[Cheval de Troie] Infecté par Trojan-Download

pmlgeek Messages postés 27 Statut Membre -  
 paul63 -
Bonjour je suis infecté par un Trojan dont je ne sais comment me débarasser! Il s'agit de:
Trojan-Downloader.Win32.Zlob.sj
ou
Trojan-Downloader.Win32.Zlob.uh
et encore d'autres pour les 2 dernières lettres.
Voici mon rapport Smitfraudfix:
SmitFraudFix v2.63

Rapport fait à 10:23:47,10, 21/06/2006
Executé à partir de C:\Documents and Settings\Pierre-Marc.DELLMAISON\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIERRE~2.DEL\Favoris

C:\DOCUME~1\PIERRE~2.DEL\Favoris\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"

[HKEY_CLASSES_ROOT\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32]
@="C:\WINDOWS\system32\guxxa.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32]
@="C:\WINDOWS\system32\guxxa.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci de votre aide

15 réponses

  1. pmlgeek Messages postés 27 Statut Membre
     
    je viens d'en avoir un nouveau: C:\WINDOWS\system32\1024\ld8126.tmp\[Upack] nom du logiciel malveillant: Win32:Zlob-BN [Trj]
    0
  2. pmlgeek Messages postés 27 Statut Membre
     
    Pour l'instant je n'ai pas eu de création de nouveau fichiers infectés, ou alors Avast ne les a pas vu!!!
    Si cela se reproduit je te ferais signe en attendant, merci beaucoup de ton aide.
    0
  3. pmlgeek Messages postés 27 Statut Membre
     
    Tu avais grandement raison de te méfier!!! voici le rapport de Ewido:
    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 17:42:36, 21/06/2006
    + Somme de contrôle: 9352FE9E

    + Résultats du scan:

    C:\Documents and Settings\Paul\Cookies\paul@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
    C:\Documents and Settings\Paul\Cookies\paul@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
    :mozilla.15:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
    :mozilla.16:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
    :mozilla.29:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
    :mozilla.30:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
    :mozilla.31:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
    :mozilla.32:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
    :mozilla.33:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
    :mozilla.34:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
    :mozilla.42:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
    :mozilla.43:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
    :mozilla.44:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
    :mozilla.45:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
    :mozilla.47:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
    :mozilla.48:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
    :mozilla.49:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
    :mozilla.64:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
    :mozilla.66:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.67:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.68:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.69:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder
    :mozilla.70:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder
    :mozilla.71:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder
    :mozilla.89:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
    :mozilla.90:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
    :mozilla.91:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
    :mozilla.92:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
    :mozilla.97:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
    :mozilla.108:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Overture : Nettoyer et sauvegarder
    :mozilla.109:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Overture : Nettoyer et sauvegarder
    :mozilla.114:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Hotlog : Nettoyer et sauvegarder
    :mozilla.115:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder
    :mozilla.116:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Spylog : Nettoyer et sauvegarder
    :mozilla.127:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
    :mozilla.128:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
    :mozilla.136:C:\Documents and Settings\Pierre-Marc.DELLMAISON\Application Data\Mozilla\Firefox\Profiles\cwvpaan4.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Cookies\pierre@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
    C:\Documents and Settings\Pierre.DELLMAISON\Local Settings\Temporary Internet Files\Content.IE5\0L2R0H6B\Scripts[1].js -> Adware.MediaMotor : Nettoyer et sauvegarder
    C:\Program Files\Media-Codec -> Trojan.Small : Nettoyer et sauvegarder
    C:\Program Files\Media-Codec\uninst.exe -> Trojan.Small : Nettoyer et sauvegarder

    ::Fin du rapport

    Je continue!!!
    0
  4. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    Reste calme : si c'est pour t'exciter, fais le ailleurs.

    Il faut rester coi sur ce forum, où on oeuvre dans la plus grande équanimité.

