Virus:redirege clicks sur google vers sa pub

Résolu
simoon -  
 Séb08 -
j'ai sur mon pc un virus qui redirege les clicks sur les resultats de recheches sur les moteurs de recherches sur des sites pleins de liens sponsorisés (parking domains) + casino .... en p lus ma connexion devienne tres lente , il telecharge des logiciels discretement , je vois que la cosommation du debit adsl sans pouvoir l'arreter.
j'ai scaner mon pc par avast + ad aware mais sans reussir à s'en debarraser.

voila un scan par hijackthis :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32urpbiifn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dmbwz.exe] C:\WINDOWS\system32\dmbwz.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O15 - Trusted Zone: *.p0rt2.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.113.107 85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe

merci d'avance de votre aide

22 réponses

  • 1
  • 2
  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir simoon,

    effectivement, le pc est infecté!

    Imprime ces instructions car il va y avoir un redémarrage de l'ordinateur.

    * Télécharge FixWareout d'un de ces deux sites sur le bureau:
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    * Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

    *Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.

    a+
    0
  2. smoon
     
    voila le rapport de fixwareout :

    Fixwareout ver 1.003
    Last edited 8/11/2006
    Post this report in the forums please

    Reg Entries that were deleted
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E98045DCBD32-8158-6994-1F97-CAC4CF1A{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A7A58A2D1E5D-7D8B-84F4-94A6-4BC0744E{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\dxlmd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    "dmlxd.exe"=-
    ...

    PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»» Searching by size/names...

    »»»»»
    Search five digit cs, dm and jb files.
    This WILL/CAN also list Legit Files, Submit them at Virustotal
    C:\WINDOWS\SYSTEM32\CSMPG.EXE 51 720 2006-09-29
    C:\WINDOWS\SYSTEM32\DMLGO.EXE 60 999 2005-07-05
    C:\WINDOWS\SYSTEM32\DMLXD.EXE 60 999 2005-07-05

    Other suspects.
    Directory of C:\WINDOWS\system32
    {6EFDE2A6-C5A5-4A75-8D21-1AB809FEB1D8}.exe
    {981D343D-C4DF-437A-9A8A-87D45FC24449}.exe
    {7D291843-E344-4964-A5A7-154A80E07114}.exe
    {A089F239-1A4B-413D-86FA-E5190F9ADE8C}.exe

    »»»»» Misc files.

    »»»»» Checking for older varients covered by the Rem3 tool.

    et voila celui de hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 23:06:23, on 19/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32kftcfsco.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\scandskx.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - Startup: .protected
    O4 - Global Startup: .protected
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O15 - Trusted Zone: *.p0rt2.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.113.107,85.255.112.182
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
    0
  3. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonjour simoon,

    l'outil a bien bossé!

    1) Télécharge SmitfraudFix de S!Ri:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Tu le dézippes sur le Bureau.

    * Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
    Postes le rapport.

    2) Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau :

    https://europe.f-secure.com/exclude/blacklight/index.shtml

    Double-clique blbeta.exe et accepte la licence, clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse avec un nouveau rapport hijackthis!

    a+
    0
  4. simoon
     
    bonjour et encore merci did71 ,
    voila le rapport de smithfraudfix

    Rapport fait à 17:41:06,56, 20/10/2006
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    C:\WINDOWS\.protected PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    C:\DOCUME~1\ADMINI~1\MENUDM~1\PROGRA~1\DMARRA~1\.protected PRESENT !
    C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\.protected PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="http://images.solidcactus.com/usawall/picture.aspx?i=CARLINLIBCOL&w=200&h="
    "SubscribedURL"="http://images.solidcactus.com/usawall/picture.aspx?i=CARLINLIBCOL&w=200&h="
    "FriendlyName"=""

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    et voila le 2eme :

