[Virus] Infecté par spy sheriff

Nick -  
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

je viens malheureusement de me récupérer Spy Sheriff et je suis en train de dérouler la procédure CCM pour l'éradiquer.
Voici le rapport SmitfraudFix :

SmitFraudFix v2.25

Rapport fait à 20:30:32,88 le 13/03/2006
Executé à partir de C:\Documents and Settings\Nick\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

C:\drsmartload1.exe PRESENT !
C:\secure32.html PRESENT !
C:\stub_113_4_0_4_0.exe PRESENT !
C:\winstall.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\country.exe PRESENT !
C:\WINDOWS\gimmygames.dat PRESENT !
C:\WINDOWS\kl1.exe PRESENT !
C:\WINDOWS\ms1.exe PRESENT !
C:\WINDOWS\secure32.html PRESENT !
C:\WINDOWS\teller2.chk PRESENT!
C:\WINDOWS\tool1.exe PRESENT !
C:\WINDOWS\tool2.exe PRESENT !
C:\WINDOWS\tool3.exe PRESENT !
C:\WINDOWS\tool4.exe PRESENT !
C:\WINDOWS\tool5.exe PRESENT !
C:\WINDOWS\toolbar.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\msupdate32.dll PRESENT !
C:\WINDOWS\system32\paytime.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Nick\Application Data

C:\Documents and Settings\Nick\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Merci d'avance pour votre aide ;o)

8 réponses

  1. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonsoir,

    Fais cette manipulation :

    - Redémarre le PC en mode "sans échec" : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".

    - Tu relances SmitfraudFix cette fois-ci en choisissant l'option 2 et tu réponds oui à tout.

    Colle le nouveau rapport ensuite.

    a+
    0
    1. Nick
       
      Merci pour ton aide !
      Ci-après le nouveau rapport :

      SmitFraudFix v2.25

      Rapport fait à 21:10:23,69 le 13/03/2006
      Executé à partir de C:\Documents and Settings\Nick\Bureau\SmitfraudFix\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Nick\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau



      »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

      [HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
      @="%SystemRoot%\system32\browseui.dll"

      [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
      @="%SystemRoot%\system32\browseui.dll"


      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

      [HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
      @="%SystemRoot%\system32\browseui.dll"

      [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
      @="%SystemRoot%\system32\browseui.dll"


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

      Voilà ! est-ce que c'est OK ?
      Merci d'avance.
      0
  2. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re-Bonsoir,

    Est-ce un hasard que tu aies choisit exactement le même titre de message que sur ce poste ? :

    http://www.commentcamarche.net/forum/affich-2144543-virus-infecte-par-spy-sheriff

    Si c'est bien Toi, reste sur ce poste stp. car ce sera plus simple pour t'aider :)

    Pour ton rapport SmitFraudFix, ça me semble OK.

    ++
    0
    1. Nick
       
      Non, ce n'est pas un hasard mais je ne suis pas la même personne !

      Je t'explique pourquoi : quand tu rédige un nouveau message dans le forum virus/sécurité, on te donne comme exemple de rédaction du sujet du message "[Virus] Infecté par spy sheriff"

      Forcément, j'ai trouvé que c'était idéal pour mon problème !! ;o)

      Sérieusement, j'ai vraiment besoin d'aide.

      Est-ce que le dernier rapport dit que tout est OK ?

      Merci.
      0
    2. Nick
       
      J'ai toujours des problèmes malgré le rapport SmitfraudFix OK.

      1) Mon antivirus (Trend) ne veut plus se lancer automatiquement au démarrage et quand je le lance manuellement il m'annonce qu'aucun dispositif de réseau n'a été trouvé ou qu'il existe un conflit avec lui.

      2) quand je lance Internet Explorer, la fenêtre s'ouvre et se referme après 1 seconde.

      Help please !

      Merci d'avance.
      0
  3. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Nick !

    en attendant Kris qui je salut au passage ;-)

    Telecharge ceci :

    http://www.infos-du-net.com/telecharger/HijackThis.html = lien

    http://pageperso.aol.fr/balltrap34/demohijack.htm = démo

    ( Merci à Balltrap )

    Choisis l'option "do a scan and a logfile", il va te générer un rapport, copie et colle sur le forum.

    @+
    0
    1. Nick
       
      Salut Green Day !

