[Virus] infecté et bug dans anti-virus

Nathan -  
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Salut a tous,
Voila mon pb, j'utilise bitdefender online et avast! et avg pour scanner mon ordi. Dernierement, je soupsonne avoir un gros virus puisque quand j utilise bitdefender online.. il se ferme automatiquement (avec un son bizzard dans mon ordi comme si il cherchait :/ ) et quand j utilise AVG... il me dit qu'un erreur est survenu..... voici mon scan avec Hijackthis ... dites-moi ce que je dois faire... merci :)

Logfile of HijackThis v1.99.1
Scan saved at 16:50:31, on 2007-02-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Mes Programmes\Anti-Virus\Avast!4\aswUpdSv.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\MESPRO~1\ANTI-V~1\Avast!4\ashDisp.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
D:\Mes Programmes\Anti-Virus\Avast!4\ashServ.exe
C:\WINDOWS\system32\wdfmgr.exe
D:\Mes Programmes\Anti-Virus\Avast!4\ashWebSv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Jonathan\LOCALS~1\Temp\Rar$EX00.579\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://showbizz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {B3D7065B-E39B-C16D-EA3C-9A6C271F51ED} - C:\WINDOWS\system32\fleawzdz.dll (file missing)
R3 - URLSearchHook: (no name) - {E7850859-E198-9569-BD3C-9A6C271F56BD} - C:\WINDOWS\system32\kzhilwxv.dll (file missing)
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
O2 - BHO: (no name) - {B3D7065B-E39B-C16D-EA3C-9A6C271F51ED} - C:\WINDOWS\system32\fleawzdz.dll (file missing)
O2 - BHO: (no name) - {CA164EA2-B1C1-45D4-9101-0DD8013043C6} - C:\WINDOWS\system32\geedb.dll (file missing)
O2 - BHO: (no name) - {E7850859-E198-9569-BD3C-9A6C271F56BD} - C:\WINDOWS\system32\kzhilwxv.dll (file missing)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30D92~1\Bar888.dll (file missing)
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvtus.dll,startup
O4 - HKLM\..\Run: [avast!] D:\MESPRO~1\ANTI-V~1\Avast!4\ashDisp.exe
O4 - HKLM\..\Run: [dmhsq.exe] C:\WINDOWS\system32\dmhsq.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Dhbo] "C:\DOCUME~1\Jonathan\MESDOC~1\DOBE~1\wowexec.exe" -vt yazb
O4 - HKCU\..\Run: [Amcojsus] C:\Program Files\a?sembly\?poolsv.exe
O4 - Startup: Enregistrement de all-in-one Epson.lnk = E:\Titles\Ereg\EPSONREG.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C59B67F-812B-472B-8107-88514010165A}: NameServer = 85.255.113.133,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E569589-434B-4291-B55F-27BA7DCB48AD}: NameServer = 85.255.113.133,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{7835EFF6-24DC-4957-93B4-D6E18C6E304C}: NameServer = 85.255.113.133,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DAD397F-2764-4119-B654-9336A6DF74CF}: NameServer = 85.255.113.133,85.255.112.94
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.133 85.255.112.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C59B67F-812B-472B-8107-88514010165A}: NameServer = 85.255.113.133,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.133 85.255.112.94
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: geedb - C:\WINDOWS\system32\geedb.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O20 - Winlogon Notify: winrnt32 - winrnt32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Mes Programmes\Anti-Virus\Avast!4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Mes Programmes\Anti-Virus\Avast!4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - D:\Mes Programmes\Anti-Virus\Avast!4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VXNlcg\command.exe (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\Documents and Settings\Jonathan\~tmp0374.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32\.exe (file missing)
Configuration: Windows XP
Internet Explorer 6.0

7 réponses

  1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    t'es bien infecté oui :)

    * Télécharge FixWareout d'un de ces deux sites sur le bureau:
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    * Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

    *Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt)

    ensuite :

    Relance HijackThis : choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked" :

    O17 - HKLM\System\CCS\Services\Tcpip\..\{3C59B67F-812B-472B-8107-88514010165A}: NameServer = 85.255.113.133,85.255.112.94
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6E569589-434B-4291-B55F-27BA7DCB48AD}: NameServer = 85.255.113.133,85.255.112.94
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7835EFF6-24DC-4957-93B4-D6E18C6E304C}: NameServer = 85.255.113.133,85.255.112.94
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8DAD397F-2764-4119-B654-9336A6DF74CF}: NameServer = 85.255.113.133,85.255.112.94
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.133 85.255.112.94
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3C59B67F-812B-472B-8107-88514010165A}: NameServer = 85.255.113.133,85.255.112.94
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.133 85.255.112.94

    et reposte un nouveau hijackthis stp

    ++

    0
  2. Nathan
     
    voici the fixWareout:

