infection smitfrau

Question

bonjour
j'ai gagné ! un "smitfrau-c" !
pour m'en débarrasser , jje vais essayer la procèdure de Moe smitfrau c
J ai donc télécharger Smitfraufix et vous joins le rapport
est ce que l'un de vous saurait le lire et me conseiller sur la suite ?
le rapport :
SmitFraudFix v2.132

Rapport fait à 21:57:42,20, 17/01/2007
Executé à partir de C:\Documents and Settings\jc\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jc


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jc\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jc\Favoris

C:\DOCUME~1\jc\Favoris\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


merci pour votre aide 

Bab'

philae83 · Answer

Bonsoir,

il faut passer à la suite

Maintenant :

Utilisation ----- option 2 -Nettoyage :

* Redémarre l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924


* Double clique sur smitfraudfix.cmd


* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.


A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

process.exe  est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

philae83 · Answer

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

philae83 · Answer

OK, 
il faut continuer


* Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:


O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B9214C9-103C-434B-A163-9963ED0CE55E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A35E6CC-02CA-4875-8B76-193AD58CB63E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{7677C952-C736-4B9B-BC8B-EAFC861F3B02}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB9FCE4-4867-495F-B19C-B482F9E33DB5}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD504B29-4097-444A-A645-BF3861B9D2F7}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HijackThis

----------
Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tuutilise un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Clique deux fois sur OK, et redémarre l'ordinateur.

philae83 · Answer

Bonsoir,

démarrer-----------panneau de configuration------------système----------

onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------

redémarre l'ordinateur

* refait un scan kaspersky, reposte le rapport ensuite


* Assure toi d'avoir accès à tous les fichiers


-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage 

puis 

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver  la case : Masquer les fichier protégés du système d'exploitation 

Puis  - Appliquer 

* et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

C:\Documents and Settings\bab\Local Settings\Temporary Internet Files\Content.IE5\------tout le contenu

* Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système

philae83 · Answer

re
il en reste, reposte un rapport Hijackthis stp
notamment rpcc.dll

philae83 · Answer

re

les lignes 017 sont revenues
on recommence

* Télécharge Pocket KillBox sur ton bureau.
http://www.downloads.subratam.org/KillBox.exe
on s'en servira ensuite

je suppose que tu as toujours le fixwareout.

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O4 - HKLM\..\Run: [hyivo.exe] C:\WINDOWS\System32\hyivo.exe 
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B9214C9-103C-434B-A163-9963ED0CE55E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A35E6CC-02CA-4875-8B76-193AD58CB63E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{7677C952-C736-4B9B-BC8B-EAFC861F3B02}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB9FCE4-4867-495F-B19C-B482F9E33DB5}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD504B29-4097-444A-A645-BF3861B9D2F7}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.
A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.


Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tuutilise un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Clique deux fois sur OK, et redémarre l'ordinateur.


puis

* Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
* copie d'un trait les lignes de la citation suivante :

C:\WINDOWS\System32\rpcc.dll 
C:\WINDOWS\System32\hyivo.exe


Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer).

- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- clique sur le bouton "All files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

* vide ta corbeille

Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HijackThis

Bab · Answer

Philae,

je n'avais plus la ligne "04-HKLM......hyivo.exe" je n'ai donc pas pu la fixer !

voici les 2 rapports :

 
Fixwareout 
Last edited 1/14/2006
Post this report in the forums please 
...
Prerun check
»»»»» HKLM run and Winlogon System values
»»»»» System restarted
...
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "dpid" 
...
Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
 
»»»»» 
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
 
Other suspects.
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.
 
»»»»» Postrun check 
»»»»» HKLM run 
»»»»» Winlogon System value
"system"=""
»»»»» 

le second :

Logfile of HijackThis v1.99.1
Scan saved at 23:51:02, on 18/01/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [buxkn.exe] C:\WINDOWS\System32\buxkn.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInstall_fr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/22a687cc8c93a9171e20/netzip/RdxIE601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
O16 - DPF: {EFD3EA56-234D-4240-90EA-CC9FA3AF5A01} (ConnectivityTester Class) - http://motive.club-internet.fr:2112/lwp/static/installers/WebflowActiveXInstaller_4-0-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B9214C9-103C-434B-A163-9963ED0CE55E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A35E6CC-02CA-4875-8B76-193AD58CB63E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{7677C952-C736-4B9B-BC8B-EAFC861F3B02}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB9FCE4-4867-495F-B19C-B482F9E33DB5}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD504B29-4097-444A-A645-BF3861B9D2F7}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Bab'

philae83 · Answer

Bonjour,

désolée pour le retard dans ma réponse, j'étais absente.