    10/20/06 18:02:05 [Info]: BlackLight Engine 1.0.47 initialized
    10/20/06 18:02:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    10/20/06 18:02:06 [Note]: 7019 4
    10/20/06 18:02:06 [Note]: 7005 0
    10/20/06 18:02:12 [Note]: 7006 0
    10/20/06 18:02:12 [Note]: 7011 1328
    10/20/06 18:02:13 [Note]: 7026 0
    10/20/06 18:02:13 [Note]: 7026 0
    10/20/06 18:02:28 [Note]: FSRAW library version 1.7.1020
    10/20/06 18:03:43 [Info]: Hidden file: c:\WINDOWS\system32\csjmy.exe
    10/20/06 18:03:43 [Note]: 7002 32
    10/20/06 18:03:43 [Note]: 7003 1
    10/20/06 18:03:43 [Note]: 10002 1
    10/20/06 18:03:43 [Info]: Hidden file: c:\WINDOWS\system32\dmeeo.exe
    10/20/06 18:03:43 [Note]: 7002 32
    10/20/06 18:03:43 [Note]: 7003 1
    10/20/06 18:03:43 [Note]: 10002 1
    10/20/06 18:04:14 [Note]: 2000 1012
    10/20/06 18:04:14 [Note]: 2000 1012
    10/20/06 18:04:14 [Note]: 2000 1012
    10/20/06 18:04:14 [Note]: 2000 1012
    10/20/06 18:04:14 [Note]: 2000 1012

    et hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 18:08:54, on 20/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\taskswitch.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\itunesff.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32huucemmb.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\NOTEPAD.EXE
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Documents and Settings\Administrateur\Bureau\blbeta.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
    O4 - Startup: .protected
    O4 - Global Startup: .protected
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    joliement infecté le pc!

    1) Redémarre en mode sans échec.
    Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

    Redémarres normalement

    2)Télécharge Killbox sur ton Bureau :

    http://www.downloads.subratam.org/KillBox.exe

    Double-clique killbox.exe.
    Choisis l'option "Delete on reboot".

    Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :

    c:\WINDOWS\system32\csjmy.exe
    c:\WINDOWS\system32\dmeeo.exe
    C:\WINDOWS\system32\vbsys2.dll


    Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

    Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
    Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !

    Clique sur le bouton : All Files (!important!)

    Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
    Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
    Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".

    3)poste le rapport smitfraudfix et un nouvel hijackthis!

    a+
    0
  7. simooon
     
    slt did71

    j'ai selecionner les 3 lignes mais juste la 3eme ligne qui apparaitre sur la boite, j'ai essayer en collant ligne par ligne sans succes.

    voila le raport de smitfraudfix :

    SmitFraudFix v2.112

    Rapport fait à 19:57:15,58, 20/10/2006
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    et celui de hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 19:58:49, on 20/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\taskswitch.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\scandskx.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\itunesff.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32nldeohkt.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\NOTEPAD.EXE
    C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
    0
  8. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    1. Télécharge The Avenger par Swandog46 sur ton Bureau:

    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    Click sur Avenger.zip pour ouvrir le fichier
    Extraire avenger.exe sur votre bureau

    2. Copie tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Files to delete:
    c:\WINDOWS\system32\csjmy.exe
    c:\WINDOWS\system32\dmeeo.exe


    3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
    Sous Script file to execute choisir Input Script Manually.
    Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre View/edit script
    Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
    Cliquer [Done
    ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
    Réponds Yes deux fois quand demandé.

    4. The Avenger va automatiquement faire ce qui suit:
    Il va Re-démarrer le système.
    Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
    Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport blacklight.

    a+
    0
  9. simoon
     
    avenger.txt

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\malkieel

    *******************

    Script file located at: \??\C:\WINDOWS\system32\javxw^cx.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    File c:\WINDOWS\system32\csjmy.exe not found!
    Deletion of file c:\WINDOWS\system32\csjmy.exe failed!

    Could not process line:
    c:\WINDOWS\system32\csjmy.exe
    Status: 0xc0000034

    File c:\WINDOWS\system32\dmeeo.exe not found!
    Deletion of file c:\WINDOWS\system32\dmeeo.exe failed!

