[Hijactkthis] System32.bmp
robespierre24
Messages postés
20
Statut
Membre
-
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je viens de dépanner un collègue qui avait des fenêtres non désirées qui s'ouvraient au démarrage de IE.
Sentant l'infection, j'ai utilisé Smitfraudfix 1, puis 2 en mode sans échec.
Ensuite, j'ai scannée avec Antivir : RAS.
J'ai alors lancé Hijackthis, mais je ne sais pas l'interpréter.
Pourriez-vous me dire s'il y a des choses bizarres ?
Merci
P. Mallard
PS. précision : suite ce Log, il a désinstallé Norton et je lui ai conseillé de conserver AntiVir
Je viens de dépanner un collègue qui avait des fenêtres non désirées qui s'ouvraient au démarrage de IE.
Sentant l'infection, j'ai utilisé Smitfraudfix 1, puis 2 en mode sans échec.
Ensuite, j'ai scannée avec Antivir : RAS.
J'ai alors lancé Hijackthis, mais je ne sais pas l'interpréter.
Pourriez-vous me dire s'il y a des choses bizarres ?
Merci
P. Mallard
PS. précision : suite ce Log, il a désinstallé Norton et je lui ai conseillé de conserver AntiVir
A voir également:
- [Hijactkthis] System32.bmp
- %Systemroot%\system32\shell32.dll - Forum Windows
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Cheval de troie trojan ✓ - Forum Virus
- @System32\drivers\pci.sys, ✓ - Forum Windows
- &Quot;System32\DRIVERS\pci.sys" - Forum Windows
11 réponses
Salut
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_s...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/fr/check/qdiagh.cab?326
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
Supprime
C:\WINDOWS\System32\FTRTSVC.exe
Arrête ces services :
Clique sur Démarrer->exécuter->tape: services.msc
Double-clique: Service: France Telecom Routing Table Service
Règle-le sur "Arrêté" et "Désactivé".
Redemarre le pc et remet un hijack this
PS: Peux tu eviter de passer des lignes ;-) Merci
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_s...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/fr/check/qdiagh.cab?326
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
Supprime
C:\WINDOWS\System32\FTRTSVC.exe
Arrête ces services :
Clique sur Démarrer->exécuter->tape: services.msc
Double-clique: Service: France Telecom Routing Table Service
Règle-le sur "Arrêté" et "Désactivé".
Redemarre le pc et remet un hijack this
PS: Peux tu eviter de passer des lignes ;-) Merci
Salut Robespierre
Je me ferais un plaisir de repondre a ta question mais je ne la comprend pas. Peux tu la reformuler?
Tu veux parler de fixer?
Je comprend pas pourquoi tu me parle d envoyer....
;-)
A+
Je me ferais un plaisir de repondre a ta question mais je ne la comprend pas. Peux tu la reformuler?
Tu veux parler de fixer?
Je comprend pas pourquoi tu me parle d envoyer....
;-)
A+
En fait, dans ton premeir post, tu as écrit :
"PS: Peux tu eviter de passer des lignes ;-) Merci"
Ca veut dire quoi ?
"PS: Peux tu eviter de passer des lignes ;-) Merci"
Ca veut dire quoi ?
re,
dans le rapport que tu as mis, les lignes du rapport ne sont pas collés et c est vraiment embetant pour l analyser, tu comprend?
a+
dans le rapport que tu as mis, les lignes du rapport ne sont pas collés et c est vraiment embetant pour l analyser, tu comprend?
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bon bon...
Alors voilà.
Le copain a fixer tous les éléments que tu avais demandés de fixer.
Mais, le problème persiste.
La connexion internet est très lente, voire se bloque.
Sur sa messagerie (outlook), il reçoit, mais les messages envoyés se bloquent au milieu du parcours.
Il m'a dit qu'un message s'ouvrait et l'envoyait vers SystemDoctor.