ca ne va toujours pas.
On reprend autrement

* Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
 

* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

* Redémarre ton ordinateur en mode sans échec

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis  te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter  et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

et

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B9214C9-103C-434B-A163-9963ED0CE55E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A35E6CC-02CA-4875-8B76-193AD58CB63E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{7677C952-C736-4B9B-BC8B-EAFC861F3B02}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB9FCE4-4867-495F-B19C-B482F9E33DB5}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD504B29-4097-444A-A645-BF3861B9D2F7}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7 
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu du fichier C:\fixwareout\report.txt 

et

Va dans Demarrer > Connections > clic droit sur ta connection > Propriétés > onglet Gestion de réseau
Mets en surbrillance Protocole internet (tcp/ip) puis clic sur le bouton Propriétés

Efface les  IP dans Serveur DNS préfèré et Serveur DNS auxiliaire.
Coche Obtenir les adresses des serveurs DNS automatiquement.
Valides avec OK.

puis 

1- Double-clic sur KillBox.exe
2- Selectionne "Delete on Reboot"
3 - Dans "Full Path of File to Delete"
copie et colle:
C:\WINDOWS\System32\rpcc.dll 
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI 

reviens avec tous les rapports

Bab' · Answer

Bonjour Philae,

je te remercie pour ton aide, et tout comme toi j'ai été absent; la vie n'est pas que derrière notre PC.

J'ai essayé d'appliquer ta dernière prèconisation mais je suis embêtè à l'ouverture du fix; car je n'ai pas accés au mode install; 
Après le telechargement sur mon bureau ;
 je double clique sur l'icone de "déballage" du bureau ; il ouvre dans C/ un fichier "Runthis"
Si je clique dessus, je tombe alors sur le tableau ci-dessous :

                                     (que faire ?)
                ________________________________
   
               To run the SDFix tool please reboot to Safe Mode
       (Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu)



                           COMMAND LINE SCANNERS:


                    1. Download/Run SAV32CLI   (Sophos - 9.75MB)
                    2. Download/Run a-squared  (EMSI Software - 10.5MB)
                    E. EXIT



              (Active Internet Connection Required To Download Files)




Type 1 or 2 to Download and Run the Scanners or E to Exit....


                         ____________________

Peux tu me guider vers la bonne voie ?

Bab'

philae83 · Answer

Bonjour,

lorsque tu l'as téléchargé et enregistré sur ton bureau, c'est zippé, tu fais un clic droit extraire ici, tu auras un dossier jaune.
Tu l'ouvres, dedans tu vas avoir runthis.bat

[img]https://www.casimages.com/img/070121032549293233.png[/img]

Bab' · Answer

re Philae,

Après un bon match de foot, un peu d'informatique !

il me semble que mon fichier est zippé en ".rar" car j'ai la boite jaune et les 3 livres de couleur qui dépasse mais quand je fais le clique droit ; je n'ai pas accés à "extraire" seulement à :
*ouvrir
*éxécuter en tant que
* analyse SDFix.exe
* ajouter 
etc copier:coller...

Je fais donc ouvrir et là i l m'ouvre un fichier sous C/ SDFix qui ressemble à celui de l'image que tu m'as envoyè mais sans le dossier jaune "apps" mais avec le reste
Et là quand je clique sur "runthis", je retombe sur le tableau que je t'ai collé sur le message prècèdent !

Existe t-il un autre lien pour tèlècharger ce fix ?


Bab'

philae83 · Answer

re
non pas d'autres liens.
ce qui ne changera somme toute rien du tout

tu vas prendre le dossier qui s'est mit dans C et tu le mets sur le burea

puis tu 
* Redémarre ton ordinateur en mode sans échec

http://service1.symantec.com/

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

Bab' · Answer

Philae,

Bien vue, comme dictée cette fois cela a bien fonctionné !
Voici le rapport
Je reste en ligne 
Bab'


SDFix: Version 1.60

21/01/2007 - 18:08:28,50

Microsoft Windows XP [version 5.1.2600]

Running From: C:\Documents and Settings\jc\Bureau\SDFix

Safe Mode:
Checking Services: 

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File

Killing PID 164 'smss.exe'
Killing PID 236 'winlogon.exe'
Killing PID 236 'winlogon.exe'

Rebooting...

