G chopé iworm.attck.v122.02a

g lu les choses a faire, g telecharger hijack this, et voila le rapport.
encore une fois, vs etes mon dernier espoir, merci d avance.

Logfile of HijackThis v1.99.1
Scan saved at 13:01:23, on 08/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\fw_watch.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\System32\isnotify.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\ismon.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Defray\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\System32\ixt0.dll
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

et pr info les amis, javé précedemment avast, qui ma servi a rien, alores g acxheté Kaspersky pensant que ce serai me miracle......ms non ! snif
et g deja essayé smitfraudix, ms tj le mm resultat. javé un otr virus qui etait Zlob, ms celui la g reussi a le degager, ms rien a faire pr iworm, je vs en suppli, HELP plizzz

Bonjour !

Commence par cela et un pro te répondra :
virus methode preliminaire de desinfection version fr

slt fandango, voici le rapport de smitfraudix

SmitFraudFix v2.68b

Rapport fait à 13:17:23,67, 08/07/2006
Executé à partir de C:\Documents and Settings\Defray\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ishost.exe PRESENT !
C:\WINDOWS\system32\ismon.exe PRESENT !
C:\WINDOWS\system32\isnotify.exe PRESENT !
C:\WINDOWS\system32\issearch.exe PRESENT !
C:\WINDOWS\system32\ixt?.dll PRESENT !
C:\WINDOWS\system32\ixt??.dll PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Defray\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Defray\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6af69c4d-420a-4c95-b34f-e4635f84f53b}"="forevouched"

[HKEY_CLASSES_ROOT\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}\InProcServer32]
@="C:\WINDOWS\System32\viwpzla.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}\InProcServer32]
@="C:\WINDOWS\System32\viwpzla.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

en brefn fandango g tt suivi de ce qui est indiqué a la lettre, ms rien ne change, que dois je faire de plus plizzzz

g vu sur diff dial qu il y a d truc a cocher avec hijack ms la je suis largué. je t en prie aide moi.

Salut;

As-tu lu le lien que t'as donné Fandango ???
Pas trop sûre........

Il est demandé 3 rapports...
EWIDO
BITDEFFENDER ET Hitjackthis (pas la peine tu l'as déjà fait)

Le Smitfraud n'apparait pas...

DOnc fait Ewido et bitdefender

Ensuite nous avançerons

A++

bonjour marie, oki, je vé le faire de suite.

pour info, g relancé smitfraudix. etape 1, vs avez vu le rapport précédemment. g ensuite fait un nettoyage en mode ss echec en enlever la restauration auto su syst. et ensuite voici le nouveau rapport. je reviens ds 5 mn avec les rapports des otr choses que vs m avez demandé.
en tt K, merci pr votre aide, a tte

SmitFraudFix v2.68b

Rapport fait à 13:25:51,76, 08/07/2006
Executé à partir de C:\Documents and Settings\Defray\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6af69c4d-420a-4c95-b34f-e4635f84f53b}"="forevouched"

[HKEY_CLASSES_ROOT\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}\InProcServer32]
@="C:\WINDOWS\System32\viwpzla.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}\InProcServer32]
@="C:\WINDOWS\System32\viwpzla.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\viwpzla.dll -> Missing File

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\ishost.exe supprimé
C:\WINDOWS\system32\ismon.exe supprimé
C:\WINDOWS\system32\isnotify.exe supprimé
C:\WINDOWS\system32\issearch.exe supprimé
C:\WINDOWS\system32\ixt?.dll supprimé
C:\WINDOWS\system32\ot.ico supprimé
C:\WINDOWS\system32\ts.ico supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

nouveau rapport apres nettoyage:

SmitFraudFix v2.68b

Rapport fait à 13:35:07,57, 08/07/2006
Executé à partir de C:\Documents and Settings\Defray\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Defray\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Defray\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Re,

Faudrait suivre un peu les indications que l'on te donne..........

1/ Télécharger et scanner son PC avec Ewido Security Suite : https://www.01net.com/404/
Copier/coller le rapport entier sur le forum.

Regarder la démo d'utilisation :
http://perso.wanadoo.fr/entraide-hijackthis/Ewido/
(Merci à mOe pour cette réalisation)

2/ Scanner son PC avec cet antivirus en ligne (sous Internet Explorer) :
http://www.bitdefender.com/scan8/ie.html
Cliquer sur "I Agree" et scanner tout le PC.
Penser à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
Copier/coller le rapport entier sur le forum.

voici le rapport de ewido:

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 15:19:27 08/07/2006

+ Scan result:

C:\Documents and Settings\Defray\Cookies\defray@247realmedia[1].txt -> TrackingCookie.247realmedia : No action taken.
C:\Documents and Settings\Defray\Cookies\defray@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\Defray\Cookies\defray@atdmt[2].txt -> TrackingCookie.Atdmt : No action taken.
C:\Documents and Settings\Defray\Cookies\defray@bluestreak[1].txt -> TrackingCookie.Bluestreak : No action taken.
C:\Documents and Settings\Defray\Cookies\defray@doubleclick[2].txt -> TrackingCookie.Doubleclick : No action taken.
C:\Documents and Settings\Defray\Cookies\defray@as1.falkag[2].txt -> TrackingCookie.Falkag : No action taken.
C:\Documents and Settings\Defray\Cookies\defray@mediaplex[1].txt -> TrackingCookie.Mediaplex : No action taken.
C:\Documents and Settings\Defray\Cookies\defray@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : No action taken.
C:\Documents and Settings\Defray\Cookies\defray@weborama[2].txt -> TrackingCookie.Weborama : No action taken.

::Report end

et pour bitdefender, il ma trouvé pl1 de truc kil a effacé. ms g pa pu copier le rapport, g eu un bug et tt c eteint. alors la ze viens de le relancer. et d que je peu, je vs l envoie....merci de votre comprehension et surtt de votre patience ;-)

Re,

EWIDO ==> No action taken. n'a pas fonctinné...
Suivre le tuto et le refaire... ben ! ouéé..

A++

voia le rapport de bitdefender:

BitDefender Online Scanner

Scan report generated at: Sat, Jul 08, 2006 - 16:14:09

Scan path: C:\;D:\;E:\;F:\;

Statistics

Time
00:48:44

Files
238969

Folders
3963

Boot Sectors
3

Archives
1705

Packed Files
14396

Results

Identified Viruses
1

Infected Files
1

Suspect Files
1

Warnings
0

Disinfected
0

Deleted Files
2

Engines Info

Virus Definitions
406814

Engine build
AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Scan plugins
13

Archive plugins
39

Unpack plugins
5

E-mail plugins
6

System plugins
1

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\System Volume Information\_restore{0C4C4D7F-3B78-4022-A794-44B29D46733F}\RP1\A0000006.dll
Infected with: Trojan.Downloader.Zlob.PL

C:\System Volume Information\_restore{0C4C4D7F-3B78-4022-A794-44B29D46733F}\RP1\A0000006.dll
Disinfection failed

C:\System Volume Information\_restore{0C4C4D7F-3B78-4022-A794-44B29D46733F}\RP1\A0000006.dll
Deleted

C:\System Volume Information\_restore{0C4C4D7F-3B78-4022-A794-44B29D46733F}\RP1\A0000007.dll
Suspected of: Generic.Malware.Ssp.D740FF57

C:\System Volume Information\_restore{0C4C4D7F-3B78-4022-A794-44B29D46733F}\RP1\A0000007.dll
Disinfection failed

C:\System Volume Information\_restore{0C4C4D7F-3B78-4022-A794-44B29D46733F}\RP1\A0000007.dll
Deleted

et voici le nouvo scan de ewido, merci ^^marie^^ pr ton aide precieuse

ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 16:46:39 08/07/2006

+ Scan result:

C:\Documents and Settings\Defray\Cookies\defray@247realmedia[2].txt -> TrackingCookie.247realmedia : Cleaned.
C:\Documents and Settings\Defray\Cookies\defray@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\Defray\Cookies\defray@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.
C:\Documents and Settings\Defray\Cookies\defray@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.
C:\Documents and Settings\Defray\Cookies\defray@doubleclick[2].txt -> TrackingCookie.Doubleclick : Cleaned.
C:\Documents and Settings\Defray\Cookies\defray@as1.falkag[2].txt -> TrackingCookie.Falkag : Cleaned.
C:\Documents and Settings\Defray\Cookies\defray@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.
C:\Documents and Settings\Defray\Cookies\defray@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned.
C:\Documents and Settings\Defray\Cookies\defray@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

::Report end

Salut,

Pour Ewido ce sont des cookies, donc rien de méchant.

Installe ce qui suit et tu feras le nettoyage régulièrement

C - Ccleaner : ( nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc..)
Télécharge ici :
https://www.ccleaner.com/ccleaner/download
Tutorial ici:
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Ensuite refais un Hitjakthis Stp.

marie, ze m en sui sorti.
merci beaucou beaucoup beaucoup
vraiment sympa de ta part
javé 3-4 virus, dt 2 chevau x de troie

merci bcp de ta patience et de ton aide.
et dsl sui g été chiant ou indiscipliné ;-)

a ientot gspere
biz
bye

Salut,

Tu peux faire un HT, pour contrôler .

F - Hijackthis - Outil de diagnostic et réparation
lire démo
http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm
Télécharge version française ici
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
Copie/colle le rapport

Bon courage

A++

Bonne route
Reviens quand tu veux

A++