    Fixwareout ver 1.003
    Last edited 8/11/2006
    Post this report in the forums please

    Reg Entries that were deleted
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1BD073F24D6A-9459-0824-7D72-58D77487{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}35996D8986CE-B878-D574-291F-C6F38022{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2A3FBE528127-FA5B-5184-53F5-D98CCF2A{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B59F225FEF71-4B48-B9B4-8C0F-8A58F1B1{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}53FD4933EAB8-2598-79A4-DB6E-6D2C8FA0{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C9BCD2A9D429-AACB-D2E4-EF49-D41AEB42{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C546DAA1D9FF-CDA8-1724-25A5-ABB55A3A{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4015D51D1C8F-AC2B-A0D4-367A-123076EC{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A197AF2E110B-E198-0FB4-D460-B776276D{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CEDD0EFB048B-A31A-F874-0BD6-CEFF9F60{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7A62E347D66F-0AE8-BC44-A300-1FA92723{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F41EEA66BA0B-AA98-7F44-9CE0-7BF43D0E{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}25047CEA711B-20C8-E004-082D-A2E99BC5{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FAD26CBE1BFA-AD09-C874-3CF4-E3F616D1{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A3D144A46A39-C9CA-0594-54CE-DD43E77B{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8420FB40BF45-6359-FBB4-AE08-F6FC8DCD{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}209D54174EF0-2509-A0B4-08BC-A4DEB7F0{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0998FCF13FE9-ACE9-E9A4-1EDA-62F3230B{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}47E7114540C9-F9DA-7C94-D1EF-543B2272{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}04875F103651-6C7B-FE74-3610-2B8FFA7C{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5B9A79E01EC3-F5DB-7B44-1D9B-706AC8D5{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}601291956825-6588-CC74-193B-223D5BD3{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E735BBD990B8-5279-D854-1D34-C477BCD1{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}121D033B8A12-0B9B-3FB4-37B4-B91D7B91{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C34B94180927-DB68-C5B4-1C5E-DC372F31{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}133842AC5FF9-6D7B-1904-6AA8-D7250005{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\qshmd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\yqdm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2mdm
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    "dmhsq.exe"=-
    ...

    PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»» Searching by size/names...

    »»»»»
    Search five digit cs, dm and jb files.
    This WILL/CAN also list Legit Files, Submit them at Virustotal
    C:\WINDOWS\SYSTEM32\CSEHS.EXE 52 753 2007-02-02
    C:\WINDOWS\SYSTEM32\DMHSQ.EXE 60 451 2005-07-05

    Other suspects.
    Directory of C:\WINDOWS\system32
    {833A74CC-CB33-4750-A112-DBE130292991}.exe
    {1DCB774C-43D1-458D-9725-8B099DBB537E}.exe
    {3DB5D322-B391-47CC-8856-528659192106}.exe
    {5D8CA607-B9D1-44B7-BD5F-3CE10E97A9B5}.exe
    {C7AFF8B2-0163-47EF-B7C6-156301F57840}.exe
    {2722B345-FE1D-49C7-AD9F-9C0454117E74}.exe
    {B0323F26-ADE1-4A9E-9ECA-9EF31FCF8990}.exe
    {0F7BED4A-CB80-4B0A-9052-0FE47145D902}.exe
    {DCD8CF6F-80EA-4BBF-9536-54FB04BF0248}.exe
    {B77E34DD-EC45-4950-AC9C-93A64A441D3A}.exe
    {1D616F3E-4FC3-478C-90DA-AFB1EBC62DAF}.exe
    {5CB99E2A-D280-400E-8C02-B117AEC74052}.exe
    {E0D34FB7-0EC9-44F7-89AA-B0AB66AEE14F}.exe
    {32729AF1-003A-44CB-8EA0-F66D743E26A7}.exe
    {06F9FFEC-6DB0-478F-A13A-B840BFE0DDEC}.exe
    {D672677B-064D-4BF0-891E-B011E2FA791A}.exe
    {CE670321-A763-4D0A-B2CA-F8C1D15D5104}.exe
    {A3A55BBA-5A52-4271-8ADC-FF9D1AAD645C}.exe
    {24BEA14D-94FE-4E2D-BCAA-924D9A2DCB9C}.exe
    {0AF8C2D6-E6BD-4A97-8952-8BAE3394DF35}.exe
    {1B1F85A8-F0C8-4B9B-84B4-17FEF522F95B}.exe
    {A2FCC89D-5F35-4815-B5AF-721825EBF3A2}.exe
    {22083F6C-F192-475D-878B-EC6898D69953}.exe
    {78477D85-27D7-4280-9549-A6D42F370DB1}.exe

    »»»»» Misc files.