Normal Mode:
Checking Files:

Files will be copied to Backups folder and removed:

C:\WINDOWS\system32.exe - Deleted
C:\WINDOWS\system32\rpcc.dll - Deleted



Alternate Streams Check:

C:\WINDOWS\system32
No streams found.

                                 Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\jc\Bureau\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\Program Files\Driver\CardReader\Make bootable flashcards\IO.SYS
C:\Program Files\Driver\CardReader\Make bootable flashcards\MSDOS.SYS
C:\Documents and Settings\bab\Local Settings\Temp\$b17a2e8.tmp

                                 Finished

philae83 · Answer

parfait, reprend le poste NO 15 et fait la suite stp

Bab' · Answer

Philae,

je déroule le poste 15; je te joins déja les 2 reports Fixwareout et Hijackthis.

J'ai voulu aller effacer les IP mais dans "démarrer" je n'ai pas accés directement à "connections" ! 
faut-il aller le chercher dans "panneau de config\Connexions réseau\" 
si oui, après est-ce passerelle internet ou réseau local (ds réseau local j'ai encore connexion1394 et connexion au reseau local 5 ou 3) ?

Bab'

Fixwareout 
Last edited 1/14/2006
Post this report in the forums please 
...
Prerun check
»»»»» HKLM run and Winlogon System values
»»»»» System restarted
...
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "dpid" 
...
Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
 
»»»»» 
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
 
Other suspects.
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.
 
»»»»» Postrun check 
»»»»» HKLM run 
»»»»» Winlogon System value
"system"=""
»»»»» 

Logfile of HijackThis v1.99.1
Scan saved at 18:36:40, on 21/01/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [bvxnf.exe] C:\WINDOWS\System32\bvxnf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInstall_fr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/22a687cc8c93a9171e20/netzip/RdxIE601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
O16 - DPF: {EFD3EA56-234D-4240-90EA-CC9FA3AF5A01} (ConnectivityTester Class) - http://motive.club-internet.fr:2112/lwp/static/installers/WebflowActiveXInstaller_4-0-0.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

philae83 · Answer

* Copie les lignes de la citation suivante, d'un trait :


Files to Delete:
C:\WINDOWS\System32\bvxnf.exe 

--> Clic droit / "copier"

Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".

* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)

* Télécharge à présent The Avenger
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc

après le redémarrage :

* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.
ainsi qu'un nouveau Log HijackThis

Bab' · Answer

Voila les 2 rapports !
Bizzarerie, pendant le travail de avenger, il a ouvert une fenetre pour dire qu'il n'y avait pas de disque ds le lecteur ; quand je faisais en réponse continuer il ne prenait pas en compte la réponse donc j'ai fait annuler ! il y avait une allusion à "cmd.exe"
voila les dernieres news...


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kcgkidma

*******************

Script file located at: \??\C:\WINDOWS\System32\lufssubd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\bvxnf.exe not found!
Deletion of file C:\WINDOWS\System32\bvxnf.exe failed!

Could not process line:
C:\WINDOWS\System32\bvxnf.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.


Logfile of HijackThis v1.99.1
Scan saved at 19:25:15, on 21/01/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [prayb.exe] C:\WINDOWS\System32\prayb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInstall_fr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/22a687cc8c93a9171e20/netzip/RdxIE601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
O16 - DPF: {EFD3EA56-234D-4240-90EA-CC9FA3AF5A01} (ConnectivityTester Class) - http://motive.club-internet.fr:2112/lwp/static/installers/WebflowActiveXInstaller_4-0-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B9214C9-103C-434B-A163-9963ED0CE55E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A35E6CC-02CA-4875-8B76-193AD58CB63E}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{7677C952-C736-4B9B-BC8B-EAFC861F3B02}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB9FCE4-4867-495F-B19C-B482F9E33DB5}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD504B29-4097-444A-A645-BF3861B9D2F7}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

philae83 · Answer

re

sincèrement je ne comprends pas.

