rapport hijack aide svp Fermé

Question

bonjour à tous j'aimerais avoir un petit coup de main svp pour savoir si ce log est bon et sinon quels sont les problèmes merci d'avance 


Logfile of HijackThis v1.99.1
Scan saved at 15:55:33, on 13/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Laetitia\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dbvmzsbcpbdimxcygkywfo.com/_Ws/o6_OXA40gqH4jRYxZP38Rf6OJCSddwtZBNIhhzi4wgc2lBI46IsmdlLJ/O6X.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fhelp%2fHelp4%2f%3f
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B2A84FB8-4237-17CC-6A9A-644D002D8533} - C:\DOCUME~1\Laetitia\APPLIC~1\INTERN~1\UPLOAD TRAY.exe  (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll  (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk.disabled
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{05D46C0F-A946-4B49-BB1A-952A32C71E93}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A4FE458-2EDA-484E-82F5-583CC44CDE24}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{4161D7A9-6BC9-4F6A-8A6A-B563CACF9E8A}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D293C82-F3C1-4578-B7C9-5B7835D8616D}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F99722-075F-4482-A36D-F256DD387092}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABBB2647-04D9-483F-9B31-EE55FF531C48}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB57302B-C34F-4C70-84C6-80A7198FF760}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.109 85.255.112.212
O17 - HKLM\System\CS1\Services\Tcpip\..\{05D46C0F-A946-4B49-BB1A-952A32C71E93}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.109 85.255.112.212
O17 - HKLM\System\CS2\Services\Tcpip\..\{05D46C0F-A946-4B49-BB1A-952A32C71E93}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.109 85.255.112.212
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Séb08 · Answer

slt,

Tu es infecté par Wareout.

Télécharge le FixWareout sur le bureau:
https://www.bleepingcomputer.com/download/linux/

Lance le fix: clique sur Next, puis Install, puis assure toi que [Run fixit] est activé puis clique sur Finish 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages.
 Ensuite lance HijackThis. Clique sur Do a scan only et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{05D46C0F-A946-4B49-BB1A-952A32C71E93}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A4FE458-2EDA-484E-82F5-583CC44CDE24}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{4161D7A9-6BC9-4F6A-8A6A-B563CACF9E8A}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D293C82-F3C1-4578-B7C9-5B7835D8616D}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F99722-075F-4482-A36D-F256DD387092}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABBB2647-04D9-483F-9B31-EE55FF531C48}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB57302B-C34F-4C70-84C6-80A7198FF760}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.109 85.255.112.212
O17 - HKLM\System\CS1\Services\Tcpip\..\{05D46C0F-A946-4B49-BB1A-952A32C71E93}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.109 85.255.112.212
O17 - HKLM\System\CS2\Services\Tcpip\..\{05D46C0F-A946-4B49-BB1A-952A32C71E93}: NameServer = 85.255.113.109,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.109 85.255.112.212 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

a+

damien78 · Answer

merci je suis les instuctions et te tiens au courant

damien78 · Answer

voila le C:\fixwareouteport.txt

Fixwareout 
Last edited 12/06/2006
Post this report in the forums please 
...
Prerun check
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="cszfm.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmgej.exe"="C:\WINDOWS\System32\dmgej.exe"

...
...
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionuins\jegmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap
...

Random Runs removed from HKLM 
"dmgej.exe"=-
...
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
 
»»»»» 
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSZFM.EXE       51.802 2006-10-10     
C:\WINDOWS\SYSTEM32\DMGEJ.EXE       60.953 2002-08-29
C:\WINDOWS\SYSTEM32\DMPBA.EXE       60.953 2002-08-29
C:\WINDOWS\SYSTEM32\DMPUA.EXE       60.953 2002-08-29
 
