Spyware video activex object Résolu/Fermé

Question

Bonjour, jai chopé cette saleté de video activex object en croyant que c'était un plug-in pour wmp, et maintenant, une icone nommé system alert a été placée dans ma barre des taches . je sais qu'il faut faire un scan avec smitfraudfix et hijackthis. mais j'aurai besoin d'aide pour la suite svp. Pourriez vous m'aiguiller?merci
voici le rapport smitfraudfix :

SmitFraudFix v2.138

Rapport fait à 9:39:58,70, 03/03/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Moi.ASUS


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Moi.ASUS\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MOI~1.ASU\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2acf3add-34a1-4f2f-99cf-cc69785d1e90}"="exemplars"

[HKEY_CLASSES_ROOT\CLSID\{2acf3add-34a1-4f2f-99cf-cc69785d1e90}\InProcServer32]
@="C:\WINDOWS\system32\cwgppb.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2acf3add-34a1-4f2f-99cf-cc69785d1e90}\InProcServer32]
@="C:\WINDOWS\system32\cwgppb.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="nahama.dll,nanera.dll,pysota.dll,takiseta.dll,tumeviva.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Et voici le rapport de hijack this :

Logfile of HijackThis v1.99.1
Scan saved at 09:40:32, on 03/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32	akisetl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnsyslog] C:\WINDOWS\msnlogm.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [VF0070 STISvc] RunDLL32.exe V0070Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [Open intra dead camp] C:\Documents and Settings\All Users\Application Data\burnloveopenintra\Drv poke.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: nahama.dll,nanera.dll,pysota.dll,takiseta.dll,tumeviva.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: exemplars - {2acf3add-34a1-4f2f-99cf-cc69785d1e90} - C:\WINDOWS\system32\cwgppb.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Naham Service (NahamSrv) - Unknown owner - C:\WINDOWS\system32
aham.exe
O23 - Service: Naner Service (NanerSrv) - Unknown owner - C:\WINDOWS\system32
aner.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset
od32krn.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pysot Service (PysotSrv) - Unknown owner - C:\WINDOWS\system32\pysot.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Takiset Service (TakisetSrv) - Unknown owner - C:\WINDOWS\system32	akiset.exe
O23 - Service: Tumeviv Service (TumevivSrv) - Unknown owner - C:\WINDOWS\system32	umeviv.exe

Merci à l'avance de votre aide.

philae83 · Answer

Bonjour,

* Télécharge LopXPMH sur ton Bureau.
http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir.