Peux tu faire un scan antivirus en ligne ici
https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm
et poster le rapport ensuite
(désactive ton antivirus pour le temps du scan stp) avast et panda ne s'aiment pas

Bab' · Answer

Bonjour Philae,

Voici le rapport de panda activescan;
Bab'

Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Outil indésirable:Application/MyWebSearch                                       No Désinfecté                 c:\windows\system32\ymnsw.exe                                                                                                                                                                                                                                   
Adware:adware/ncase                                                             No Désinfecté                 c:	emp\salm.log                                                                                                                                                                                                                                                
Outil indésirable:application/winfixer2005                                      No Désinfecté                 c:\windows\downloaded program files\USDR6V_0001_D18M3107NetInstaller.exe                                                                                                                                                                                        
Adware:adware/cws                                                               No Désinfecté                 C:\Documents and Settings\jc\Favoris\Going Places                                                                                                                                                                                                               
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\jc\Bureau\SDFix\apps\Process.exe                                                                                                                                                                                                      
Adware:Adware/WUpd                                                              No Désinfecté                 C:\Documents and Settings\jc\Bureau\SDFix\backups\backups.zip[backups/system32.exe]                                                                                                                                                                             
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\jc\Bureau\SDFix.exe[SDFix\apps\Process.exe]                                                                                                                                                                                           
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\jc\Bureau\SmitfraudFix\SmitfraudFix\Process.exe                                                                                                                                                                                       
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\jc\Bureau\SmitfraudFix.zip[SmitfraudFix/Process.exe]                                                                                                                                                                                  
Spyware:Cookie/2o7                                                              No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@112.2o7[1].txt                                                                                                                                                                                                          
Spyware:Cookie/Systemdoctor                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@2006[2].txt                                                                                                                                                                                                             
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@247realmedia[2].txt                                                                                                                                                                                                     
Spyware:Cookie/2o7                                                              No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@2o7[1].txt                                                                                                                                                                                                              
Spyware:Cookie/888                                                              No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@888[1].txt                                                                                                                                                                                                              
Spyware:Cookie/YieldManager                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@ad.yieldmanager[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Hbmediapro                                                       No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@adopt.hbmediapro[2].txt                                                                                                                                                                                                 
Spyware:Cookie/Adtech                                                           No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@adtech[2].txt                                                                                                                                                                                                           
Spyware:Cookie/adultfriendfinder                                                No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@adultfriendfinder[1].txt                                                                                                                                                                                                
Spyware:Cookie/Advertising                                                      No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@advertising[1].txt                                                                                                                                                                                                      
Spyware:Cookie/Adviva                                                           No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@adviva[2].txt                                                                                                                                                                                                           
Spyware:Cookie/Atlas DMT                                                        No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@atdmt[2].txt                                                                                                                                                                                                            
Spyware:Cookie/Atwola                                                           No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@atwola[1].txt                                                                                                                                                                                                           
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@bluestreak[2].txt                                                                                                                                                                                                       
Spyware:Cookie/bravenetA                                                        No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@bravenet[1].txt                                                                                                                                                                                                         
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@bs.serving-sys[2].txt                                                                                                                                                                                                   
Spyware:Cookie/BurstNet                                                         No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@burstnet[2].txt                                                                                                                                                                                                         
Spyware:Cookie/Cassava                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@cassava[1].txt                                                                                                                                                                                                          
Spyware:Cookie/Cgi-bin                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@cgi-bin[5].txt                                                                                                                                                                                                          
Spyware:Cookie/Com.com                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@com[2].txt                                                                                                                                                                                                              
Spyware:Cookie/tracker                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@counter3.tracker[1].txt                                                                                                                                                                                              
Spyware:Cookie/cs.sexcounter                                                    No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@cs.sexcounter[2].txt                                                                                                                                                                                                    
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@doubleclick[1].txt                                                                                                                                                                                                      
Spyware:Cookie/DriveCleaner                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@drivecleaner[1].txt                                                                                                                                                                                                     
Spyware:Cookie/FastClick                                                        No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@fastclick[2].txt                                                                                                                                                                                                        
Spyware:Cookie/fe.lea.lycos                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@fe.lea.lycos[1].txt                                                                                                                                                                                                     