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pmlgeek Messages postés 27 Statut Membre
     
    ???? je ne comprends pas, je ne suis pas enervé, je disais simplement que tu avais eu raison de me dire d'etre prudent et de faire les autres tests car celui ci à trouvé 49 fichiers infecté!!!
    je continue donc la procedure par le test en ligne avec bitfender.
    Désolé si je me suis mal exprimé mais il n'y a que respect et remerciements dans mes propos!
    merci encore
    0
  7. pmlgeek Messages postés 27 Statut Membre
     
    voici le rapport Bitfinder qui a encore trouvé 2virus!!
    BitDefender Online Scanner

    Scan report generated at: Thu, Jun 22, 2006 - 00:18:03

    Scan path: A:\;C:\;D:\;E:\;G:\;

    Statistics

    Time

    04:44:05

    Files

    1096814

    Folders

    10247

    Boot Sectors

    5

    Archives

    50026

    Packed Files

    85601

    Results

    Identified Viruses

    2

    Infected Files

    2

    Suspect Files

    0

    Warnings

    0

    Disinfected

    0

    Deleted Files

    2

    Engines Info

    Virus Definitions

    388860

    Engine build

    AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

    Scan plugins

    13

    Archive plugins

    39

    Unpack plugins

    5

    E-mail plugins

    6

    System plugins

    1

    Scan Settings

    First Action

    Disinfect

    Second Action

    Delete

    Heuristics

    Yes

    Enable Warnings

    Yes

    Scanned Extensions

    *;

    Exclude Extensions

    Scan Emails

    Yes

    Scan Archives

    Yes

    Scan Packed

    Yes

    Scan Files

    Yes

    Scan Boot

    Yes

    Scanned File

    Status

    C:\System Volume Information\_restore{656EF008-F10E-4865-A0B4-A4D4829B955A}\RP416\A0067794.exe

    Infected with: BehavesLike:Win32.ExplorerHijack

    C:\System Volume Information\_restore{656EF008-F10E-4865-A0B4-A4D4829B955A}\RP416\A0067794.exe

    Disinfection failed

    C:\System Volume Information\_restore{656EF008-F10E-4865-A0B4-A4D4829B955A}\RP416\A0067794.exe

    Deleted

    G:\System Volume Information\_restore{656EF008-F10E-4865-A0B4-A4D4829B955A}\RP393\A0063764.exe

    Infected with: Backdoor.Virkel.A

    G:\System Volume Information\_restore{656EF008-F10E-4865-A0B4-A4D4829B955A}\RP393\A0063764.exe

    Disinfection failed

    G:\System Volume Information\_restore{656EF008-F10E-4865-A0B4-A4D4829B955A}\RP393\A0063764.exe

    Deleted

    et voici mon rapport hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 00:24:36, on 22/06/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
    C:\Program Files\Sophos\AutoUpdate\ALMon.exe
    C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Club-Internet\Controle Parental\bin\optproxy.exe
    c:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
    c:\Program Files\Sophos\AutoUpdate\ALsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Documents and Settings\Pierre-Marc.DELLMAISON\Bureau\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec

    Club-Internet
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

    Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program

    Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program

    files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

    files\google\googletoolbar1.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program

    Files\Yahoo!\Companion\Installs\cpn1\yt.dll
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
    O4 - HKLM\..\Run: [TweakDUN] C:\Program Files\TweakDUN\tweakdun.exe splash
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers

    communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32

    \NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers

    communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0

    \DIAGENT.EXE startup
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Fichiers communs\Microsoft

    Shared\IME\IMTC65\ChangJie\CINTLCFG.EXE /CJIMETIPSync
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program

    Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
    O4 - Startup: palmOne Registration.lnk = C:\Program Files\Handspring\register.exe
    O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
    O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers

    communs\DataViz\DvzIncMsgr.exe
    O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Handspring\Hotsync.exe
    O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital

    Imaging\bin\hpobnz08.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program

    files\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3

    \OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://c:\program

    files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program

    files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program

    files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google -

    res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

    Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

    C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program

    Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} -

    C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%

    \bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9

    -9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1

    \MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

    Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

    C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) -

    http://support.euro.dell.com/systemprofiler/SysPro.CAB
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

    http://www.zebulon.fr/outils/antivirus/kavwebscan_unicode.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -

    http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

    http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{775C7EE3-4FB8-4D74-8046-9491ECAEFE62}: NameServer

    = 194.117.200.10,194.117.200.15
    O17 - HKLM\System\CCS\Services\Tcpip\..\{793F2709-1C93-45C3-8DEC-57EC7ABA1AB4}: NameServer

    = 194.117.200.10,194.117.200.15
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1

    \msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program

    Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4

    \ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil

    Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4

    \ashWebSv.exe" /service (file missing)
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -

    C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti

    -malware\ewidoctrl.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

    C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program

    Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

    C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Contrôle Parental Club Internet (OPTENET_FILTER) - Club Internet -

    C:\Program Files\Club-Internet\Controle Parental\bin\optproxy.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Créateur de rapports d'état Sophos Anti-Virus (SAVAdminService) - Sophos Plc

