\Tiny Personal Firewall\persfw.exe
Les lignes 020 sont toujours là et se multiplient on dirait...
Voilà, encore désolé d'avoir lu trop vite ton dernier post et pas le précédent, demain soir j'aurai j'espère le temps de tout faire dans l'ordre.
Bonne soirée,
a+
PS : Je viens qd même de faire le scan BitDefender : Aucun virus trouvé.
(Je venais poster en réponse à ton post 14 et je viens juste de voir ton post 13...j'étais trop pressé et j'avais pas relu le fil....désolé... et là je n'ai plus le temps pour ce soir de tout refaire, je referai tout dans l'ordre demain soir à partir de défrag et tout le reste).
Voici quand même les réponses à ton post n°14 :
***"O13 - DefaultPrefix " => impossible à fixer (je le fais mais elle ne disparait jamais)
***"C:\WINNT\SYSTEM32\jkhfd.dll
et supprime le dossier "jkhfd.dll " - que le dossier !! "
===> impossible, message :"Le fichier spécifié est utilisé par Windows"
***"fais fonctionner ton antivirus+spybot+ad-aware+ewido+spycatcher+cleanup40"
===> spybot détecte toujours le malware Azesearch (risque élévé) mais ne peut jamais le supprimer.
Emplacement :
Hkeylocalmachine\software\classes\ztoolbar.stockbar.1
Hkeylocalmachine\software\classes\ztoolbar.stockbar
Hkeylocalmachine\software\classes\ztoolbar.ParamWr.1
Hkeylocalmachine\software\classes\ztoolbar.ParamWr
Hkeylocalmachine\software\classes\ztoolbar.activator.1
Hkeylocalmachine\software\classes\ztoolbar.activator
A la connection j'ai encore eu les alertes Avast, ca donne ca :
C\documentsandsettings\administrateur\localsettings\temporaryinternetfiles\contentIE5\S5M7CPMR\drsmartload.exe
===> Avast recommande la quarantaine mais ne peut pas le faire, alors je clique sur supprimer et j'ai alors cette alerte virus:
C\drsmartload1.exe
===>idem, quarantaine impossible j'ai cliqué sur supprimer.
Ca se passe comme ca à chaque connexion internet.
De plus cette fois j'ai eu C\winnt\system32\IEXPLORE.exe
===>quarantaine puis suppression définitive et vidage corbeille.
Le rapport Smitfraud :
SmitFraudFix v2.10
Rapport fait à 21:05:40,71 le jeu. 05/01/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Log Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 21:06:15, on 05/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\soundman.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\jkhfd.dll (file missing)
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDLL (svchost32.dll)] rundll32.exe C:\WINNT\system32\svchost32.dll,start
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKLM\..\Run: [WinDLL (jbi32.dll)] rundll32.exe C:\WINNT\system32\jbi32.dll,start
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O13 - DefaultPrefix:
O20 - AppInit_DLLs: interceptor.dll
O20 - Winlogon Notify: jkhfd - jkhfd.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Program Files\Tiny Personal Firewall\persfw.exe
Les lignes 020 sont toujours là et se multiplient on dirait...
Voilà, encore désolé d'avoir lu trop vite ton dernier post et pas le précédent, demain soir j'aurai j'espère le temps de tout faire dans l'ordre.
Bonne soirée,
a+
PS : Je viens qd même de faire le scan BitDefender : Aucun virus trouvé.
Bonsoir,
Telecharge ceci, on va prendre la relève de Arenjuez, qui apparament est absent ce soir ..
http://pageperso.aol.fr/balltrap34/lopxp.zip
Tu le decompresse et lance lopxp.
Colle le rapport ici.
A+
Telecharge ceci, on va prendre la relève de Arenjuez, qui apparament est absent ce soir ..
http://pageperso.aol.fr/balltrap34/lopxp.zip
Tu le decompresse et lance lopxp.
Colle le rapport ici.
A+
salut vous deux
en complément des autres, fixer aussi
O4 - HKLM\..\Run: [WinDLL (svchost32.dll)] rundll32.exe C:\WINNT\system32\svchost32.dll,start
O4 - HKLM\..\Run: [WinDLL (jbi32.dll)] rundll32.exe C:\WINNT\system32\jbi32.dll,start
et lancer l2mfix http://users.skynet.be/BernieClub/#l2mfix
a+
en complément des autres, fixer aussi
O4 - HKLM\..\Run: [WinDLL (svchost32.dll)] rundll32.exe C:\WINNT\system32\svchost32.dll,start
O4 - HKLM\..\Run: [WinDLL (jbi32.dll)] rundll32.exe C:\WINNT\system32\jbi32.dll,start
et lancer l2mfix http://users.skynet.be/BernieClub/#l2mfix
a+
Bonsoir,
Merci de prendre la relève :)
Je suis enfin arrivé à me reconnecter (j'avais message : "Erreur du programme : LSASS.exe a généré des erreurs...etc.." et je ne pouvais lancer aucun programme).
C'etait à chaque connection internet.
J'ai donc passé beaucoup de temps à essayer de nettoyer...
Je fais ce soir ce que vous me dites plus haut (posts 16 et 17) et je reviens.
a+
Merci de prendre la relève :)
Je suis enfin arrivé à me reconnecter (j'avais message : "Erreur du programme : LSASS.exe a généré des erreurs...etc.." et je ne pouvais lancer aucun programme).
C'etait à chaque connection internet.
J'ai donc passé beaucoup de temps à essayer de nettoyer...
Je fais ce soir ce que vous me dites plus haut (posts 16 et 17) et je reviens.
a+