Spyware:Cookie/Comclick                                                         No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@fl01.ct2.comclick[2].txt                                                                                                                                                                                                
Spyware:Cookie/GoStats                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@gostats[2].txt                                                                                                                                                                                                          
Spyware:Cookie/Go                                                               No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@go[1].txt                                                                                                                                                                                                               
Spyware:Cookie/Mediaplex                                                        No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@mediaplex[1].txt                                                                                                                                                                                                        
Spyware:Cookie/2o7                                                              No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@microsoftwga.112.2o7[1].txt                                                                                                                                                                                             
Spyware:Cookie/Overture                                                         No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@overture[2].txt                                                                                                                                                                                                         
Spyware:Cookie/Searchportal                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@searchportal.information[1].txt                                                                                                                                                                                         
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@serving-sys[2].txt                                                                                                                                                                                                      
Spyware:Cookie/SexList                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@sexlist[1].txt                                                                                                                                                                                                          
Spyware:Cookie/tracker                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@tracker[1].txt                                                                                                                                                                                                       
Spyware:Cookie/SpywareStormer                                                   No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@spywarestormer[1].txt                                                                                                                                                                                                   
Spyware:Cookie/DriveCleaner                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@stats.drivecleaner[2].txt                                                                                                                                                                                               
Spyware:Cookie/Reliablestats                                                    No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@stats1.reliablestats[2].txt                                                                                                                                                                                             
Spyware:Cookie/Systemdoctor                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@systemdoctor[1].txt                                                                                                                                                                                                     
Spyware:Cookie/Mammamediasolutions                                              No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@targetnet[1].txt                                                                                                                                                                                                        
Spyware:Cookie/Toplist                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@toplist[1].txt                                                                                                                                                                                                          
Spyware:Cookie/Com.com                                                          No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@uol.com[1].txt                                                                                                                                                                                                          
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@weborama[1].txt                                                                                                                                                                                                         
Spyware:Cookie/DriveCleaner                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@www.drivecleaner[2].txt                                                                                                                                                                                                 
Spyware:Cookie/myaffiliateprogram                                               No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@www.myaffiliateprogram[2].txt                                                                                                                                                                                           
Spyware:Cookie/Systemdoctor                                                     No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@www.systemdoctor[1].txt                                                                                                                                                                                                 
Spyware:Cookie/Buydomains                                                       No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@www47.buydomains[1].txt                                                                                                                                                                                                 
Spyware:Cookie/Seeq                                                             No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@www48.seeq[1].txt                                                                                                                                                                                                       
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@xiti[1].txt                                                                                                                                                                                                             
Spyware:Cookie/XCounter                                                         No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@xcounter[1].txt                                                                                                                                                                                                       
Spyware:Cookie/Zedo                                                             No Désinfecté                 C:\Documents and Settings\jc\Cookies\jc@zedo[1].txt                                                                                                                                                                                                             
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\jc\Local Settings\Temp\Cookies\jc@bluestreak[1].txt                                                                                                                                                                                   
Spyware:Cookie/tracker                                                          No Désinfecté                 C:\Documents and Settings\jc\Local Settings\Temp\Cookies\jc@counter3.tracker[1].txt                                                                                                                                                                          
Spyware:Cookie/Hitbox                                                           No Désinfecté                 C:\Documents and Settings\jc\Local Settings\Temp\Cookies\jc@hitbox[2].txt                                                                                                                                                                                       
Spyware:Cookie/Hitbox                                                           No Désinfecté                 C:\Documents and Settings\jc\Local Settings\Temp\Cookies\jc@phg.hitbox[1].txt                                                                                                                                                                                   
Spyware:Cookie/SexList                                                          No Désinfecté                 C:\Documents and Settings\jc\Local Settings\Temp\Cookies\jc@sexlist[2].txt                                                                                                                                                                 
Spyware:Cookie/XCounter                                                         No Désinfecté                 C:\Documents and Settings\jc\Local Settings\Temp\Cookies\jc@xcounter[1].txt                                                                                                                                                                                   
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\jc\Mes documents\doc2.doc[Sdfix.exe][SDFix\apps\Process.exe]                                                                                                                                                                          
Adware:Adware/Gator                                                             No Désinfecté                 C:\Program Files\MUSK Codec Pack v5\5.1\5.1.exe[Gain_Trickler.exe]                                                                                                                                                                                              
Outil indésirable:Application/SystemDoctor2006                                  No Désinfecté                 C:\WINDOWS\Downloaded Program Files\CONFLICT.1\USDR6V_0001_D18M3107NetInstaller.exe                                                                                                                                                                             
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\WINDOWS\system32\Process.exe

philae83 · Answer

Bonsoir,

on reprend

tu fais toutes les manips dans l'ordre à la suite les unes des autres stp.