Other suspects.
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.
...
Postrun check 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""

et le nouveau rapport hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 16:38:56, on 13/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Documents and Settings\Laetitia\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dbvmzsbcpbdimxcygkywfo.com/_Ws/o6_OXA40gqH4jRYxZP38Rf6OJCSddwtZBNIhhzi4wgc2lBI46IsmdlLJ/O6X.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fhelp%2fHelp4%2f%3f
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B2A84FB8-4237-17CC-6A9A-644D002D8533} - C:\DOCUME~1\Laetitia\APPLIC~1\INTERN~1\UPLOAD TRAY.exe  (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll  (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

merci de ton aide

Séb08 · Answer

ok  :)

Le log Hijack n'est pas complet.

damien78 · Answer

exact désolé voila le log complet : 

Logfile of HijackThis v1.99.1
Scan saved at 16:38:56, on 13/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Documents and Settings\Laetitia\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dbvmzsbcpbdimxcygkywfo.com/_Ws/o6_OXA40gqH4jRYxZP38Rf6OJCSddwtZBNIhhzi4wgc2lBI46IsmdlLJ/O6X.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fhelp%2fHelp4%2f%3f
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B2A84FB8-4237-17CC-6A9A-644D002D8533} - C:\DOCUME~1\Laetitia\APPLIC~1\INTERN~1\UPLOAD TRAY.exe  (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll  (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk.disabled
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Séb08 · Answer

pour controle :

Télécharge ceci:

1)http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)
2) Dézippe-le (clic droit dessus > extraire tout)
et lance lopxp.bat

 Copies et colles le rapport ici.

a+

damien78 · Answer

voila le rapport : Rapport fait à 16:34:38,87 le jeu. 14/12/2006 Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AD47-1DC1 R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 13/06/2004 12:29 62 desktop.ini 13/06/2004 12:29 .. 13/06/2004 12:29 Microsoft 13/06/2004 12:29 . 1 fichier(s) 62 octets 3 R‚p(s) 7035396096 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AD47-1DC1 R‚pertoire de C:\Documents and Settings\All Users\Application Data 14/12/2006 13:59 TEMP 12/12/2006 21:40 Adobe 01/11/2006 19:47 Spybot - Search & Destroy 19/05/2005 13:55 Messenger Plus! 28/02/2005 12:12 Sign Setup Hole Surf 22/12/2004 20:57 UDL 22/06/2004 14:19 QuickTime 13/06/2004 13:22 62 desktop.ini 13/06/2004 13:22 .. 13/06/2004 13:22 Microsoft 13/06/2004 13:22 . 13/06/2004 12:42 MSN Messenger 6.1.0207 1 fichier(s) 62 octets 11 R‚p(s) 7035392000 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AD47-1DC1 R‚pertoire de C:\Documents and Settings\Default User\Application Data 13/06/2004 13:22 62 desktop.ini 13/06/2004 13:22 .. 13/06/2004 13:22 Microsoft 13/06/2004 13:22 . 1 fichier(s) 62 octets 3 R‚p(s) 7035392000 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AD47-1DC1 R‚pertoire de C:\Documents and Settings\Laetitia\Application Data 12/12/2006 21:40 AdobeUM 12/12/2006 21:34 6 dm.ini 12/12/2006 21:34 1218 AdobeDLM.log 07/06/2006 17:31 .BitTornado 10/05/2006 11:56 supertiti 14/12/2005 17:28 .bittorrent 15/09/2005 17:01 Smart Panel 11/05/2005 12:26 Sun 16/03/2005 18:22 Mozilla 07/03/2005 19:58 EPSON 01/03/2005 14:35 Adobe 01/03/2005 14:35 InterTrust 01/11/2004 14:51 InternetFragHope 01/11/2004 14:51 storehtm 12/10/2004 19:55 Macromedia 16/09/2004 16:40 17832 GDIPFONTCACHEV1.DAT 20/07/2004 15:48 Ahead 22/06/2004 14:23 ArcSoft 22/06/2004 14:23 Nikon 15/06/2004 17:45 Help 13/06/2004 12:33 62 desktop.ini 13/06/2004 12:33 .. 13/06/2004 12:33 . 13/06/2004 12:33 Microsoft 4 fichier(s) 19118 octets 20 R‚p(s) 7035392000 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AD47-1DC1 R‚pertoire de C:\WINDOWS\Tasks 22/05/2006 15:41 276 AC2849999187FC61.job 13/06/2004 12:27 6 SA.DAT 13/06/2004 12:25 65 desktop.ini 13/06/2004 12:25 .. 13/06/2004 12:25 . 3 fichier(s) 347 octets 2 R‚p(s) 7.035.392.000 octets libres ****************************************** Recherche dans Program files Le dossier C:\Program Files\C2Media n'existe pas *************** Fin du rapport **************** merci beaucoup de ton aide