Manutlse · Answer

voila le rapport de log XPMH : Rapport fait à 14:44:34,15 le 03/03/2007 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 21/01/2007 23:09 . 21/01/2007 23:09 .. 21/01/2007 23:10 Creative 21/01/2007 23:09 Identities 21/01/2007 23:14 Macromedia 21/01/2007 23:09 Microsoft 21/01/2007 23:10 Mozilla 21/01/2007 23:10 Real 21/01/2007 23:42 vlc 21/01/2007 23:09 62 desktop.ini 1 fichier(s) 62 octets 9 R‚p(s) 16ÿ360ÿ714ÿ240 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 21/01/2007 23:09 . 21/01/2007 23:09 .. 21/01/2007 23:09 Microsoft 21/01/2007 23:10 Mozilla 21/01/2007 23:09 34ÿ312 GDIPFONTCACHEV1.DAT 22/01/2007 17:23 3ÿ242ÿ666 IconCache.db 2 fichier(s) 3ÿ276ÿ978 octets 4 R‚p(s) 16ÿ360ÿ714ÿ240 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\All Users\Application Data 29/01/2006 15:03 . 29/01/2006 15:03 .. 12/08/2006 13:38 Ahead 15/01/2007 23:10 Apple Computer 28/12/2006 22:15 burnloveopenintra 10/11/2006 12:39 CanonBJ 15/01/2007 22:05 Comodo 11/06/2006 11:02 DVD Shrink 27/06/2006 19:21 Exetender 06/06/2006 21:42 Macromedia 29/01/2006 15:03 Microsoft 07/03/2006 21:30 MSN6 29/05/2006 17:25 Sony Corporation 02/02/2006 16:37 Spybot - Search & Destroy 04/10/2006 17:09 Symantec 06/07/2006 09:46 Windows Genuine Advantage 29/01/2006 15:04 62 desktop.ini 1 fichier(s) 62 octets 16 R‚p(s) 16ÿ360ÿ714ÿ240 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\Default User\Application Data 29/01/2006 15:03 . 29/01/2006 15:03 .. 29/01/2006 15:03 Microsoft 29/01/2006 15:04 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 16ÿ360ÿ714ÿ240 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 29/01/2006 15:04 . 29/01/2006 15:04 .. 0 fichier(s) 0 octets 2 R‚p(s) 16ÿ360ÿ714ÿ240 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\LocalService\Application Data 29/01/2006 16:11 . 29/01/2006 16:11 .. 29/01/2006 16:11 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 16ÿ360ÿ714ÿ240 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 29/01/2006 16:11 . 29/01/2006 16:11 .. 29/01/2006 16:11 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 16ÿ360ÿ714ÿ240 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\Moi\Application Data 29/01/2006 17:01 . 29/01/2006 17:01 .. 29/01/2006 18:02 Adobe 12/08/2006 14:49 Ahead 15/01/2007 23:17 Apple Computer 10/11/2006 12:49 ArcSoft 12/12/2006 19:04 BSplayer 10/11/2006 12:51 Canon 15/01/2007 22:05 Comodo 28/07/2006 08:09 Creative 15/08/2006 09:54 Elaborate Bytes 28/12/2006 22:14 eqstopdead 15/03/2006 18:59 Google 29/01/2006 17:02 Identities 29/01/2006 18:02 InterTrust 11/10/2006 17:24 IsolatedStorage 02/02/2006 16:58 Macromedia 29/01/2006 17:01 Microsoft 09/04/2006 18:04 Microsoft Web Folders 01/02/2006 17:26 Mozilla 07/03/2006 21:29 MSN6 06/05/2006 18:52 Real 26/09/2006 21:28 Skype 15/08/2006 09:51 SlySoft 29/05/2006 17:23 Sony Corporation 13/03/2006 22:39 Sun 04/10/2006 17:09 Symantec 16/01/2007 19:46 Talkback 07/03/2006 20:03 Thunderbird 11/03/2006 19:40 vlc 15/08/2006 09:50 125 .zreglib 09/06/2006 18:59 1ÿ308 AdobeDLM.log 29/01/2006 17:01 62 desktop.ini 09/06/2006 18:59 637 dm.ini 27/05/2006 10:57 34ÿ312 GDIPFONTCACHEV1.DAT 5 fichier(s) 36ÿ444 octets 30 R‚p(s) 16ÿ360ÿ710ÿ144 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\Moi\Local Settings\Application Data 29/01/2006 17:01 . 29/01/2006 17:01 .. 12/04/2006 13:45 Ahead 15/01/2007 23:17 Apple Computer 16/01/2007 19:56 ApplicationHistory 15/03/2006 18:59 Google 29/01/2006 17:01 Microsoft 01/02/2006 17:26 Mozilla 04/06/2006 22:11 Stardock 09/03/2006 17:52 WMTools Downloaded Files 29/01/2006 18:02 136ÿ704 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 16/01/2007 19:56 126 fusioncache.dat 05/03/2006 23:42 34ÿ312 GDIPFONTCACHEV1.DAT 3 fichier(s) 171ÿ142 octets 10 R‚p(s) 16ÿ360ÿ710ÿ144 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\Moi.ASUS\Application Data 20/01/2007 12:07 . 20/01/2007 12:07 .. 21/01/2007 21:38 Adobe 24/01/2007 21:36 Canon 20/01/2007 12:08 Creative 20/01/2007 12:14 eqstopdead 20/01/2007 12:07 Identities 20/01/2007 13:26 Macromedia 20/01/2007 12:07 Microsoft 20/01/2007 12:08 Mozilla 20/01/2007 12:08 Real 20/01/2007 13:05 SlySoft 20/01/2007 13:33 Thunderbird 20/01/2007 17:21 vlc 28/01/2007 22:46 319 AdobeDLM.log 20/01/2007 12:07 62 desktop.ini 28/01/2007 22:46 0 dm.ini 3 fichier(s) 381 octets 14 R‚p(s) 16ÿ360ÿ710ÿ144 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\Moi.ASUS\Local Settings\Application Data 20/01/2007 12:07 . 