Démarrer, Exécuter et taper cmd ; la fenêtre de commandes s'ouvre.

Tu tapes (fait attention aux espaces, à la syntaxe)

del "c:\windows\downloaded program files\USDR6V_0001_D18M3107NetInstaller.exe"

et la meme manip

del "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\USDR6V_0001_D18M3107NetInstaller.exe”

Il n'y aura pas de message de confirmation si tout se passe bien. Dans le cas contraire, un message d'erreur s'affichera.

puis

* Assure toi d'avoir accès à tous les fichiers
-démarrer
-poste de travail ou autre dossier
-menu outils
-options de dossier
-onglet affichage
 puis
 - activer la case : Afficher les fichiers et dossiers cachés 
- désactiver la case : Masquer les extensions des fichiers dont le type est connu
- désactiver  la case : Masquer les fichier protégés du système d'exploitation 
 Puis  - Appliquer 
 * et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

C:\Documents and Settings\jc\Favoris\Going Places
c:	emp\-------------tout le contenu

puis
on utilise à nouveau killbox (tu as du le conserver)

1- Double-clic sur KillBox.exe 
2- Selectionne "Delete on Reboot" 
3 - Dans "Full Path of File to Delete" 
copie et colle: 

c:\windows\system32\ymnsw.exe 

5- clic sur le rond rouge 
6- une fenetre va apparaitre pour confirmation clic sur OUI 
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI

puis
tu reprends smitfraud

* double clic sur l'exe pour le décompresser et lancer le fix. 
Utilisation ----- option 1 - Recherche : 
* Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection. 
* Poste le rapport ici 
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Conserve le rapport, tu le posteras ensuite

Et tu passes à l'option 2

Utilisation ----- option 2 -Nettoyage :
* Redémarre l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

* Double clique sur smitfraudfix.cmd

* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. 
A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

conserve le rapport tu le posteras ensuite

puis

on reprend le fixwareout
fait bien attention à la manière de l’utiliser


Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. 
Ton système mettra un peu plus de temps au démarrage, c'est normal. 

Quand ton système aura redémarré, suis les invites des messages. 
Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7 
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B9214C9-103C-434B-A163-9963ED0CE55E}: NameServer = 85.255.116.139,85.255.112.7 
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A35E6CC-02CA-4875-8B76-193AD58CB63E}: NameServer = 85.255.116.139,85.255.112.7 
O17 - HKLM\System\CCS\Services\Tcpip\..\{7677C952-C736-4B9B-BC8B-EAFC861F3B02}: NameServer = 85.255.116.139,85.255.112.7 
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB9FCE4-4867-495F-B19C-B482F9E33DB5}: NameServer = 85.255.116.139,85.255.112.7 
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD504B29-4097-444A-A645-BF3861B9D2F7}: NameServer = 85.255.116.139,85.255.112.7 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7 
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7 
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6F5E59-D53B-403F-B960-3C795E4A8FC1}: NameServer = 85.255.116.139,85.255.112.7 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.139 85.255.112.7

Clique sur Fix Checked. ou fixer objet 
 Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.


----------
Si et seulement si il y a des difficultés de connexion après cette manip: 
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau 
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tuutilise un modem téléphonique, et choisir Propriétés. 
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement. 
Clique deux fois sur OK, et redémarre l'ordinateur.


Puis

Va dans Demarrer > Connections > clic droit sur ta connection > Propriétés > onglet Gestion de réseau
Mets en surbrillance Protocole internet (tcp/ip) puis clic sur le bouton Propriétés

Efface les  IP dans Serveur DNS préfèré et Serveur DNS auxiliaire.
Coches Obtenir les adresses des serveurs DNS automatiquement.
Valides avec OK.

