[Wow et Virus]

Necc -  
did71 Messages postés 2187 Statut Contributeur sécurité -
Bonjour à tous.

Je sollicte votre aide pour un problème récurent depuis hier soir:
Je joue à World Of Warcraft, mais depuis peu et de manière radicale, impossible de passer le serveur d'authentification.
Le message suivant apparait: impossible de vérifier la validiter de votre compte, il se peut qu'il soit corrompu, etc...
J'ai fait le rapport avec un virus/etc car depuis hier, des lancements d'anti-virus inconnus se lancent, des fenetres internet s'ouvrent (sans que je sois sur le net)...
Je pense qu'il y a un lien entre tout ca, car ces problèmes sont simultanés.
J'ai suivi plusieurs des démarches présentes dans ce forum (Smitfraud, Spybot, Ad-Aware, CCleaner), mais rien n'y fait.
Configuration: Windows XP
Internet Explorer 6.0

16 réponses

  1. Niouws Messages postés 815 Statut Membre 105
     
    Assure-toi d'avoir mis tous tes logiciels de protection à jour.
    Si tu ne l'as pas encore fait, installe un pare feu.
    1
  2. necc
     
    C'est ce que je viens de faire.Apparemment, les 2 parasites sont Ultimate defender et quelquechose du style Malicious Software Removal Wizard.
    Mon incapacité à me connecter à wow est parrallele à leurs demandes d'installation.
    1
    1. Niouws Messages postés 815 Statut Membre 105
       
      Je ne m'y connais pas à World Of Warcraft et je ne sais pas si les deux parasites sont coupable de l'échouement de ta connexion à WoW. Mais ce que je t'invite à faire c'est de vouloir télécharger ceci :

      http://membres.lycos.fr/futurezone/HijackThis.exe

      Après le téléchargement exécute le programme et clique sur l'option "Do a system scan and save log file
      Ensuite copie et colle le rapport ici.
      0
    2. necc
       
      Voici la réponse donc :


      Logfile of HijackThis v1.99.1
      Scan saved at 20:28:57, on 19/01/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\SYSTEM32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\ADS Tech\INSTANT TV PVR\Scheduled.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\Program Files\ADS Tech\Instant TV Remote\ADSRMT.exe
      C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
      C:\WINDOWS\system32\netdde.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
      C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Yann\Bureau\SmitfraudFix\HijackThis.exe

      O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\system32\imtqodk.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: (no name) - {8E4AA109-7239-4B85-8196-7377A53DDEFF} - (no file)
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [ADS TVR Agent] C:\Program Files\ADS Tech\INSTANT TV PVR\Scheduled.exe
      O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
      O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Yann\Local Settings\Application Data\wdokbye.dll",bpzgoi
      O4 - HKLM\..\Run: [Ultimate Defender] "C:\Program Files\Ultimate Defender\App.exe" hide
      O4 - Startup: .protected
      O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: .protected
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
      O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
      O4 - Global Startup: TV Remote Control.lnk = C:\Program Files\ADS Tech\Instant TV Remote\ADSRMT.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{01158E8D-F02D-4B29-AD47-506A9501A786}: NameServer = 217.19.192.131,217.19.192.132
      O17 - HKLM\System\CS1\Services\Tcpip\..\{01158E8D-F02D-4B29-AD47-506A9501A786}: NameServer = 217.19.192.131,217.19.192.132
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - AppInit_DLLs: C:\WINDOWS\system32\spnikehw.dll PAVWAIT.DLL
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      0
    3. Niouws Messages postés 815 Statut Membre 105
       
      Supprime ceci :

      O4 - Startup: .protected

      O4 - Global Startup: .protected

      - - -
      Ceci est causé par Ultimate Defender.
      - - -
      0
    4. necc
       
      Déja merci pour toute ton aide.
      Je dois utiliser un tiers programme pour les effacer? Car la, Hijack m'informe qu'ils doivent être en cours d'utilisation, donc impossible à delete.
      0
    5. Niouws Messages postés 815 Statut Membre 105
       
      Quand ils sont en processus actif, il est impossible d'effacer. Tu peux toujours te mettre en mode sans échec. Au mode sans échec, simplement le nécessaire est mis comme processus actif.