20/01/2007 12:07 .. 21/01/2007 11:11 Ahead 20/01/2007 13:46 ApplicationHistory 20/01/2007 12:07 Microsoft 20/01/2007 12:08 Mozilla 20/01/2007 12:54 Stardock 21/01/2007 11:06 8ÿ192 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 20/01/2007 13:46 131 fusioncache.dat 20/01/2007 12:07 34ÿ312 GDIPFONTCACHEV1.DAT 20/01/2007 13:27 1ÿ575ÿ194 IconCache.db 4 fichier(s) 1ÿ617ÿ829 octets 7 R‚p(s) 16ÿ360ÿ706ÿ048 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\NetworkService\Application Data 29/01/2006 16:11 . 29/01/2006 16:11 .. 29/01/2006 16:11 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 16ÿ360ÿ706ÿ048 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 29/01/2006 16:11 . 29/01/2006 16:11 .. 29/01/2006 16:11 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 16ÿ360ÿ706ÿ048 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 29/01/2006 16:02 . 29/01/2006 16:02 .. 29/01/2006 16:02 Microsoft 29/01/2006 16:02 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 16ÿ360ÿ706ÿ048 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 29/01/2006 16:02 . 29/01/2006 16:02 .. 05/03/2006 23:42 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 16ÿ360ÿ706ÿ048 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\WINDOWS\Tasks 28/12/2006 22:16 262 AA214AB1917AFB9D.job 29/01/2006 15:58 6 SA.DAT 29/01/2006 15:55 65 desktop.ini 29/01/2006 15:55 .. 29/01/2006 15:55 . 3 fichier(s) 333 octets 2 R‚p(s) 16ÿ360ÿ706ÿ048 octets libres ****************************************** ## Répertoires de Program files Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\Program Files 02/03/2007 17:22 . 02/03/2007 17:22 .. 20/01/2007 17:53 Act 3d 21/10/2006 21:56 Adobe 12/08/2006 13:42 Ahead 10/11/2006 12:40 ArcSoft 01/02/2006 14:47 ASUS 15/04/2006 08:50 AviSynth 2.5 26/01/2007 20:50 BitTorrent 19/04/2006 19:00 burnatonce 10/11/2006 12:43 Canon 25/12/2006 19:00 Creative 20/04/2006 15:13 Creative Labs 31/01/2007 16:26 DeliPlayer2 21/08/2006 18:52 DivX 16/01/2007 19:58 Eidos Interactive 14/11/2006 19:02 Elaborate Bytes 02/03/2007 12:20 eMule 17/01/2007 19:06 ESET 10/11/2006 12:40 Fichiers communs 28/02/2007 18:42 FileZilla 19/01/2007 18:33 Frozen-Bubble 20/01/2007 12:53 Internet Explorer 07/01/2007 17:36 IZArc 01/03/2007 08:48 Java 25/01/2007 16:06 Kit ADSL 07/07/2006 09:10 LG Electronics 07/07/2006 09:09 LGGSM 01/11/2006 20:17 LittleFighter2 25/12/2006 18:55 Logitech 06/06/2006 21:59 Macromedia 07/03/2006 20:04 Messenger 28/12/2006 22:13 Messenger Plus! Live 09/04/2006 18:03 microsoft frontpage 14/11/2006 19:11 Microsoft Games 09/04/2006 18:04 Microsoft Office 19/03/2006 16:44 Microsoft Visual Studio 15/08/2006 18:37 Microsoft Works 05/03/2006 23:34 Movie Maker 03/03/2007 14:42 Mozilla Firefox 20/01/2007 11:47 Mozilla Thunderbird 29/01/2006 15:53 MSN Gaming Zone 03/03/2007 13:35 MSN Messenger 18/04/2006 16:47 MSN Multiconnect 20/01/2007 21:09 MSNTools 18/11/2006 06:51 MSXML 4.0 01/11/2006 20:04 NetMeeting 20/01/2007 12:53 Outlook Express 17/08/2006 18:40 poolmup 06/05/2006 18:53 Real 15/04/2006 08:49 Ripp-it_AM 20/01/2007 11:03 RSSoft 02/02/2006 16:06 SereneScreen 29/01/2006 17:04 SiS Compatible VGA V2.09f 26/09/2006 21:28 Skype 15/10/2006 19:48 SlySoft 29/05/2006 17:26 Sony 19/01/2007 20:10 Spybot - Search & Destroy 01/02/2006 14:39 Synaptics 02/02/2006 16:05 Ultra_Iso_7_22_fr 06/03/2006 20:49 USB Driver-Express 11/03/2006 19:39 VideoLAN 20/01/2007 12:53 Windows Media Player 05/03/2006 23:31 Windows NT 29/01/2006 15:59 xerox 14/01/2007 22:16 Zetrix 0 fichier(s) 0 octets 66 R‚p(s) 16ÿ360ÿ701ÿ952 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\MOI.ASUS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\MFZ529K1.DEFAULT\HOSTPERM.1 ****************************************** ## Registre * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Open intra dead camp REG_SZ C:\Documents and Settings\All Users\Application Data\burnloveopenintra\Drv poke.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\WINDOWS Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est AC7A-1BC3 R‚pertoire de C:\WINDOWS *************** Fin du rapport ****************