Redémarre le PC

Et reposte un nouveau rapport hijackthis
les rapports de smitfraud,
C:\fixwareouteport.txt avec un nouveau rapport HijackThis

Bab' · Answer

Bonjour Philae,

Le travail m'a occupé et je n'avais pas pu réaliser tes dernières recommandations.
c'est chose faite !

Ci dessous, tous les rapports !
Mais avant cela, je te joins 1 copie du mail que je recois régulièrement d'Internet; si cela t'aide dans ton raisonnement.
Bien à toi
Bab'

 
 

Cher internaute, 

Nous avons recu differentes plaintes nous informant que votre systeme est infecte par un virus. Ce dernier utilise votre ordinateur afin d'effectuer des attaques virales sur d'autres systemes. Merci de verifier l'integrite de vos disques a l'aide d'un antivirus mis a jour afin de vous assurer que ces attaques cessent. 

Afin de verifier l'intégrité de votre ordinateur, nous vous recommandons d'utiliser le service antivirus en ligne mise à votre disposition sur http://securite.club-internet.fr

Nous vous remercions de votre cooperation.

_______________________________________________________________
Service Abuse Club-Internet
T-Online France
11 rue de Cambrai 75927 Paris Cedex 19
https://actus.sfr.fr

   
 
Découvrez toutes nos nouvelles offres, nos options et nos services exclusifs sur votre espace "Mon Compte", à l'adresse : http://espaceabonnes.club-internet.fr/compte

Cordialement,

Le Service Clients de Club Internet.
http://assistance.club-internet.fr 


LES RAPPORTS :

Pocket Killbox version 2.0.0.648
Running on Windows XP as jc(Administrator)
was started @ dimanche, janvier 28, 2007, 11:33 AM
 
# 1 [Delete on Reboot]
Path = c:\windows\system32\ymnsw.exe

 
PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:35:04 AM
# 2 [Delete on Reboot]
Path = c:\windows\system32\ymnsw.exe

 
PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:37:02 AM
# 3 [Delete on Reboot]
Path = c:\windows\system32\ymnsw.exe

 
PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:37:34 AM
# 4 [Delete on Reboot]
Path = c:\windows\system32\ymnsw.exe

 
PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:38:37 AM
Killbox Closed(Exit) @ 11:38:43 AM
__________________________________________________
 
SmitFraudFix v2.132

Rapport fait à 11:40:16,28, 28/01/2007
Executé à partir de C:\Documents and Settings\jc\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»»_

_______________________________

 
Fixwareout 
Last edited 1/14/2006
Post this report in the forums please 
...
Prerun check
»»»»» HKLM run and Winlogon System values
»»»»» System restarted
...
Reg Entries that were deleted 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "dpid" 
...
Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
 
»»»»» 
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
 
Other suspects.
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.
 
»»»»» Postrun check 
»»»»» HKLM run 
»»»»» Winlogon System value
"system"=""
»»»»» 

__________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 11:53:49, on 28/01/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [katua.exe] C:\WINDOWS\System32\katua.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInstall_fr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/22a687cc8c93a9171e20/netzip/RdxIE601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
O16 - DPF: {EFD3EA56-234D-4240-90EA-CC9FA3AF5A01} (ConnectivityTester Class) - http://motive.club-internet.fr:2112/lwp/static/installers/WebflowActiveXInstaller_4-0-0.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

______________________

philae83 · Answer

Bonjour,

désolée pour le retard, j'étais absente. 
Peux tu refaire un scan panda ce n'est toujours pas ok.
poste le rapport ici ensuite

Bab' · Answer

Bonsoir Philae,

j'ai fait le pandascan; il m'a dit "analyse terminée, aucun virus trouvé" mais il ne m'a fait aucun rapport.
Souhaites tu que j'execute un autre scan de type ? (si oui donne moi un nom car je suis candide...sur ce point particulièrement).
J'attend de te lire
Philae c'est pour l'ile sur le Nil ou l'entitè SSII de conseil et ingenérie info. (basé ds le  sud de la france) ?
A bientôt
Bab'

philae83 · Answer

bonsoir,

Philae c'est pour l'ile sur le Nil 
c'est pour l'Egypte.

essaye un scan ici
http://www.bitdefender.fr/scan8/ie.html

Infection smitfrau

24 réponses

Votre réponse

Discussions similaires

Newsletters