    Could not process line:
    c:\WINDOWS\system32\dmeeo.exe
    Status: 0xc0000034

    Completed script processing.

    *******************

    Finished! Terminate.

    et le rapport blacklight :

    10/20/06 20:57:20 [Info]: BlackLight Engine 1.0.47 initialized
    10/20/06 20:57:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    10/20/06 20:57:20 [Note]: 7019 4
    10/20/06 20:57:20 [Note]: 7005 0
    10/20/06 20:57:25 [Note]: 7006 0
    10/20/06 20:57:25 [Note]: 7011 1300
    10/20/06 20:57:25 [Note]: 7026 0
    10/20/06 20:57:25 [Note]: 7026 0
    10/20/06 20:57:34 [Note]: FSRAW library version 1.7.1020
    10/20/06 20:58:48 [Info]: Hidden file: c:\WINDOWS\system32\csnqd.exe
    10/20/06 20:58:48 [Note]: 7002 32
    10/20/06 20:58:48 [Note]: 7003 1
    10/20/06 20:58:48 [Note]: 10002 1
    10/20/06 20:58:51 [Info]: Hidden file: c:\WINDOWS\system32\dmqez.exe
    10/20/06 20:58:51 [Note]: 7002 32
    10/20/06 20:58:51 [Note]: 7003 1
    10/20/06 20:58:51 [Note]: 10002 1
    10/20/06 20:59:18 [Note]: 2000 1012
    10/20/06 20:59:18 [Note]: 2000 1012
    10/20/06 20:59:18 [Note]: 2000 1012
    10/20/06 20:59:18 [Note]: 2000 1012
    10/20/06 20:59:18 [Note]: 2000 1012
    10/20/06 20:59:37 [Note]: 7007 0
    0
  10. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    avant toutes manips, installes un parefeu!

    je te remets un script avenger, déconnecte toi d'internet avant d'exécuter avenger!

    1. Télécharge The Avenger par Swandog46 sur ton Bureau:

    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    Click sur Avenger.zip pour ouvrir le fichier
    Extraire avenger.exe sur votre bureau

    2. Copie tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Files to delete:
    C:\WINDOWS\system32\scandskx.exe
    C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
    C:\WINDOWS\system32\csnqd.exe
    C:\WINDOWS\system32\dmqez.exe

    3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
    Sous Script file to execute choisir Input Script Manually.
    Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre View/edit script
    Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
    Cliquer [Done
    ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
    Réponds Yes deux fois quand demandé.

    4. The Avenger va automatiquement faire ce qui suit:
    Il va Re-démarrer le système.
    Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
    Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport blacklight.

    a+
    0
  11. simoon
     
    avenger.txt :

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\wwxmhwmr

    *******************

    Script file located at: \??\C:\Program Files\kueqvbdd.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    File C:\WINDOWS\system32\scandskx.exe deleted successfully.
    File C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe deleted successfully.

    File C:\WINDOWS\system32\csnqd.exe not found!
    Deletion of file C:\WINDOWS\system32\csnqd.exe failed!

    Could not process line:
    C:\WINDOWS\system32\csnqd.exe
    Status: 0xc0000034

    File C:\WINDOWS\system32\dmqez.exe not found!
    Deletion of file C:\WINDOWS\system32\dmqez.exe failed!

    Could not process line:
    C:\WINDOWS\system32\dmqez.exe
    Status: 0xc0000034

    Completed script processing.

    *******************

    Finished! Terminate.

    blacklight :