      Merci de participer à l'éradication ! Voilà le rapoort HiJackThis :

      Logfile of HijackThis v1.99.1
      Scan saved at 22:00:59, on 13/03/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      c:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\00THotkey.exe
      C:\WINDOWS\system32\TFNF5.exe
      C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
      C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      C:\Program Files\ltmoh\Ltmoh.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\WINDOWS\system32\TPSMain.exe
      C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
      C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\PROGRA~1\FICHIE~1\ikzf\ikzfm.exe
      C:\WINDOWS\system32\TPSBattM.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      C:\Documents and Settings\Nicolas Garrido\Bureau\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
      O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
      O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
      O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
      O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
      O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
      O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
      O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
      O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
      O4 - HKCU\..\Run: [ikzf] C:\PROGRA~1\FICHIE~1\ikzf\ikzfm.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{C0CE2D18-B460-40A9-800C-E80EFCE233BC}: NameServer = 212.27.53.252,212.27.54.252
      O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll
      O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documents\Settings\ur32mega.dll
      O21 - SSODL: ubtlbr - {C9B0A204-249C-4843-8973-BA8D6D6525EF} - ubtlbr.dll (file missing)
      O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

      Merci pour votre aide ;o)
      0
  4. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Merci green day :)

    Nicolas :

    J'ai toujours des problèmes malgré le rapport SmitfraudFix OK.

    Le problème de spy sheriff semble être reglé.

    On va s'occuper des autres problèmes...

    1/ Télécharge et scanne ton PC avec Ewido Security Suite : http://www.01net.com/telecharger/windows/Utilitaire/antivirus/fiches/31851.html
    Copie/colle le rapport sur le forum.

    2/
    Scanne ton PC avec cet antivirus en ligne :
    http://www.bitdefender.com/scan8/ie.html
    Clique sur "I Agree" et scanne tout le PC.
    Pense à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
    Copie/colle le rapport sur le forum.

    3/ Enfin, copie/colle un nouveau rapport HijackThis.

    ++
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Re !

    y pas de soucis :-)

    c'est moi : ou tu as deux antivirus ?!

    Relance HijackThis : choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

    F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

    O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
    O4 - HKCU\..\Run: [ikzf] C:\PROGRA~1\FICHIE~1\ikzf\ikzfm.exe

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab

    O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll
    O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documents\Settings\ur32mega.dll
    O21 - SSODL: ubtlbr - {C9B0A204-249C-4843-8973-BA8D6D6525EF} - ubtlbr.dll (file missing)

    ensuite : télécharge ceci et colle le rapport ici stp

    Ewido (gratuit) :
    http://www.ewido.net/fr/download/

    tuto : (merci à Moe) http://perso.wanadoo.fr/entraide-hijackthis/Ewido/

    @+
    0
  7. Nick
     
    Merci à vous 2 pour votre aide !
    Je réponds à tous les deux en un seul post.

    J'ai fait le ménage dans HiJackThis en fonction des clés identifiées.
    Le nouveau rapport est le suivant :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:50:32, on 13/03/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    c:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\00THotkey.exe
    C:\WINDOWS\system32\TFNF5.exe
    C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Program Files\ltmoh\Ltmoh.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\WINDOWS\system32\TPSMain.exe
    C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
    C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\Documents and Settings\Nicolas Garrido\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
    O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C0CE2D18-B460-40A9-800C-E80EFCE233BC}: NameServer = 212.27.53.252,212.27.54.252
    O20 - Winlogon Notify: ur32megareg - C:\Documents and Settings\All Users\Documents\Settings\ur32mega.dll
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

    J'ai également fait tourner ewido et là le gyrophare a tourné à plein régime. J'ai eu un problème avec un des fichiers détectés, il faudra peut-être que je recommence une fois. Voici le rapport :

    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 23:06:07, 13/03/2006
    + Somme de contrôle: D2A63CC9

    + Résultats du scan:

    [924] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Ignoré
    [240] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Nettoyer et sauvegarder
    [480] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [556] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [576] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [592] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [600] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [640] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [656] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [684] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [700] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [732] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [1344] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [1556] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [1744] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    [1872] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage
    C:\Documents and Settings\Nicolas Garrido\Mes documents\Programmes\Nouveau dossier\activate_crack.exe -> Downloader.Small.ckj : Nettoyer et sauvegarder
    C:\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : Nettoyer et sauvegarder
    C:\Program Files\Fichiers communs\ikzf\ikzfa.exe -> Downloader.TSUpdate.l : Nettoyer et sauvegarder
    C:\Program Files\Fichiers communs\ikzf\ikzfl.exe -> Downloader.TSUpdate.p : Nettoyer et sauvegarder
    C:\Program Files\Fichiers communs\ikzf\ikzfm.exe -> Downloader.TSUpdate.n : Nettoyer et sauvegarder
    C:\Program Files\Fichiers communs\ikzf\ikzfp.exe -> Downloader.TSUpdate.f : Nettoyer et sauvegarder
    C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll -> Logger.Small.dg : Nettoyer et sauvegarder
    C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe -> Logger.Small.dg : Nettoyer et sauvegarder
    C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Nettoyer et sauvegarder
    C:\Program Files\HyCam2\activate_crack.exe -> Downloader.Small.ckj : Nettoyer et sauvegarder
    C:\Program Files\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Nettoyer et sauvegarder
    C:\WINDOWS\Tmljb2xhcyBHYXJyaWRv\asappsrv.dll -> Adware.CommAd : Nettoyer et sauvegarder
    C:\WINDOWS\Tmljb2xhcyBHYXJyaWRv\command.exe -> Adware.CommAd : Nettoyer et sauvegarder

    ::Fin du rapport

    Pour ce qui est du scan en ligne BitDefender, ne pouvant lancer Internet Explorer...c'est pour le moment difficile.

