[lsass] enchainement de problemes
Kayacrew
Messages postés
16
Statut
Membre
-
cibrane -
cibrane -
Bonsoir à tous, depuis mardi soir, il s'est passé plusieurs choses mais jene sais pas si elles sont liées
Je suis abonnée ALICE SUPER et j'ai un routeur NETGEAR DG824M
Mardi soir, je n'arrive plus à accéder à internet alors que les diodes de mon routeur sont bien allumées. Apres plusieurs manips, je suis allée récupérer aujourd'hui mon vieux modem sagem Fast 800 de wanadoo et après installation, internet remarche ! (je pense donc avoir un probleme avec mon routeur)
BREF pile au moment où internet remarche, j'ai une alerte de Kaspersky me disant que l'attaque intrusion.WIn.lsass.exploit suivie d'une adresse du genre 83.***** (qui change selon le message) toutes les 5 secondes !!! Ce qui est très chiant
Apparemment mon ordinateur n'est pas infecté et pour l'instant j'ai fait desactivé l'alerte
Mais je voudrais etre sure qu'il n'y a pas un probleme de fond, et aussi savoir si cette attaque pourrait avoir un lien quelconque avec le fait que je n'ai plus eu internet depuis mardi soir
Je poste un log hijack this
Logfile of HijackThis v1.99.1
Scan saved at 19:50:04, on 02/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Antipub\antipub.exe
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\kayacrew\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=14491119216802
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=092224127001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL
O2 - BHO: EMES X Class - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\ipinsigt.dll
O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\mpz300.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: GSIM - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - C:\WINDOWS\gsim.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: NetPal Class - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\System32\NetPal.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.netpaloffers.net/NetpalOffers/DMO1/emCraft1.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/064dac5f81262daaf305/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127019684958
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/eng/oneclick/uninstbb.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68172159-0445-495F-B1F2-D2AD0136F662}: NameServer = 82.142.1.211 82.142.0.52
O18 - Protocol: ayb - (no CLSID) - (no file)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci de votre aide !
Je suis abonnée ALICE SUPER et j'ai un routeur NETGEAR DG824M
Mardi soir, je n'arrive plus à accéder à internet alors que les diodes de mon routeur sont bien allumées. Apres plusieurs manips, je suis allée récupérer aujourd'hui mon vieux modem sagem Fast 800 de wanadoo et après installation, internet remarche ! (je pense donc avoir un probleme avec mon routeur)
BREF pile au moment où internet remarche, j'ai une alerte de Kaspersky me disant que l'attaque intrusion.WIn.lsass.exploit suivie d'une adresse du genre 83.***** (qui change selon le message) toutes les 5 secondes !!! Ce qui est très chiant
Apparemment mon ordinateur n'est pas infecté et pour l'instant j'ai fait desactivé l'alerte
Mais je voudrais etre sure qu'il n'y a pas un probleme de fond, et aussi savoir si cette attaque pourrait avoir un lien quelconque avec le fait que je n'ai plus eu internet depuis mardi soir
Je poste un log hijack this
Logfile of HijackThis v1.99.1
Scan saved at 19:50:04, on 02/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Antipub\antipub.exe
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\kayacrew\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=14491119216802
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=092224127001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL
O2 - BHO: EMES X Class - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\ipinsigt.dll
O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\mpz300.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: GSIM - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - C:\WINDOWS\gsim.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: NetPal Class - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\System32\NetPal.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.netpaloffers.net/NetpalOffers/DMO1/emCraft1.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/064dac5f81262daaf305/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127019684958
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/eng/oneclick/uninstbb.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68172159-0445-495F-B1F2-D2AD0136F662}: NameServer = 82.142.1.211 82.142.0.52
O18 - Protocol: ayb - (no CLSID) - (no file)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci de votre aide !