    10/20/06 22:37:57 [Info]: BlackLight Engine 1.0.47 initialized
    10/20/06 22:37:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    10/20/06 22:37:58 [Note]: 7019 4
    10/20/06 22:37:58 [Note]: 7005 0
    10/20/06 22:38:02 [Note]: 7006 0
    10/20/06 22:38:02 [Note]: 7011 1888
    10/20/06 22:38:02 [Note]: 7026 0
    10/20/06 22:38:02 [Note]: 7026 0
    10/20/06 22:38:11 [Note]: FSRAW library version 1.7.1020
    10/20/06 22:39:37 [Info]: Hidden file: c:\WINDOWS\system32\dmhrv.exe
    10/20/06 22:39:37 [Note]: 7002 32
    10/20/06 22:39:37 [Note]: 7003 1
    10/20/06 22:39:37 [Note]: 10002 1
    10/20/06 22:39:39 [Info]: Hidden file: c:\WINDOWS\system32\cstex.exe
    10/20/06 22:39:39 [Note]: 7002 32
    10/20/06 22:39:39 [Note]: 7003 1
    10/20/06 22:39:39 [Note]: 10002 1
    10/20/06 22:40:03 [Note]: 2000 1012
    10/20/06 22:40:03 [Note]: 2000 1012
    10/20/06 22:40:03 [Note]: 2000 1012
    10/20/06 22:40:03 [Note]: 2000 1012
    10/20/06 22:40:03 [Note]: 2000 1012
    10/20/06 22:40:44 [Note]: 7007 0
    0
  12. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir simoon,

    as tu installé un parefeu?

    repasse blacklight et poste moi aussi un rapport hijackthis.

    a+
    0
  13. Qc001 Messages postés 256 Statut Membre 17
     
    Salut Did71,

    Coriace ce Wareout. Il te reste ces deux trucs :

    --------------------------------
    C:\WINDOWS\system32\itunesff.exe

    O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w

    C'est un dialer :
    https://www.bleepingcomputer.com/startups/itunesff.exe-14014.html

    À fixer à la régulière.
    ---------------------------------
    C:\WINDOWS\system32nldeohkt.exe

    ..qui est inconnu. Faudrait faire analyser chez VirusTotal. Si les AVs ne le reconnaissent pas, il s'agit probablement d'une nouvelle bestiole.

    FixWareout sera votre meilleur ami, après le nettoyage des autres trucs.
    ======================

    Les fichiers cs###.exe et dm###.exe sont des mutants de Wareout, et mutent à chaque démarrage.

    simoon : prière de supprimer l'outil Avenger complètement. Il est extrêmement puissant et ne doit pas être utilisé par quiconque pourrait avoir accès à ta bécane.

    Bonne continuation :-)
    0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour à tous,

    Il est probable que la bestiole aussi mute :

    1er log : C:\WINDOWS\system32urpbiifn.exe
    2ème : C:\WINDOWS\system32kftcfsco.exe
    3ème : C:\WINDOWS\system32huucemmb.exe
    4ème : C:\WINDOWS\system32nldeohkt.exe

    Bonne suite.
    0
  15. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Salut à tous,

    oui, la bête mute, on le voit aussi dans les différents rapports blacklight!!!

    J'attends des nouvelles simoon.

    a+
    0
  16. simoon
     
    bonjour tout le monde,
    desole pour le retard, j'ai pas passe le week end chez moi .
    j'ai installe un parefeu .

    voila le rapport hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 17:09:43, on 23/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\itunesff.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)

    blacklight :

    10/23/06 17:06:36 [Info]: BlackLight Engine 1.0.47 initialized
    10/23/06 17:06:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    10/23/06 17:06:37 [Note]: 7019 4
    10/23/06 17:06:37 [Note]: 7005 0
    10/23/06 17:06:41 [Note]: 7006 0
    10/23/06 17:06:41 [Note]: 7011 1336
    10/23/06 17:06:41 [Note]: 7026 0
    10/23/06 17:06:41 [Note]: 7026 0
    10/23/06 17:06:51 [Note]: FSRAW library version 1.7.1020
    10/23/06 17:08:10 [Info]: Hidden file: c:\WINDOWS\system32\csgws.exe
    10/23/06 17:08:10 [Note]: 7002 32
    10/23/06 17:08:10 [Note]: 7003 1
    10/23/06 17:08:10 [Note]: 10002 1
    10/23/06 17:08:12 [Info]: Hidden file: c:\WINDOWS\system32\dmvse.exe
    10/23/06 17:08:12 [Note]: 7002 32
    10/23/06 17:08:12 [Note]: 7003 1
    10/23/06 17:08:12 [Note]: 10002 1
    10/23/06 17:08:40 [Note]: 2000 1012
    10/23/06 17:08:40 [Note]: 2000 1012
    10/23/06 17:08:40 [Note]: 2000 1012
    10/23/06 17:08:40 [Note]: 2000 1012
    10/23/06 17:08:40 [Note]: 2000 1012
    10/23/06 17:08:53 [Note]: 7007 0