Séb08 · Answer

Ok bien :)

désintalle MSG +3 tu le réinstalleras plus tard (sans les sponsors).

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre. 

1/Telecharge ceci: Clean Up 40: 
http://pageperso.aol.fr/balltrap34/CleanUp40.exe 
-aide en image:(merci à Balltrap34). 
http://pageperso.aol.fr/balltrap34/democleanup.htm 

Déconnecte toi d'Internet et ferme tout les programmes en cours. 

 Redémarre en mode sans échec 
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows. 
Choisis le mode sans échec dans les options et valide avec entrée. 
(Si F8 ne marche pas, essai F5) 

 Rend visible les fichiers cachés et système 
panneau de configuration > options des dossiers > onglet affichage 
Cocher la case devant  " afficher les fichiers et dossiers cachés " 
Décocher la case devant " masquer les extensions des fichiers dont le type est connu" 
Décocher la case devant " masquer les fichiers protégés du système" 
clic sur [Appliquer] puis sur [ok] pour valider 
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 

 Lance hijackthis et clic sur [do a system scan only] 
cocher la case au début des lignes suivantes: 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dbvmzsbcpbdimxcygkywfo.com/  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {B2A84FB8-4237-17CC-6A9A-644D002D8533} - C:\DOCUME~1\Laetitia\APPLIC~1\INTERN~1\UPLOAD TRAY.exe (file missing)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)


valider en cliquant sur le bouton [fix checked] 
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 

 Recherche et supprime ces dossiers: 
Supprimer les fichiers en suivant le chemin des fichiers infectés…

S'ils sont présents, supprime (en gras): 

c:\documents and settings\laetitia\applicationData\InternetFragHope 

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 

Ensuite fais Démarrer -> exécuter et tape cmd 
puis  [ok] 

dans la fenêtre qui va s'ouvrir, copie et colle ceci: 

del /a C:\WINDOWS	asks\AC2849999187FC61.job 

et valide en appuyant sur [entrée] 
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 

Ensuite : 

-> Supprime les fichiers temporaires 

Pour ça, exécute cleanup40 (voir démo)

Lance le, vérifie que tu es bien en "option standard", ensuite [cleanup] à la fin tu auras une fenêtre qui s'ouvre clique sur [oui], ton PC va redémarrer.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 
Redémarre normalement et reposte un Hijackthis sur le poste… 

Précises moi ou en sont tes soucis… 

PS : Tu as encore des traces de securitoo supprime les car apparemment il ne tourne plus sur ta bécane.

(Ex -> C:\Program Files\Securitoo)

et installe un vrai parefeu :

Kério (pare feu): 
kerio 
lire le tuto: pour configurer et comprendre Kerio 
https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall
https://www.vulgarisation-informatique.com/kerio.php
https://forums.cnetfrance.fr


A+

damien78 · Answer

Salut désolé pour le retard j'étais absent ce week-end j'ai fais toutes les manip mais le soucis c'est que je n'ai retrouvé aucune trace de securitoo sinon apparement il n'y plus de gros soucis voila le nouveau log merci de ton aide :


C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32	askmgr.exe
C:\Documents and Settings\Laetitia\Bureau\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fhelp%2fHelp4%2f%3f
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll  (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk.disabled
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Séb08 · Answer

Ton log HT n'est pas complet .

Rapport hijack aide svp

10 réponses

Discussions similaires