En fouillant, j'ai trouvé la procédure avec Blacklight et Brute Force Uninstaller
post : infecte probleme systemdoctor et page de pub
Avec Blacklight, il avait des processus et fichiers invisibles :
07/14/06 22:28:30 [Info]: BlackLight Engine 1.0.42 initialized
07/14/06 22:28:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/14/06 22:28:31 [Note]: 7019 4
07/14/06 22:28:31 [Note]: 7005 0
07/14/06 22:28:50 [Note]: 7006 0
07/14/06 22:28:50 [Note]: 7011 1376
07/14/06 22:28:50 [Note]: 7026 0
07/14/06 22:28:50 [Note]: 7026 0
07/14/06 22:28:50 [Note]: 7024 3
07/14/06 22:28:50 [Info]: Hidden process: C:\windows\system32\xzqbayies.exe
07/14/06 22:28:50 [Note]: FSRAW library version 1.7.1019
07/14/06 22:28:59 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.EXE
07/14/06 22:29:00 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.DAT
07/14/06 22:29:01 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~2.DAT
07/14/06 22:29:02 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZAE48~1.DAT
07/14/06 22:29:08 [Info]: Hidden file: c:\WINDOWS\Prefetch\XZQBAY~1.PF
J'ai suivi tes conseils fournis dans le post. La procédure a fonctionné puisque le second rapport a donné ceci :
07/15/06 09:37:46 [Info]: BlackLight Engine 1.0.42 initialized
07/15/06 09:37:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/15/06 09:37:47 [Note]: 7019 4
07/15/06 09:37:47 [Note]: 7005 0
07/15/06 09:37:56 [Note]: 7006 0
07/15/06 09:37:56 [Note]: 7011 1360
07/15/06 09:37:57 [Note]: 7026 0
07/15/06 09:37:57 [Note]: 7026 0
07/15/06 09:38:00 [Note]: FSRAW library version 1.7.1019
07/15/06 09:38:47 [Note]: 2000 1006
07/15/06 09:39:26 [Note]: 7007 0
Donc a priori xzqbayies.exe était squizzé.
Sauf qu'il m'a dit n'avoir pas pu localiser et détruire après FBU un des 6 fichiers concernés c'est-à-dire : xzqbayies.exe
On a relancé la bécane.
Refait un log BFU et Hijack (ci-dessous).
Or, surprise dans le log hijack apparaît :
O4 - HKLM\..\Run: [xzqbayies] c:\windows\system32\xzqbayies.exe xzqbayies
On l'a fixé ce matin.
Puis on a relancé, mais internet patine et se bloque.
Par contre, systemdoctor a disparu.
Voici les log BFU et HJ :
BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 09:05:33, on 15/07/2006
Option Delete files to Recycle Bin: Yes
Failed: DllUnregister C:\WINDOWS\system32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINDOWS\navmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)
Failed: FolderDelete C:\WINDOWS\navmpc (folder not found)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF7646.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF87BE.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFAF5D.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFE55D.tmp (operation failed)
Failed: FolderCreate C:\WINDOWS\system32\bfubackups (folder already exists)
Script completed.
Logfile of HijackThis v1.99.1
Scan saved at 12:07:40, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Micro Application\SuperZip\ZTray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
D:\HOPITAL\HIJACKTHIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ZGTray] C:\Program Files\Micro Application\SuperZip\ZTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: ASUS Hotkey.lnk = C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/tw/
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AC7AA27-0FFF-4AD2-A7C5-F42FE880C6C8}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Pour couronner le tout, un message windows l'informe que sa copie est contrefaite, alors que le XP était fourni dans son portable.
Que faire ?
Alors voilà.
Le copain a fixer tous les éléments que tu avais demandés de fixer.
Mais, le problème persiste.
La connexion internet est très lente, voire se bloque.
Sur sa messagerie (outlook), il reçoit, mais les messages envoyés se bloquent au milieu du parcours.
Il m'a dit qu'un message s'ouvrait et l'envoyait vers SystemDoctor.