A voir également:
- [lsass] enchainement de problemes
- Logiciel enchainement musique automatique gratuit - Télécharger - DJ & Karaoké
- Lsass - Forum Virus
- Lsass exe - Forum Virus
- Virus ?! - Forum Virus
- Problème de virus ✓ - Forum Virus
12 réponses
bjr
à l'issue du traitement il te fadra mettre IE à jour via WindowsUpdate - ta version 6.00.2600.0000 est obsoléte et contient certainement des failles
belle infection
fixe les lignes
(http://pageperso.aol.fr/balltrap34/demohijack.htm)
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.netpaloffers.net/NetpalOffers/DMO1/emCraft1.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/064dac5f81262daaf305/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127019684958
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/eng/oneclick/uninstbb.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
+
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=14491119216802
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=092224127001
+
O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL
O2 - BHO: EMES X Class - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\ipinsigt.dll
O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\mpz300.dll (file missing)
O2 - BHO: GSIM - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - C:\WINDOWS\gsim.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: NetPal Class - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\System32\NetPal.dll (file missing)
+
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
+
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
+
O18 - Protocol: ayb - (no CLSID) - (no file)
remets un hijackde controle
à l'issue du traitement il te fadra mettre IE à jour via WindowsUpdate - ta version 6.00.2600.0000 est obsoléte et contient certainement des failles
belle infection
fixe les lignes
(http://pageperso.aol.fr/balltrap34/demohijack.htm)
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.netpaloffers.net/NetpalOffers/DMO1/emCraft1.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/064dac5f81262daaf305/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127019684958
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/eng/oneclick/uninstbb.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
+
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=14491119216802
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=092224127001
+
O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL
O2 - BHO: EMES X Class - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\ipinsigt.dll
O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\mpz300.dll (file missing)
O2 - BHO: GSIM - {4E7BD74F-2B8D-469E-DFF7-EC6BF4D5FA7D} - C:\WINDOWS\gsim.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: NetPal Class - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\System32\NetPal.dll (file missing)
+
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
+
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
+
O18 - Protocol: ayb - (no CLSID) - (no file)
remets un hijackde controle
Bonjour !
Merci de ta réponse
J'ai fixé toutes les lignes et j'ai mis à jour mon PC avec certains correctifs windows mais windows update ne m'a pas proposée de nouvelle version d'IE
MAlheureusement, le message de l'attaque lsass.exploit est encore apparu !!!! Donc leproblème n'est pas reglé !!!!!!!!
Mon nouveau log hijack this
Logfile of HijackThis v1.99.1
Scan saved at 09:08:20, on 03/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\kayacrew\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141371313593
O17 - HKLM\System\CCS\Services\Tcpip\..\{68172159-0445-495F-B1F2-D2AD0136F662}: NameServer = 82.142.1.211 82.142.0.52
O18 - Protocol: ayb - (no CLSID) - (no file)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci encore !
Merci de ta réponse
J'ai fixé toutes les lignes et j'ai mis à jour mon PC avec certains correctifs windows mais windows update ne m'a pas proposée de nouvelle version d'IE
MAlheureusement, le message de l'attaque lsass.exploit est encore apparu !!!! Donc leproblème n'est pas reglé !!!!!!!!
Mon nouveau log hijack this
Logfile of HijackThis v1.99.1
Scan saved at 09:08:20, on 03/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\kayacrew\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141371313593
O17 - HKLM\System\CCS\Services\Tcpip\..\{68172159-0445-495F-B1F2-D2AD0136F662}: NameServer = 82.142.1.211 82.142.0.52
O18 - Protocol: ayb - (no CLSID) - (no file)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci encore !
bjr
fixe ceci
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141371313593
+
O18 - Protocol: ayb - (no CLSID) - (no file)
=======
élécharge lopxp ici:
http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)
2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici
A+
fixe ceci
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141371313593
+
O18 - Protocol: ayb - (no CLSID) - (no file)
=======
élécharge lopxp ici:
http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)
2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici
A+
Ca y est c'est fait !
Tout à l'heure en relancant mon PC, ce n'est plus la meme attaue qui a été repoussée mais je me souviens plus du nom qui a remplacé lsass (peut etre mdom)
voici le copier coller du bloc note
Rapport fait à 20:27:20,20 le 03/03/2006
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\Default User\Application Data
25/11/2002 18:25 62 desktop.ini
25/11/2002 18:24 <REP> Microsoft
25/11/2002 18:24 <REP> ..
25/11/2002 18:24 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\All Users\Application Data
18/09/2005 12:03 1755 QTSBandwidthCache
18/09/2005 12:02 <REP> Apple Computer
17/02/2005 18:43 <REP> Kaspersky Anti-Virus Personal
26/12/2003 19:57 <REP> Adobe
25/11/2002 18:25 62 desktop.ini
25/11/2002 18:24 <REP> Microsoft
25/11/2002 18:24 <REP> ..