    »»»»» Checking for older varients covered by the Rem3 tool.

    Et le nouveau Hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:15:05, on 2007-02-07
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    D:\Mes Programmes\Anti-Virus\Avast!4\aswUpdSv.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    D:\Mes Programmes\Anti-Virus\Avast!4\ashServ.exe
    D:\Mes Programmes\Anti-Virus\Avast!4\ashWebSv.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    D:\MESPRO~1\ANTI-V~1\Avast!4\ashDisp.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\DOCUME~1\Jonathan\LOCALS~1\Temp\Rar$EX00.094\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: (no name) - {B3D7065B-E39B-C16D-EA3C-9A6C271F51ED} - C:\WINDOWS\system32\fleawzdz.dll (file missing)
    R3 - URLSearchHook: (no name) - {E7850859-E198-9569-BD3C-9A6C271F56BD} - C:\WINDOWS\system32\kzhilwxv.dll (file missing)
    O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
    O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
    O2 - BHO: (no name) - {B3D7065B-E39B-C16D-EA3C-9A6C271F51ED} - C:\WINDOWS\system32\fleawzdz.dll (file missing)
    O2 - BHO: (no name) - {CA164EA2-B1C1-45D4-9101-0DD8013043C6} - C:\WINDOWS\system32\geedb.dll (file missing)
    O2 - BHO: (no name) - {E7850859-E198-9569-BD3C-9A6C271F56BD} - C:\WINDOWS\system32\kzhilwxv.dll (file missing)
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30D92~1\Bar888.dll (file missing)
    O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
    O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvtus.dll,startup
    O4 - HKLM\..\Run: [avast!] D:\MESPRO~1\ANTI-V~1\Avast!4\ashDisp.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [Dhbo] "C:\DOCUME~1\Jonathan\MESDOC~1\DOBE~1\wowexec.exe" -vt yazb
    O4 - HKCU\..\Run: [Amcojsus] C:\Program Files\a?sembly\?poolsv.exe
    O4 - Startup: Enregistrement de all-in-one Epson.lnk = E:\Titles\Ereg\EPSONREG.EXE
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - AppInit_DLLs:
    O20 - Winlogon Notify: geedb - C:\WINDOWS\system32\geedb.dll (file missing)
    O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
    O20 - Winlogon Notify: winrnt32 - winrnt32.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Mes Programmes\Anti-Virus\Avast!4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: avast! Antivirus - Unknown owner - D:\Mes Programmes\Anti-Virus\Avast!4\ashServ.exe
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Mes Programmes\Anti-Virus\Avast!4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\Documents and Settings\Jonathan\~tmp0374.exe (file missing)
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
    O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32\dmrkz.exe (file missing)

    Merci bcq ;)
    0
  3. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    ok,

    # Télécharge ceci: (merci a S!RI pour ce petit programme).

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
    voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    il va générer un rapport : copie/colle le sur le poste stp.

    # Télécharge Blacklight (de F-Secure) :

    https://europe.f-secure.com/exclude/blacklight/index.shtml

    et sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse
    0
  4. Nathan
     
    SmitFraudFix v2.140

    Rapport fait à 17:24:42,93, 2007-02-07
    Executé à partir de C:\Documents and Settings\Jonathan\Bureau\Nouveau dossier\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jonathan

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jonathan\Application Data

    C:\Documents and Settings\Jonathan\Application Data\Install.dat PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Jonathan\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\SpyMarshal\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}"="Network Neighborhood"

    [HKEY_CLASSES_ROOT\CLSID\{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32]
    @="C:\Program Files\Fichiers communs\commgr32.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32]
    @="C:\Program Files\Fichiers communs\commgr32.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=" "

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "system"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

    pe386 détecté, utilisez un scanner de Rootkit

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    02/07/07 17:26:49 [Info]: BlackLight Engine 1.0.55 initialized
    02/07/07 17:26:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    02/07/07 17:26:50 [Note]: 7019 4
    02/07/07 17:26:50 [Note]: 7005 0
    02/07/07 17:26:51 [Note]: 7006 0
    02/07/07 17:26:51 [Note]: 7011 1316
    02/07/07 17:26:51 [Note]: 7026 0
    02/07/07 17:26:51 [Note]: 7026 0
    02/07/07 17:26:53 [Note]: FSRAW library version 1.7.1021
    02/07/07 17:28:24 [Note]: 2000 1012
    02/07/07 17:28:24 [Note]: 2000 1012
    02/07/07 17:28:24 [Note]: 2000 1012
    02/07/07 17:28:24 [Note]: 2000 1012
    02/07/07 17:29:30 [Note]: 7007 0

    p.s. est-ce que c vraiment important d'enregistrer les programmes dans le bureau si normalement le l'ai mets dans un fichier spécifique sur mon lecteur D: !?