    merci
    0
  17. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir,

    1) termine le processus (ctrl+alt+suppr) :

    C:\WINDOWS\system32\itunesff.exe

    2) relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :

    O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
    O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -

    3) recherche et supprime les fichiers en gras ci dessous:

    C:\WINDOWS\system32\scandskx.exe
    C:\WINDOWS\system32\itunesff.exe

    4) si tu as toujours fixwareout, relance l'outil (sinon retélécharge le)

    5) copie les rapports hijackthis et fixwareout

    a+
    0
  18. simoon
     
    voila le rapport de fixwareout :

    Fixwareout ver 1.003
    Last edited 8/11/2006
    Post this report in the forums please

    Reg Entries that were deleted
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5BE89682108D-227B-EDA4-6412-E8B99944{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}038EB5D6EF0E-363B-64D4-59B9-039AF776{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\esvmd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    "dmvse.exe"=-
    ...

    PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»» Searching by size/names...

    »»»»»
    Search five digit cs, dm and jb files.
    This WILL/CAN also list Legit Files, Submit them at Virustotal
    C:\WINDOWS\SYSTEM32\CSGWS.EXE 51 768 2006-10-20
    C:\WINDOWS\SYSTEM32\CSMPG.EXE 51 720 2006-09-29
    C:\WINDOWS\SYSTEM32\DMLGO.EXE 60 999 2005-07-05
    C:\WINDOWS\SYSTEM32\DMLXD.EXE 60 999 2005-07-05
    C:\WINDOWS\SYSTEM32\DMVSE.EXE 60 990 2005-07-05

    Other suspects.
    Directory of C:\WINDOWS\system32
    {6EFDE2A6-C5A5-4A75-8D21-1AB809FEB1D8}.exe
    {981D343D-C4DF-437A-9A8A-87D45FC24449}.exe
    {7D291843-E344-4964-A5A7-154A80E07114}.exe
    {A089F239-1A4B-413D-86FA-E5190F9ADE8C}.exe

    »»»»» Misc files.

    »»»»» Checking for older varients covered by the Rem3 tool.

    et hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 19:50:38, on 23/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
    0
  19. did71
     
    Bonsoir,

    désolé du retard,

    relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :

    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215

    poste un nouveau rapport blacklight

    a+
    0
  20. simoon
     
    salut did71 ,

    voila le rapport de blacklight :

    10/26/06 19:47:19 [Info]: BlackLight Engine 1.0.47 initialized
    10/26/06 19:47:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    10/26/06 19:47:19 [Note]: 7019 4
    10/26/06 19:47:19 [Note]: 7005 0
    10/26/06 19:47:22 [Note]: 7006 0
    10/26/06 19:47:22 [Note]: 7011 1796
    10/26/06 19:47:22 [Note]: 7026 0
    10/26/06 19:47:22 [Note]: 7026 0
    10/26/06 19:47:31 [Note]: FSRAW library version 1.7.1020
    10/26/06 19:49:12 [Note]: 2000 1012
    10/26/06 19:49:12 [Note]: 2000 1012
    10/26/06 19:49:12 [Note]: 2000 1012
    10/26/06 19:49:12 [Note]: 2000 1012
    10/26/06 19:49:12 [Note]: 2000 1012
    10/26/06 19:52:39 [Note]: 7007 0
    0
  21. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    salut simoon,

    ça me semble propre!

    comment se comporte le pc?

    a+
    0
  • 1
  • 2