25/11/2002 18:24 <REP> .
2 fichier(s) 1817 octets
6 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\kayacrew\Application Data
02/03/2006 13:24 <REP> OLYMPUS
04/06/2004 13:16 <REP> ArcSoft
03/06/2004 12:27 9437238 ZBWallpaper.bmp
29/05/2004 21:09 284 ViewerApp.dat
14/02/2004 19:43 <REP> Ahead
01/02/2004 12:55 <REP> Leadertech
27/12/2003 11:22 <REP> AdobeUM
27/12/2003 11:22 <REP> Adobe
09/11/2003 19:34 <REP> Macromedia
01/11/2003 14:46 <REP> Kazaa Lite
27/09/2003 15:36 <REP> Lycos
29/08/2003 15:45 <REP> Real
11/02/2003 09:27 33512 GDIPFONTCACHEV1.DAT
10/12/2002 20:47 <REP> Help
25/11/2002 19:00 <REP> Identities
25/11/2002 19:00 62 desktop.ini
25/11/2002 19:00 <REP> ..
25/11/2002 19:00 <REP> .
25/11/2002 19:00 <REP> Microsoft
4 fichier(s) 9471096 octets
15 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\catcha\Application Data
03/03/2006 11:09 <REP> OLYMPUS
19/09/2005 19:21 <REP> Mozilla
18/09/2005 12:03 <REP> Apple Computer
18/09/2005 11:55 <REP> Sun
07/09/2004 19:02 <REP> Jasc Software Inc
07/09/2004 10:51 <REP> Yahoo! Messenger
06/07/2004 14:26 <REP> Ahead
30/05/2004 12:25 <REP> Macromedia
19/02/2004 18:30 <REP> AdobeUM
03/02/2004 18:20 <REP> Leadertech
03/02/2004 18:20 <REP> Adobe
27/10/2003 09:14 <REP> Help
26/09/2003 10:02 <REP> Lycos
30/08/2003 09:22 <REP> Real
28/04/2003 15:38 0 dm.ini
25/02/2003 10:49 6917 aybwarn.htm
25/11/2002 20:41 <REP> Identities
25/11/2002 20:41 62 desktop.ini
25/11/2002 20:41 <REP> ..
25/11/2002 20:41 <REP> .
25/11/2002 20:41 <REP> Microsoft
3 fichier(s) 6979 octets
18 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\Administrateur\Application Data
09/02/2003 14:15 62 desktop.ini
09/02/2003 14:15 <REP> Microsoft
09/02/2003 14:15 <REP> ..
09/02/2003 14:15 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\Julien\Application Data
28/10/2005 18:59 <REP> Mozilla
24/08/2004 19:12 <REP> AdobeUM
24/08/2004 19:11 <REP> Adobe
21/08/2004 11:12 <REP> Macromedia
12/10/2003 13:58 <REP> Lycos
12/10/2003 13:54 <REP> Real
09/02/2003 14:18 <REP> Identities
09/02/2003 14:17 62 desktop.ini
09/02/2003 14:17 <REP> ..
09/02/2003 14:17 <REP> .
09/02/2003 14:17 <REP> Microsoft
1 fichier(s) 62 octets
10 R‚p(s) 18112397312 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\WINDOWS\Tasks
20/01/2004 13:13 6 SA.DAT
25/11/2002 18:51 65 desktop.ini
25/11/2002 18:51 <REP> ..
25/11/2002 18:51 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 18ÿ112ÿ397ÿ312 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas
*************** Fin du rapport ****************
Tout à l'heure en relancant mon PC, ce n'est plus la meme attaue qui a été repoussée mais je me souviens plus du nom qui a remplacé lsass (peut etre mdom)
voici le copier coller du bloc note
Rapport fait à 20:27:20,20 le 03/03/2006
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\Default User\Application Data
25/11/2002 18:25 62 desktop.ini
25/11/2002 18:24 <REP> Microsoft
25/11/2002 18:24 <REP> ..