    Concernant, les 2 antivirus, je m'étais déjà poseé la question mais n'étant pas un spécialiste... Normalement, il n'y a que Trend mais il se peut qu'il y ait un reste de Norton qui était installé à l'origine avec Windows. Du moins je crois, c'est mon portable pro !

    Merci encore.
    0
    1. Nick
       
      Etant donné que IE refonctionne, je vous colle le rapport BitDefender Online :

      BitDefender Online Scanner



      Scan report generated at: Mon, Mar 13, 2006 - 23:52:27





      Scan path: C:\;D:\;







      Statistics

      Time
      00:31:51

      Files
      411014

      Folders
      2994

      Boot Sectors
      2

      Archives
      7281

      Packed Files
      58425




      Results

      Identified Viruses
      3

      Infected Files
      3

      Suspect Files
      1

      Warnings
      0

      Disinfected
      0

      Deleted Files
      4




      Engines Info

      Virus Definitions
      313388

      Engine build
      AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

      Scan plugins
      13

      Archive plugins
      39

      Unpack plugins
      4

      E-mail plugins
      6

      System plugins
      1




      Scan Settings

      First Action
      Disinfect

      Second Action
      Delete

      Heuristics
      Yes

      Enable Warnings
      Yes

      Scanned Extensions
      *;

      Exclude Extensions


      Scan Emails
      Yes

      Scan Archives
      Yes

      Scan Packed
      Yes

      Scan Files
      Yes

      Scan Boot
      Yes




      Scanned File
      Status

      C:\mc-110-12-0000228.exe
      Infected with: Trojan.Downloader.Agent.FE

      C:\mc-110-12-0000228.exe
      Disinfection failed

      C:\mc-110-12-0000228.exe
      Deleted

      C:\Program Files\Trend Micro\Internet Security 12\Quarantine\39.tmp
      Infected with: Exploit.Win32.WMF-PFV.C

      C:\Program Files\Trend Micro\Internet Security 12\Quarantine\39.tmp
      Disinfection failed

      C:\Program Files\Trend Micro\Internet Security 12\Quarantine\39.tmp
      Deleted

      C:\WINDOWS\hosts
      Infected with: Trojan.Qhosts.HE

      C:\WINDOWS\hosts
      Deleted

      C:\WINDOWS\system32\ssldr32.dll
      Suspected of: Generic.Malware.Fdld.D327ECAF

      C:\WINDOWS\system32\ssldr32.dll
      Disinfection failed

      C:\WINDOWS\system32\ssldr32.dll
      Deleted


      Que fais-je maintenant ?
      Merci encore et bonne nuit si je ne vous lis pas d'ici là.
      0
  8. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Re !

    ah, ben c'est une donne nouvelle ça !

    ce que tu peux faire déjà c'est vider ta quarantaine ...

    pour ma part je verrai ça demain, moi ==> Dodo lol !

    @+

    ;-)
    0
    1. Nick
       
      Bonne nuit et à demain !
      ;o)
      0
    2. Nick
       
      Bonjour,

      peut-on reprendre ?
      J'ai toujours mone problème avec l'antivirus/Firewall TREND qui cherche à s'initialiser au démarrage et qui abandonne (icône qui disparaît dans le systray).
      Si je cherche à le lancer manuellement, il m'affiche le message suivant : "Aucun dispositif de réseau n'a été trouvé ou conflit existe avec le logiciel antivirus ou de sécurité existant..." puis quand je fais OK : "Impossible de lire la configuration. Redémarrez votre ordinateur et réessayez. (hr=0x80070424, loc=7413, num=234)"

      Quelqu'un a une idée ?
      0
  9. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut !

    Télécharger l2mfix.exe sur http://www.downloads.subratam.org/l2mfix.exe

    [Phase 1]
    - Quitter le net, le navigateur, et toutes autres fenêtres d'applications ;
    - Dézipper l2mfix.exe sur le bureau ;
    - Dans le dossier du programme, double-cliquer sur l2mfix.bat ;
    - Choisir OPTION 1 (Run find log) et valider par la touche [Entrée] ;
    => Un rapport sera généré dans le Bloc-notes, se reconnecter pour le poster au forum.

    @+
    0