      Pour y accéder fais ceci :
      éteint ton ordi et rallume-le et a cet instant précise tu dois tapoter ou appuyer continuelement sur la touche F8 jusqu'à l'affichage d'un écran noir avec textes blanc.

      Choisi le mode sans échec avec réseau.
      Dans ce mode tu pourras effacer les parasites sans problèmes. Pendant le mode sans échec tu pourras effectuer une analyse en ligne sur http://www.secuser.com

      Si jamais il ne te trouve rien... télécharge un de ces utilitaires gratuits mentionés sur la liste http://www.secuser.com

      J'ai aussi oublié de te dire qu'il faut que tu supprimes avec HiJackThis le fichier : O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\system32\imtqodk.dll

      Fais le en mode sans échec.
      Informe-moi en cas de problèmes...
      0
  3. Niouws Messages postés 815 Statut Membre 105
     
    Si tu es plus que débutant en connaissances informatique tu seras capable de terminer les processus toi-mêmes. CTLR+ALT+DELETE et tu termines les processus de ces programmes. Normalement tu devras reconnaître leur nom.

    Ils sont enregistrés comme clé de registre dans le dossier HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN.

    Pour y accéder tu tappes regedit dans exécuter.

    Sinon essaye aussi sur exécuter msconfig dans exécuter.
    Tu cliques sur l'onglet démarrage et tu décoches la(les) cases suspectes, tu pourras t'orienter à l'aide des raccourcis vers les dossiers (ils sont juste à coté des cases à cocher).
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir Necc, niouws,

    Pour faire avancer un peu!

    1) Télécharge SmitfraudFix de S!Ri:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Tu le dézippes sur le Bureau.

    * Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
    Postes le rapport.

    2) Télécharge ce fichier - combofix.exe :

    http://download.bleepingcomputer.com/sUBs/combofix.exe
    http://www.techsupportforum.com/sectools/combofix.exe

    et sauvegarde le sur ton bureau!

    lance le!

    Ne touche a rien et attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Copie/colle un nouveau rapport HijackThis avec.

    a+
    0
  6. Necc
     
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: (no name) - {8E4AA109-7239-4B85-8196-7377A53DDEFF} - (no file)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ADS TVR Agent] C:\Program Files\ADS Tech\INSTANT TV PVR\Scheduled.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Yann\Local Settings\Application Data\wdokbye.dll",bpzgoi
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
    O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: TV Remote Control.lnk = C:\Program Files\ADS Tech\Instant TV Remote\ADSRMT.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{01158E8D-F02D-4B29-AD47-506A9501A786}: NameServer = 217.19.192.131,217.19.192.132
    O17 - HKLM\System\CS1\Services\Tcpip\..\{01158E8D-F02D-4B29-AD47-506A9501A786}: NameServer = 217.19.192.131,217.19.192.132
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - AppInit_DLLs: C:\WINDOWS\system32\spnikehw.dll PAVWAIT.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Nickel :)

    Pour ce qui est de Wow, ca ne change pas...Mais déja un bon point de fait, merci.
    Après m'être renseigné, il y a beaucoup de chance pour qu'un processus tiers soit en marche pendant mon login, ce qui empeche ma connection.

    svchost.exe (service local)
    alg.exe

    svchost.exe (service réseau)
    svchost.exe

    System (system)
    smss.exe
    csrss.exe
    winlogon.exe
    services.exe
    Isass.exe
    svchost.exe
    svchost.exe
    spoolsv.exe
    netdde.exe
    sched.exe
    avguard.exe
    nvsvc32.exe

    explorer.exe (necc)
    Scheduled.exe
    jusched.exe
    avgnt.exe
    KEM.exe
    ADSRMT.exe
    KHALMNPR.exe
    wscntfy.exe

    Voila mon gestionnaire si ca peut faire avancer le schmilblik
    0
  7. Niouws Messages postés 815 Statut Membre 105
     