philae83 · Answer

re

je regarde ton rapport, tu es infecté par LOP, réponse dans un moment

philae83 · Answer

re

à moins que tu ne les connaisses, mais rien trouver sur google,
je reviens pour la suite à donner

Démarrer "Exécuter…" puis Tape "services.msc" et valide par  OK
la fenêtre des Services s'ouvre => vérifier dans la partie inférieure que l'onglet "Etendu" est bien sélectionné, sinon faites le.

 Naham Service (NahamSrv) 
et le chemin
C:\WINDOWS\system32
aham.exe 

Naner Service (NanerSrv) 
et le chemin
C:\WINDOWS\system32
aner.exe 

Pysot Service (PysotSrv) 
et le chemin
C:\WINDOWS\system32\pysot.exe 

Takiset Service (TakisetSrv) 
et le chemin
C:\WINDOWS\system32	akiset.exe 

Tumeviv Service (TumevivSrv) 
et le chemin
C:\WINDOWS\system32	umeviv.exe


- Dans la colonne "Nom", DOUBLE CLIQUE sur le service noté en GRAS ci dessus, pour faire apparaître "Propriétés".
- Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement souligné.
- Puis clique sur Arrêter
- Dans le menu déroulant "Type de démarrage", sélectionne "Désactivé".
- valide la modification par OK
- Ferme la fenêtre des Services.

philae83 · Answer

re



Note comment démarrer en mode sans échec 

https://docs.microsoft.com/en-us/?mfr=true


1* Télécharge : - CCleaner 
http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

*  Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT4

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Open intra dead camp"=- 

 Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"



*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)***** 

 / Assure toi d'avoir accès aux dossiers/fichiers cachés :

    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"


/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Documents and Settings\All Users\Application Data \burnloveopenintra
C:\Documents and Settings\Moi\Application Data \eqstopdead
C:\Documents and Settings\Moi.ASUS\Application Data\eqstopdead

 / démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

    del /a C:\WINDOWS\Tasks\AA214AB1917AFB9D.job 


valide par entrée, puis ferme la fenêtre de commande. 
/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et 


poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) 

il restera encore des choses à terminer.

philae83 · Answer

y a plus personne ?

Pascale · Answer

JAI BESOIN DAIDE
JAVIAS DOWNLAODER VIDEO ACCESS X OBJECT

on me dit que je suis infecter par un virus 
jai dabord enlever mon programm dnas la fonction
add/remove program
mais pas l'icone du fichier video access x object
la jveux deleter car il reste encore du contenu mais je ne suis pas capable de l'enlever

Regis59 · Answer

Salut,

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

A+

Poskale · Answer

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Paskool


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Paskool\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Paskool\FAVORI~1

C:\DOCUME~1\Paskool\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\Video Access ActiveX Object\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9d6fac42-a7be-4702-87ef-75d8dc14249e}"="hemine"

[HKEY_CLASSES_ROOT\CLSID\{9d6fac42-a7be-4702-87ef-75d8dc14249e}\InProcServer32]
@="C:\WINDOWS\system32	ahxqcj.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9d6fac42-a7be-4702-87ef-75d8dc14249e}\InProcServer32]
@="C:\WINDOWS\system32	ahxqcj.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Regis59 · Answer

Salut Pascale,

Fais moi confiance.
Internet ou pas, c est pas grave.
Fais ceci maintenant:

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

A+

Regis59 · Answer

Oui tu redemarres et tu passes en mode sans echec.

a+

Poskale · Answer

OKEY JE CROIS JAI PESER SUR LA MAUVAISE OPTION EN REDEMARRANT

etant donnee cest en anglais jai clicker restart windows normally ... ?? 

safe mode (sans echec??)

Poskale · Answer

SmitFraudFix v2.157

Scan done at 13:02:22.12, 26/03/2007
Run from C:\Documents and Settings\Paskool\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9d6fac42-a7be-4702-87ef-75d8dc14249e}"="hemine"

[HKEY_CLASSES_ROOT\CLSID\{9d6fac42-a7be-4702-87ef-75d8dc14249e}\InProcServer32]
@="C:\WINDOWS\system32	ahxqcj.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9d6fac42-a7be-4702-87ef-75d8dc14249e}\InProcServer32]
@="C:\WINDOWS\system32	ahxqcj.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32	ahxqcj.dll Deleted
C:\DOCUME~1\Paskool\FAVORI~1\Online Security Test.url Deleted
C:\Program Files\Video Access ActiveX Object\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Regis59 · Answer

Salut

Super,

Ou en sont tes soucis?

Enjoy.

Poskale · Answer

Finalement...cetait pas si dure que ca! 

MERCI !

Regis59 · Answer

Eh non :)

De rien,

a+

jcc · Answer

Salut,
J'ai eu le même problème que Pascale.
J'ai passé un scan d'antivirus et de AdAware.
Il restait encore l'avertissement génant sortant de la barre des tâches.
J'ai trouvé votre discussion avec Regis59 et sa solution a marché de façon impeccable.
Merci !

Regis59 · Answer

De rien jcc ;)

A+

Spyware video activex object

18 réponses

Discussions similaires