En fouillant, j'ai trouvé la procédure avec Blacklight et Brute Force Uninstaller
post : infecte probleme systemdoctor et page de pub
Avec Blacklight, il avait des processus et fichiers invisibles :
07/14/06 22:28:30 [Info]: BlackLight Engine 1.0.42 initialized
07/14/06 22:28:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/14/06 22:28:31 [Note]: 7019 4
07/14/06 22:28:31 [Note]: 7005 0
07/14/06 22:28:50 [Note]: 7006 0
07/14/06 22:28:50 [Note]: 7011 1376
07/14/06 22:28:50 [Note]: 7026 0
07/14/06 22:28:50 [Note]: 7026 0
07/14/06 22:28:50 [Note]: 7024 3
07/14/06 22:28:50 [Info]: Hidden process: C:\windows\system32\xzqbayies.exe
07/14/06 22:28:50 [Note]: FSRAW library version 1.7.1019
07/14/06 22:28:59 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.EXE
07/14/06 22:29:00 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.DAT
07/14/06 22:29:01 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~2.DAT
07/14/06 22:29:02 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZAE48~1.DAT
07/14/06 22:29:08 [Info]: Hidden file: c:\WINDOWS\Prefetch\XZQBAY~1.PF
J'ai suivi tes conseils fournis dans le post. La procédure a fonctionné puisque le second rapport a donné ceci :
07/15/06 09:37:46 [Info]: BlackLight Engine 1.0.42 initialized
07/15/06 09:37:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/15/06 09:37:47 [Note]: 7019 4
07/15/06 09:37:47 [Note]: 7005 0
07/15/06 09:37:56 [Note]: 7006 0
07/15/06 09:37:56 [Note]: 7011 1360
07/15/06 09:37:57 [Note]: 7026 0
07/15/06 09:37:57 [Note]: 7026 0
07/15/06 09:38:00 [Note]: FSRAW library version 1.7.1019
07/15/06 09:38:47 [Note]: 2000 1006
07/15/06 09:39:26 [Note]: 7007 0
Donc a priori xzqbayies.exe était squizzé.
Sauf qu'il m'a dit n'avoir pas pu localiser et détruire après FBU un des 6 fichiers concernés c'est-à-dire : xzqbayies.exe
On a relancé la bécane.
Refait un log BFU et Hijack (ci-dessous).
Or, surprise dans le log hijack apparaît :
O4 - HKLM\..\Run: [xzqbayies] c:\windows\system32\xzqbayies.exe xzqbayies
On l'a fixé ce matin.
Puis on a relancé, mais internet patine et se bloque.
Par contre, systemdoctor a disparu.
Voici les log BFU et HJ :
BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 09:05:33, on 15/07/2006
Option Delete files to Recycle Bin: Yes
Failed: DllUnregister C:\WINDOWS\system32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINDOWS\navmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)
Failed: FolderDelete C:\WINDOWS\navmpc (folder not found)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF7646.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF87BE.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFAF5D.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFE55D.tmp (operation failed)
Failed: FolderCreate C:\WINDOWS\system32\bfubackups (folder already exists)
Script completed.
Logfile of HijackThis v1.99.1
Scan saved at 12:07:40, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Micro Application\SuperZip\ZTray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
D:\HOPITAL\HIJACKTHIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ZGTray] C:\Program Files\Micro Application\SuperZip\ZTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: ASUS Hotkey.lnk = C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/tw/
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AC7AA27-0FFF-4AD2-A7C5-F42FE880C6C8}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Pour couronner le tout, un message windows l'informe que sa copie est contrefaite, alors que le XP était fourni dans son portable.
Que faire ?
Je pense que oui..
Voilà les derniers développement dans un mail qu'il a réussi à m'envoyer :
...
A vrai dire rien de changé. J'ai refait
toutes les démarches faites ce matin et apparremment il ne reste plus de
virus . Cependant la connexion internet est très lente ou inaboutie et à
chaque ouverture le même message récurrent de logiciel non conforme. Je
tente de t'expédier ça ; si ça ne marche pas je tente par Orange.
-------
Voilà.
Je ne sais que lui dire.
Philippe
Voilà les derniers développement dans un mail qu'il a réussi à m'envoyer :
...
A vrai dire rien de changé. J'ai refait
toutes les démarches faites ce matin et apparremment il ne reste plus de
virus . Cependant la connexion internet est très lente ou inaboutie et à
chaque ouverture le même message récurrent de logiciel non conforme. Je
tente de t'expédier ça ; si ça ne marche pas je tente par Orange.
-------
Voilà.
Je ne sais que lui dire.
Philippe
Voila la discution que j ai eu recemment avec Rumba, (un collegue) concernant ce probleme:
contrefacon de logiciel#2006 07 13%2020%3A01%3A11
Plusieurs solutions sont données, a vous de tester !
Je ne vous presente que les solutions legales bien sur.
Tiens moi au courant.
a+
PS: Pour sa protection, ca sera bien de lui installer un pare feu.
contrefacon de logiciel#2006 07 13%2020%3A01%3A11
Plusieurs solutions sont données, a vous de tester !
Je ne vous presente que les solutions legales bien sur.
Tiens moi au courant.
a+
PS: Pour sa protection, ca sera bien de lui installer un pare feu.
J'envoie la procédure au collègue et te tiens informé.
"envoyer des lignes" ? Je suppose que c'est tout ce qu'il y a avant le R0 du log avec les c: ?
Désolé....
PM