    - c:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
    O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Program Files\Sophos\Sophos

    Anti-Virus\SavService.exe
    O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Program

    Files\Sophos\AutoUpdate\ALsvc.exe

    Suis-je encore infecté ou dois-je encore faire un nettoyage?
    Merci
    0
  8. pmlgeek Messages postés 27 Statut Membre
     
    voila j'ai tout fait et voici le nouveau rapport (je n'avais rien fait sur l'ancien!!!)
    Logfile of HijackThis v1.99.1
    Scan saved at 11:32:21, on 23/06/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
    C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Club-Internet\Controle Parental\bin\optproxy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Pierre-Marc.DELLMAISON\Bureau\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
    O4 - HKLM\..\Run: [TweakDUN] C:\Program Files\TweakDUN\tweakdun.exe splash
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [DIAGENT] C:\Program Files\Creative\SBLive\Creative Diagnostics 2.0\DIAGENT.EXE startup
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Fichiers communs\Microsoft Shared\IME\IMTC65\ChangJie\CINTLCFG.EXE /CJIMETIPSync
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
    O4 - Startup: palmOne Registration.lnk = C:\Program Files\Handspring\register.exe
    O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
    O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Handspring\Hotsync.exe
    O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kavwebscan_unicode.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{775C7EE3-4FB8-4D74-8046-9491ECAEFE62}: NameServer = 194.117.200.10,194.117.200.15
    O17 - HKLM\System\CCS\Services\Tcpip\..\{793F2709-1C93-45C3-8DEC-57EC7ABA1AB4}: NameServer = 194.117.200.10,194.117.200.15
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Contrôle Parental Club Internet (OPTENET_FILTER) - Club Internet - C:\Program Files\Club-Internet\Controle Parental\bin\optproxy.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    0
  9. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Salut,

    "je n'avais rien fait sur l'ancien!!!"


    Ah oui ? Alors compare toi-même le nouveau log HijackThis visible ci-dessus avec l'ancien au poste 10 !!!

    Normalement c'est OK mais pour être sûr :

    Scanne ton PC avec cet antivirus en ligne :
    https://www.kaspersky.fr/downloads
    - Choisis "Kaspersky Online Scanner"
    - Clique sur "Accept" -> "Next" -> "My computer"
    - Laisse le scan se faire et copie/colle le rapport ici (si infecté)

    a+
    0
  10. paul63
     
    tu peux essayer d'utiliser microsoft security qui est un logiciel gratuit et qui est très efficace pour ça!
    0
  11. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Le problème perdure t-il mon ami ?
    -1
  12. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    Rien n'est sûr.

    Histoire de voire que tout est clean, suis mon tuto ici :

    virus methode preliminaire de desinfection version fr

    a+
    -1
  13. pmlgeek Messages postés 27 Statut Membre
     
    Bonjour, est-ce que quelqu'un pourrait me donner une réponse svp?
    Merci
    -1
  14. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re ;)

    1/ Clique droit sur "Poste de travail" -> "Propriétés" -> onglet "Restauration du système" -> tu coches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "Oui".

    Ensuite, tu décoches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "OK".

    2/ Ton log HijackThis semble pas mal, c'est dommage que tu l'as changé en sautant des lignes.

    Colle à nouveau un log HijackThis sans le retoucher, tel quel.

    à bientôt ;)
    -1
  15. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Salut,

    - Redémarre le PC en mode "sans échec" : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".

    - Tu relances SmitfraudFix cette fois-ci en choisissant l'option 2 et tu réponds oui à tout.

    Colle le nouveau rapport après.
    -2
  16. pmlgeek Messages postés 27 Statut Membre
     
    Merci Kristopher, voici mon nouveau rapport:
    SmitFraudFix v2.63

    Rapport fait à 13:07:27,06, 21/06/2006
    Executé à partir de C:\Documents and Settings\Pierre-Marc.DELLMAISON\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"

    [HKEY_CLASSES_ROOT\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32]
    [HKEY_CURRENT_USER\Software\Classes\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}\InProcServer32]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\system32\ld????.tmp supprimé
    C:\WINDOWS\system32\ot.ico supprimé
    C:\WINDOWS\system32\regperf.exe supprimé
    C:\WINDOWS\system32\stdole3.tlb supprimé
    C:\WINDOWS\system32\ts.ico supprimé
    C:\WINDOWS\system32\1024\ supprimé
    C:\DOCUME~1\PIERRE~2.DEL\Favoris\Antivirus Test Online.url supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    -2