25/11/2002 18:24 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\All Users\Application Data
18/09/2005 12:03 1755 QTSBandwidthCache
18/09/2005 12:02 <REP> Apple Computer
17/02/2005 18:43 <REP> Kaspersky Anti-Virus Personal
26/12/2003 19:57 <REP> Adobe
25/11/2002 18:25 62 desktop.ini
25/11/2002 18:24 <REP> Microsoft
25/11/2002 18:24 <REP> ..
25/11/2002 18:24 <REP> .
2 fichier(s) 1817 octets
6 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\kayacrew\Application Data
02/03/2006 13:24 <REP> OLYMPUS
04/06/2004 13:16 <REP> ArcSoft
03/06/2004 12:27 9437238 ZBWallpaper.bmp
29/05/2004 21:09 284 ViewerApp.dat
14/02/2004 19:43 <REP> Ahead
01/02/2004 12:55 <REP> Leadertech
27/12/2003 11:22 <REP> AdobeUM
27/12/2003 11:22 <REP> Adobe
09/11/2003 19:34 <REP> Macromedia
01/11/2003 14:46 <REP> Kazaa Lite
27/09/2003 15:36 <REP> Lycos
29/08/2003 15:45 <REP> Real
11/02/2003 09:27 33512 GDIPFONTCACHEV1.DAT
10/12/2002 20:47 <REP> Help
25/11/2002 19:00 <REP> Identities
25/11/2002 19:00 62 desktop.ini
25/11/2002 19:00 <REP> ..
25/11/2002 19:00 <REP> .
25/11/2002 19:00 <REP> Microsoft
4 fichier(s) 9471096 octets
15 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\catcha\Application Data
03/03/2006 11:09 <REP> OLYMPUS
19/09/2005 19:21 <REP> Mozilla
18/09/2005 12:03 <REP> Apple Computer
18/09/2005 11:55 <REP> Sun
07/09/2004 19:02 <REP> Jasc Software Inc
07/09/2004 10:51 <REP> Yahoo! Messenger
06/07/2004 14:26 <REP> Ahead
30/05/2004 12:25 <REP> Macromedia
19/02/2004 18:30 <REP> AdobeUM
03/02/2004 18:20 <REP> Leadertech
03/02/2004 18:20 <REP> Adobe
27/10/2003 09:14 <REP> Help
26/09/2003 10:02 <REP> Lycos
30/08/2003 09:22 <REP> Real
28/04/2003 15:38 0 dm.ini
25/02/2003 10:49 6917 aybwarn.htm
25/11/2002 20:41 <REP> Identities
25/11/2002 20:41 62 desktop.ini
25/11/2002 20:41 <REP> ..
25/11/2002 20:41 <REP> .
25/11/2002 20:41 <REP> Microsoft
3 fichier(s) 6979 octets
18 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\Administrateur\Application Data
09/02/2003 14:15 62 desktop.ini
09/02/2003 14:15 <REP> Microsoft
09/02/2003 14:15 <REP> ..
09/02/2003 14:15 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 18112397312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\Documents and Settings\Julien\Application Data
28/10/2005 18:59 <REP> Mozilla
24/08/2004 19:12 <REP> AdobeUM
24/08/2004 19:11 <REP> Adobe
21/08/2004 11:12 <REP> Macromedia
12/10/2003 13:58 <REP> Lycos
12/10/2003 13:54 <REP> Real
09/02/2003 14:18 <REP> Identities
09/02/2003 14:17 62 desktop.ini
09/02/2003 14:17 <REP> ..
09/02/2003 14:17 <REP> .
09/02/2003 14:17 <REP> Microsoft
1 fichier(s) 62 octets
10 R‚p(s) 18112397312 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 3828-431C
R‚pertoire de C:\WINDOWS\Tasks
20/01/2004 13:13 6 SA.DAT
25/11/2002 18:51 65 desktop.ini
25/11/2002 18:51 <REP> ..