    Ok merci de tes liens, ça fait un baille que je ne viens plus ici et je ne sais pas si de nouvos prog son sorties...
    0
  8. Necc
     
    Bonsoir Did :)

    Suivant tes conseils, voici les rapports :

    Combo:

    ComboFix 07-01-18 - Running from: "C:\Documents and Settings\Yann\Bureau"

    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\WINDOWS\system32\W007T32W.DLL

    ((((((((((((((((((((((((((((((( Files Created from 2006-12-19 to 2007-01-19 ))))))))))))))))))))))))))))))))))

    2007-01-19 22:12 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe
    2007-01-19 22:12 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-01-19 22:12 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2007-01-19 22:12 40,960 --a------ C:\WINDOWS\system32\swsc.exe
    2007-01-19 22:12 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2007-01-19 22:12 135,168 --a------ C:\WINDOWS\system32\swreg.exe
    2007-01-19 21:09 34,304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
    2007-01-19 21:09 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
    2007-01-19 21:09 <REP> d-------- C:\Program Files\AntiVir PersonalEdition Classic
    2007-01-19 21:09 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\AntiVir PersonalEdition Classic
    2007-01-19 19:21 <REP> d-------- C:\DOCUME~1\Yann\Application Data\Lavasoft
    2007-01-19 19:06 <REP> d-------- C:\Program Files\Lavasoft
    2007-01-19 15:48 <REP> d-------- C:\World of Warcraft
    2007-01-19 15:44 <REP> d-------- C:\Program Files\Yahoo!
    2007-01-19 15:44 <REP> d-------- C:\Program Files\CCleaner
    2007-01-19 02:32 1,620 --a------ C:\WINDOWS\system32\tmp.reg
    2007-01-19 02:12 <REP> d-------- C:\WINDOWS\system32\PreInstall
    2007-01-19 02:06 <REP> d-------- C:\Program Files\MSN Messenger
    2007-01-19 02:06 <REP> d-------- C:\Program Files\Java
    2007-01-19 02:06 <REP> d-------- C:\Program Files\Fichiers communs\Java
    2007-01-19 02:05 <REP> d-------- C:\Program Files\Fichiers communs\Jasc Software Inc
    2007-01-19 02:05 <REP> d-------- C:\DOCUME~1\Yann\Application Data\Jasc Software Inc
    2007-01-19 02:01 <REP> d-------- C:\WINDOWS\network diagnostic
    2007-01-19 01:59 <REP> d-------- C:\19f7a4e73e36a94c208e
    2007-01-19 01:33 <REP> d-------- C:\DOCUME~1\Yann\Application Data\Ultimate Cleaner
    2007-01-19 00:59 <REP> d-------- C:\Program Files\Alwil Software
    2007-01-17 22:42 <REP> d-------- C:\Program Files\Ultimate Cleaner
    2007-01-17 21:42 <REP> d-------- C:\Program Files\system spy server v1.0
    2007-01-17 21:16 93,696 --a------ C:\WINDOWS\system32\wdokbye.dll
    2006-12-31 20:11 <REP> d-------- C:\DOCUME~1\Yann\Application Data\vlc
    2006-12-31 19:11 14 --a------ C:\WINDOWS\system32\systeminfo.dll
    2006-12-31 19:07 <REP> d-------- C:\DOCUME~1\Yann\Application Data\DivX
    2006-12-28 23:28 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Windows Genuine Advantage
    2006-12-28 19:08 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
    2006-12-28 19:05 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF

    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

    [color=red][b]Rootkit driver pe386 is present. A rootkit scan is required[/b][/color]

    2007-01-19 19:59 -------- d-------- C:\Program Files\Fichiers communs\nsv
    2007-01-19 18:17 -------- d-------- C:\Program Files\Fichiers communs\blizzard entertainment
    2007-01-17 23:30 -------- d-------- C:\DOCUME~1\Yann\Application Data\skype
    2007-01-13 14:05 -------- d-------- C:\Program Files\emule
    2007-01-13 01:40 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll
    2006-12-28 12:57 -------- d-------- C:\DOCUME~1\Yann\Application Data\macromedia
    2006-11-25 16:12 -------- d-------- C:\DOCUME~1\Yann\Application Data\dvdcss
    2006-11-02 11:52 44032 --------- C:\WINDOWS\system32\wpdshextres.dll
    2006-10-16 19:10 121663 --a------ C:\DOCUME~1\Yann\Application Data\cosmos prefs