    Merci :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    oui vaut mieux, ce qui nous interresse c'est la partition où est installer windows !

    suite :

    * Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    * Relance le programme Smitfraud :
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    # Présence du rootkit Pe386.

    * Télécharge ce fichier (par ejvindh)
    http://www.uploads.ejvindh.net/rustbfix.exe
    ...et sauvegarde-le sur ton Bureau.

    Double clique rustbfix.exe afin de lancer l'outil.
    Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
    Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
    Poste (Copie/Colle) le contenu de ces deux rapports,

    # ensuite :

    * Télécharge clean.zip
    http://www.malekal.com/download/clean.zip
    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, choisis l'option 1
    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    puis :

    * Démarre en mode sans échec :

    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, choisis l'option 2
    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    je ne vais pas tarder ...

    @+
    0
  7. Nathan
     
    SmitFraudFix v2.140

    Rapport fait à 17:43:54,39, 2007-02-07
    Executé à partir de C:\Documents and Settings\Jonathan\Bureau\Nouveau dossier\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}"="Network Neighborhood"

    [HKEY_CLASSES_ROOT\CLSID\{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32]
    @="C:\Program Files\Fichiers communs\commgr32.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32]
    @="C:\Program Files\Fichiers communs\commgr32.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Documents and Settings\Jonathan\Application Data\Install.dat supprimé
    C:\Program Files\SpyMarshal\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "system"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}"="Network Neighborhood"

    [HKEY_CLASSES_ROOT\CLSID\{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32]
    @="C:\Program Files\Fichiers communs\commgr32.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32]
    @="C:\Program Files\Fichiers communs\commgr32.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\dewtorim

    *******************

    Script file located at: \??\C:\yvacqpyq.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Driver PE386 unloaded successfully.
    Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

    Completed script processing.

    *******************

    Finished! Terminate.

    ************************* Rustock.b-fix -- By ejvindh *************************
    2007-02-07 18:46:48,31

    ******************* Pre-run Status of system *******************

    Rootkit driver PE386 is found. Starting the unload-procedure....

    Rustock.b-ADS attached to the System32-folder:
    :lzx32.sys 65076
    Total size: 65076 bytes.
    Attempting to remove ADS...
    system32: deleted 65076 bytes in 1 streams.

    Looking for Rustock.b-files in the System32-folder:
    No Rustock.b-files found in system32

    ******************* Post-run Status of system *******************

    Rustock.b-driver on the system: NONE!

    Rustock.b-ADS attached to the System32-folder:
    No System32-ADS found.

    Looking for Rustock.b-files in the System32-folder:
    No Rustock.b-files found in system32

    ******************************* End of Logfile ********************************

    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 2007-02-07 a 18:50:57,57

    *** Recherche de fichiers sur C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\kernel???.exe FOUND
    C:\WINDOWS\system32\kernel??.exe FOUND
    C:\WINDOWS\system32\nfomon\ FOUND
    C:\WINDOWS\system32\unsvchosts.lzma FOUND
    "C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND

    "C:\Program Files\Network Monitor\" FOUND
    "C:\Program Files\PeDevice\" FOUND
    *** Fin du rapport !

    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 2, executee le 2007-02-07 a 18:54:27,85

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression de fichiers sur C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32
    tentative de suppression de C:\WINDOWS\system32\kernel???.exe
    tentative de suppression de C:\WINDOWS\system32\nfomon\
    tentative de suppression de C:\WINDOWS\system32\unsvchosts.lzma
    tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.1"

    tentative de suppression de "C:\Program Files\Network Monitor\"
    tentative de suppression de "C:\Program Files\PeDevice\"

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !

    voila...dsl pour le long moment ... pd de serveur internet :/
    bonne chance avec tout ce foutoir ;)
    0
  8. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    ok, poste un nouveau smitfraud option 1, puis fais ce qui est indiqué sur ce lien stp :

    virus methode preliminaire de desinfection version fr

    @+
    0