25/11/2002 18:51 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 18ÿ112ÿ397ÿ312 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas
*************** Fin du rapport ****************
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bsr
les attaques sont lots quotidiens , rien d'anormal en cela
pn continue à nettoyer ton pc
télécharge, instal, scan avec
ewido (dowload)
http://www.ewido.net/fr/download/
COLLE moi le rapport entier
scan online sous IE, accepte activX
http://www.bitdefender.fr/bd/site/search.php#
COLLE moi rapport entier
bon courage
les attaques sont lots quotidiens , rien d'anormal en cela
pn continue à nettoyer ton pc
télécharge, instal, scan avec
ewido (dowload)
http://www.ewido.net/fr/download/
COLLE moi le rapport entier
scan online sous IE, accepte activX
http://www.bitdefender.fr/bd/site/search.php#
COLLE moi rapport entier
bon courage
Bonjour,
j'ai fait le scan ewido mais en deux fois parce que j'avais pas le temps, je te copie colle le deuxieme rapport
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 09:21:13, 07/03/2006
+ Somme de contrôle: 3BD802ED
+ Résultats du scan:
HKU\S-1-5-21-1957994488-507921405-1343024091-1003\Software\180solutions -> Adware.180Solutions : Nettoyer et sauvegarder
HKU\S-1-5-21-1957994488-507921405-1343024091-1003\Software\Cydoor -> Adware.Cydoor : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Local Settings\Temp\MSView.cab/MSVprep.exe -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Local Settings\Temp\gsim.cab/gsim.dll -> Adware.404Search : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Local Settings\Temp\twaintec.cab/preInsTT.exe -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Local Settings\Temp\bi.cab/bi.dll -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Local Settings\Temp\SahUpdate\realtimeSetup.cab/WEBInstaller.dll -> Adware.Sahat : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Cookies\kayacrew@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@estat[2].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\catcha\Local Settings\Temp\MSView.cab/MSVprep.exe -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\catcha\Local Settings\Temp\biC.cab/bi.dll -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\catcha\Local Settings\Temp\biC.cab/biprep.exe -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\catcha\Cookies\catcha@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\catcha\Cookies\catcha@advertising[2].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder
C:\Documents and Settings\catcha\Cookies\catcha@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\catcha\Cookies\catcha@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\Program Files\ClearSearch\CSIEINST.DLL -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\Program Files\ClearSearch\CSSSINST.DLL -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\Program Files\ClearSearch\CSBIINST.DLL -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP113\A0059569.DLL -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP113\A0059571.DLL -> Adware.IPInsight : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP113\A0059572.DLL -> Adware.404Search : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059942.exe -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059943.dll -> Adware.BargainBuddy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059944.dll -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059945.exe -> Adware.EZula : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059946.exe -> Adware.EZula : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059947.exe -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059948.exe -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059949.dll -> Adware.BargainBuddy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059950.dll -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059951.dll -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059952.exe -> Adware.F1Organizer : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059953.dll -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059954.exe -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059955.DLL -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059956.DLL -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059957.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059958.exe -> Adware.BiSpy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059959.exe -> Adware.BiSpy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059960.dll -> Adware.404Search : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059961.exe -> Adware.BiSpy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059962.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059963.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059964.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059965.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059966.exe -> Adware.BiSpy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059967.dll -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059968.dll -> Adware.IPInsight : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059969.dll -> Adware.404Search : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059970.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059971.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059972.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059973.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059974.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\FOUND.011\FILE0000.CHK -> Trojan.NoClose.i : Nettoyer et sauvegarder
::Fin du rapport
Dans le premier rapport il avait, à 30% environ, déjà trouvé plus de mille infections
Je n'ai pas pu faire le scn Bitdefender car message d'erreur alors que je me connecte bien en tant qu'administrateur et que j'ai bien mis la sécurité d'IE à moyenne
Et j'ai voule fixer la ligne O18 comme tu m'as dit mais elle n'apparait plus !