    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
    "IPConfig"=""

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
    "nwiz"="nwiz.exe /install"
    "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
    "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "ADS TVR Agent"="C:\\Program Files\\ADS Tech\\INSTANT TV PVR\\Scheduled.exe"
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
    "SoundMan"="SOUNDMAN.EXE"
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
    "wdokbye.dll"="C:\\WINDOWS\\system32\\rundll32.exe \"C:\\Documents and Settings\\Yann\\Local Settings\\Application Data\\wdokbye.dll\",bpzgoi"
    "avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "appinit_dlls"="C:\WINDOWS\system32\spnikehw.dll PAVWAIT.DLL"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
    "WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
    NetworkService REG_MULTI_SZ DnsCache\0\0
    rpcss REG_MULTI_SZ RpcSs\0\0
    imgsvc REG_MULTI_SZ StiSvc\0\0
    termsvcs REG_MULTI_SZ TermService\0\0
    HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
    DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
    Usnsvc REG_MULTI_SZ usnsvc\0\0
    WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D]
    Shell\AutoRun\command D:\Installer.exe

    Et celui de Smit :

    Executé à partir de C:\Documents and Settings\Yann\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yann

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yann\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Yann\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\WINDOWS\\system32\\spnikehw.dll PAVWAIT.DLL"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

    pe386 détecté, utilisez un scanner de Rootkit

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  9. Necc
     
    Dsl du flood occasionné, j'aurais du sélectionné les passages des rapports...
    0
  10. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    de rien niouws!

    Télécharge ce fichier (par ejvindh)
    http://www.uploads.ejvindh.net/rustbfix.exe
    ...et sauvegarde-le sur ton Bureau.

    Double clique rustbfix.exe afin de lancer l'outil.
    Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
    Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

    a+
    0
  11. Necc
     
    Et voici les 2 rapports :

    ******************* Pre-run Status of system *******************

    Rootkit driver PE386 is found. Starting the unload-procedure....

    Rustock.b-ADS attached to the System32-folder:
    :lzx32.sys 70570
    Total size: 70570 bytes.
    Attempting to remove ADS...
    system32: deleted 70570 bytes in 1 streams.

    Looking for Rustock.b-files in the System32-folder:
    No Rustock.b-files found in system32

    ******************* Post-run Status of system *******************

    Rustock.b-driver on the system: NONE!

    Rustock.b-ADS attached to the System32-folder:
    No System32-ADS found.

    Looking for Rustock.b-files in the System32-folder:
    No Rustock.b-files found in system32

    *******************

    Script file located at: \??\C:\xenrxshl.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Driver PE386 unloaded successfully.
    Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

    Completed script processing.

    *******************
    0
  12. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    Télécharge clean.zip

    http://www2.malekal.com/download/clean.zip

    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, choisis l'option 1.

    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    a+
    0
  13. pier
     
    UP! Mon petit frere est un grand jouer de wow aussi, et le pc a des problemes similaires a mister.. je vous envoie le log de hijackthis ou j'ai trouvé des fichiers identiques decrits plus haut.. si vous pouviez m'aider! merci d'avance
    0
  14. pier
     
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at MekitbOOm 17:29:04, on 17/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\taskswitch.exe
    C:\WINDOWS\system32\rmctrl.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\GameFace Messenger\GameFace.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
    C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
    C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Steam\Steam.exe
    C:\Program Files\CursorXP\CursorXP.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
    C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
    O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
    O4 - HKLM\..\Run: [REV] C:\Documents and Settings\condition zero\Revolution_Script.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
    0
  15. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonjour Pier,

    crée ton propre sujet sur le forum, ça sera plus facile de t'aider!

    a+
    0