j'ai fait le scan ewido mais en deux fois parce que j'avais pas le temps, je te copie colle le deuxieme rapport
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 09:21:13, 07/03/2006
+ Somme de contrôle: 3BD802ED
+ Résultats du scan:
HKU\S-1-5-21-1957994488-507921405-1343024091-1003\Software\180solutions -> Adware.180Solutions : Nettoyer et sauvegarder
HKU\S-1-5-21-1957994488-507921405-1343024091-1003\Software\Cydoor -> Adware.Cydoor : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Local Settings\Temp\MSView.cab/MSVprep.exe -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Local Settings\Temp\gsim.cab/gsim.dll -> Adware.404Search : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Local Settings\Temp\twaintec.cab/preInsTT.exe -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Local Settings\Temp\bi.cab/bi.dll -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Local Settings\Temp\SahUpdate\realtimeSetup.cab/WEBInstaller.dll -> Adware.Sahat : Erreur durant le nettoyage
C:\Documents and Settings\kayacrew\Cookies\kayacrew@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\kayacrew\Cookies\kayacrew@estat[2].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\catcha\Local Settings\Temp\MSView.cab/MSVprep.exe -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\catcha\Local Settings\Temp\biC.cab/bi.dll -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\catcha\Local Settings\Temp\biC.cab/biprep.exe -> Adware.BiSpy : Erreur durant le nettoyage
C:\Documents and Settings\catcha\Cookies\catcha@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\catcha\Cookies\catcha@advertising[2].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder
C:\Documents and Settings\catcha\Cookies\catcha@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\catcha\Cookies\catcha@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\Program Files\ClearSearch\CSIEINST.DLL -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\Program Files\ClearSearch\CSSSINST.DLL -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\Program Files\ClearSearch\CSBIINST.DLL -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP113\A0059569.DLL -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP113\A0059571.DLL -> Adware.IPInsight : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP113\A0059572.DLL -> Adware.404Search : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059942.exe -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059943.dll -> Adware.BargainBuddy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059944.dll -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059945.exe -> Adware.EZula : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059946.exe -> Adware.EZula : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059947.exe -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059948.exe -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059949.dll -> Adware.BargainBuddy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059950.dll -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059951.dll -> Adware.Sahat : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059952.exe -> Adware.F1Organizer : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059953.dll -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059954.exe -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059955.DLL -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059956.DLL -> Adware.IGetNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059957.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059958.exe -> Adware.BiSpy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059959.exe -> Adware.BiSpy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059960.dll -> Adware.404Search : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059961.exe -> Adware.BiSpy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059962.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059963.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059964.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059965.exe -> Adware.NewDotNet : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059966.exe -> Adware.BiSpy : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059967.dll -> Adware.ClearSearch : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059968.dll -> Adware.IPInsight : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059969.dll -> Adware.404Search : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059970.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059971.exe -> Adware.Gator : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059972.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059973.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP118\A0059974.dll -> Adware.Gator : Nettoyer et sauvegarder
C:\FOUND.011\FILE0000.CHK -> Trojan.NoClose.i : Nettoyer et sauvegarder
::Fin du rapport
Dans le premier rapport il avait, à 30% environ, déjà trouvé plus de mille infections
Je n'ai pas pu faire le scn Bitdefender car message d'erreur alors que je me connecte bien en tant qu'administrateur et que j'ai bien mis la sécurité d'IE à moyenne
Et j'ai voule fixer la ligne O18 comme tu m'as dit mais elle n'apparait plus !
hello
1000 infections !! eheh world record !
faudrait apprendre à se servir du net
ne pas traîner n importe où.... eheh
bon , bref
je lis ceci ds ewido, entre autres
"C:\Documents and Settings\kayacrew\Local Settings\Temp\bi.cab/bi.dll -> Adware.BiSpy : Erreur durant le nettoyage "
pour pallier ce blem tu nettoies avec
- et cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
http://pageperso.aol.fr/balltrap34/democleanup.htm
¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
à moins que tu ne saches le faire manuellement
concernant bit
si tu n arrives pas
essaie avec panda & kapresky pris ds ce lien (à conserver ds tes favo pour l avenir)
http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
bon courage
1000 infections !! eheh world record !
faudrait apprendre à se servir du net
ne pas traîner n importe où.... eheh
bon , bref
je lis ceci ds ewido, entre autres
"C:\Documents and Settings\kayacrew\Local Settings\Temp\bi.cab/bi.dll -> Adware.BiSpy : Erreur durant le nettoyage "
pour pallier ce blem tu nettoies avec
- et cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
http://pageperso.aol.fr/balltrap34/democleanup.htm
¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
à moins que tu ne saches le faire manuellement
concernant bit
si tu n arrives pas
essaie avec panda & kapresky pris ds ce lien (à conserver ds tes favo pour l avenir)
http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
bon courage
LoL je ne savais pas que j'avais atteint un tel record !
Sinon ce n'est pas mon PC, c'est celui de ma mère, je ne sais pas ce qu'elle y fait....
Bon j'ai fait un petit cleanup et finalement j'ai réussi à faire le scan Bitdefender, voici le rapport
Scanned File
Status
C:\WINDOWS\system32\WebInstall.exe
Suspected of: Generic.Malware.Sdld.E23C91C2
C:\WINDOWS\system32\WebInstall.exe
Disinfection failed
C:\WINDOWS\system32\WebInstall.exe
Deleted
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP119\A0060486.exe
Suspected of: Generic.Malware.Sdld.E23C91C2
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP119\A0060486.exe
Disinfection failed
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP119\A0060486.exe
Deleted
il a bien supprimé les deux trucs
Apparemment le message d'attaque lsass ne s'affiche plus mais c'est à confirmer
Je poste un log hijackthis pour la forme :)
Logfile of HijackThis v1.99.1
Scan saved at 18:18:09, on 07/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\WINDOWS\System32\lexpps.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\kayacrew\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.fr/fr/fr/importer/MypixUploader.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci beaucoup pour l'aide apportée !
Sinon ce n'est pas mon PC, c'est celui de ma mère, je ne sais pas ce qu'elle y fait....
Bon j'ai fait un petit cleanup et finalement j'ai réussi à faire le scan Bitdefender, voici le rapport
Scanned File
Status
C:\WINDOWS\system32\WebInstall.exe
Suspected of: Generic.Malware.Sdld.E23C91C2
C:\WINDOWS\system32\WebInstall.exe
Disinfection failed
C:\WINDOWS\system32\WebInstall.exe
Deleted
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP119\A0060486.exe
Suspected of: Generic.Malware.Sdld.E23C91C2
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP119\A0060486.exe
Disinfection failed
C:\System Volume Information\_restore{B6142C7C-DCB6-414B-AF01-9EB4FE1FAD7D}\RP119\A0060486.exe
Deleted
il a bien supprimé les deux trucs
Apparemment le message d'attaque lsass ne s'affiche plus mais c'est à confirmer
Je poste un log hijackthis pour la forme :)
Logfile of HijackThis v1.99.1
Scan saved at 18:18:09, on 07/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\WINDOWS\System32\lexpps.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\kayacrew\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.fr/fr/fr/importer/MypixUploader.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci beaucoup pour l'aide apportée !
hello
1/ _ fixe ceci
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.fr/fr/fr/importer/MypixUploader.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
+
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install - inutile au run!
2/ _ faire màj WindowsUpdate + défragmentation
3/ _ pas de pare-feu visible ??
en voilà un , trés bon et gratuit
http://www.clubic.com/telecharger-fiche11071-kerio-personal-firewall.html
lire son tuto
http://www.pcentraide.com/index.php?showtopic=110
4/ _ faire nettoyage complémentaire avec
===A/ regcleaner ( nettoyeur de registre) http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
son tuto à lire
http://www.softastuces.com/tuto/maint/regcleaner/index.php
===B/ _ - et cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
http://pageperso.aol.fr/balltrap34/democleanup.htm
¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
5/ log clean aprés cela
1/ _ fixe ceci
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.fr/fr/fr/importer/MypixUploader.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
+
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install - inutile au run!
2/ _ faire màj WindowsUpdate + défragmentation
3/ _ pas de pare-feu visible ??
en voilà un , trés bon et gratuit
http://www.clubic.com/telecharger-fiche11071-kerio-personal-firewall.html
lire son tuto
http://www.pcentraide.com/index.php?showtopic=110
4/ _ faire nettoyage complémentaire avec
===A/ regcleaner ( nettoyeur de registre) http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
son tuto à lire
http://www.softastuces.com/tuto/maint/regcleaner/index.php
===B/ _ - et cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
http://pageperso.aol.fr/balltrap34/democleanup.htm
¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
5/ log clean aprés cela
salut tlm j'ai un problmes de ce genre
apres avoir naviguéé sur le web j'ai eu ce message "Intrusion.Win.LSASS.exploit" qui a ete bloquéé par kasper j
j'ai analyséé mon pc tout va bien
le problem c que mon claviéé ne repend plus
et foctionne vraiment tout a l'env"re
pouvait vous m'aider s'il vous plais
apres avoir naviguéé sur le web j'ai eu ce message "Intrusion.Win.LSASS.exploit" qui a ete bloquéé par kasper j
j'ai analyséé mon pc tout va bien
le problem c que mon claviéé ne repend plus
et foctionne vraiment tout a l'env"re
pouvait vous m'aider s'il vous plais
