[virus] infecté par troj agent.puf

Résolu
cat -  
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
bjr
secuser me detecte un trojan agent.puf dans le dossier system32/svshost.dll
impossible à nettoyer pour secuser
j'ai effectue les preliminaires au nettoyage avec ccleaner et avg
voici mon log hijackthis
si qq'un a 5mlinutes pour jeter un oeil......
merci mille fois


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:02:01, on 17/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\windows\system32\mstsdsc.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Avant Browser\avant.exe
C:\Documents and Settings\lolocat\Mes documents\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\WINDOWS\Temp\~00754.tmp
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [gamma] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\DriverLoad\windrv0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriverLoad] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [FDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ADriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [CDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [alpha] c:\DriverLoad\windrv0.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [beta] c:\DriverLoad\windrv0.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [gamma] c:\DriverLoad\windrv0.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows update loader] C:\Windows\xpupdate.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SpyMarshal] C:\Program Files\SpyMarshal\SpyMarshal.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E9C7872-CBB2-4338-ACAC-EFFA5BCA44AC}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{13F3EA0B-0817-4E7B-830A-E2EEB0B5BADE}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{17C0E562-7A8D-425D-8792-EC221410112D}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E2BBD65-E3CA-4AEB-AA3D-1A455B968F2C}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{85CCABE2-064E-4778-B7F6-4812BE7532A1}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5970EAE-859F-4296-8AAC-664216176BB6}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4BD2A70-4E5E-4797-80A1-70D959A18AF3}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E9C7872-CBB2-4338-ACAC-EFFA5BCA44AC}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E9C7872-CBB2-4338-ACAC-EFFA5BCA44AC}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\lolocat\LOCALS~1\Temp\dnlsvc.exe (file missing)
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
A voir également:

15 réponses

Réponse 1 / 15
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
salut cat,

Tu as l´air d´etre salement infecté :

tu peux commencer par faire un scan en ligne :

Kapersky

http://www.zebulon.fr/outils/antivirus/antivirus-en-ligne.php#

Et cole le rapport ici.

Courrage...
0
cat
 
merci mok's@ de te pencher sur mon cas désespéré...
voilà le rapport kapersky
que dois je faire maintenant?


Infected Object Name Virus Name Last Action
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\lolocat\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\lolocat\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\lolocat\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\lolocat\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\lolocat\Local Settings\Temp\fla72.tmp Object is locked skipped

C:\Documents and Settings\lolocat\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\lolocat\ntuser.dat Object is locked skipped

C:\Documents and Settings\lolocat\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped

C:\WINDOWS\Debug\oakley.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\mstsdsc.exe Infected: Trojan-Downloader.Win32.Agent.aqk skipped

C:\WINDOWS\system32\svshost.dll Infected: Backdoor.Win32.Small.ng skipped

C:\WINDOWS\system32\tmwsock.dll Infected: Trojan-Downloader.Win32.Agent.aqk skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\Temp\Perflib_Perfdata_598.dat Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\common\spcustom.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\common\spmsg.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\common\spuninst.exe Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\common\update.exe Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\browser.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\callcont.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\EvTgProv.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\gdi32.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\H323.TSP Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\H323msp.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\HelpCtr.exe Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\ipnathlp.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\lsasrv.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\mf3216.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\msasn1.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\msgina.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\mst120.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\netapi32.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\nmcom.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\RTCDLL.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\schannel.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\update\KB835732.cat Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\update\update.inf Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp1\update\update.ver Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\callcont.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\evtgprov.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\gdi32.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\h323.tsp Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\h323msp.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\helpctr.exe Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\ipnathlp.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\lsasrv.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\mf3216.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\msasn1.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\msgina.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\mst120.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\netapi32.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\nmcom.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\rtcdll.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\schannel.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\spmsg.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\spuninst.exe Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\update\KB835732.cat Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\update\spcustom.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\update\update.exe Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\update\update.inf Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\update\update.ver Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\sp2\xpsp2res.dll Object is locked skipped

D:\acd540cf1b4b388037f7044ef5\xpsp1hfm.exe Object is locked skipped

D:\SAUVEGARDES\mail\Éléments supprimés.dbx/[From eBay Inc ][Date Mon, 25 Jul 2005 10:04:30 -0400]/UNNAMED/html Infected: Trojan-Spy.HTML.Bayfraud.hn skipped

D:\SAUVEGARDES\mail\Éléments supprimés.dbx/[From eBay Inc ][Date Mon, 25 Jul 2005 10:04:30 -0400]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn skipped

D:\SAUVEGARDES\mail\Éléments supprimés.dbx Mail MS Outlook 5: infected - 2 skipped

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.
0
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89 > cat
 
re,

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

courrage,
0
cat > moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention  
 
merci mille fois
voici le rapport du soft que tu m'as proposé
Search Navipromo version 1.1.5 commencé le 17/04/2007 à 23:00:54,67

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\lolocat\Mes documents
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\lolocat\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/17/07 at 23:00:55.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .............................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/17/07 at 23:05:29 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 17/04/2007 à 23:05:36,54 ***
0
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89 > cat
 
salut cat,

bon

1

Télécharge LSPfix
http://www.cexx.org/LSPFix.exe

Lance LSPfix
Déconnecte-toi d'Internet et ferme toutes les fenêtres d'Internet Explorer.
Coche la case "I know what I'm doing"
Sélectionne l'instance de la dll suivante (celle ci et ps 1 autre, sinon ferme LSPfix) :

tmwsock.dll

fais les glisser du panneau de gauche "keep" au panneau de droite "Remove".
Clique sur le bouton "Finish".
(Si elle est déjà dans le panneau "Remove" alors clique directement sur le bouton "Finish".)

2
Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Télécharge CCleaner.

https://www.pcastuces.com/logitheque/ccleaner.htm

Installe le dans un répertoire dédié.

Décoche pendant l'installation

--- les deux cases "Ajouter l'option ... "

--- Contrôler les mises à jour

--- Ajouter la Barre d'Outils Yahoo! CCleaner


3

Télécharge Pocket KillBox sur ton bureau.
http://www.downloads.subratam.org/KillBox.exe

4

télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download

instal le

5

lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
si tu n'arrives pas à le mettre à jour prends ici les màj
http://downloads.ewido.net/avgas-signatures-full-current.exe

6

lance hijackthis pour un "scan seulement" puis coche ces lignes :

O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\WINDOWS\Temp\~00754.tmp
O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [gamma] c:\DriverLoad\windrv0.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E9C7872-CBB2-4338-ACAC-EFFA5BCA44AC}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{13F3EA0B-0817-4E7B-830A-E2EEB0B5BADE}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{17C0E562-7A8D-425D-8792-EC221410112D}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E2BBD65-E3CA-4AEB-AA3D-1A455B968F2C}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{85CCABE2-064E-4778-B7F6-4812BE7532A1}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5970EAE-859F-4296-8AAC-664216176BB6}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4BD2A70-4E5E-4797-80A1-70D959A18AF3}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E9C7872-CBB2-4338-ACAC-EFFA5BCA44AC}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E9C7872-CBB2-4338-ACAC-EFFA5BCA44AC}: NameServer = 85.255.115.42,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170

ferme toutes les applications ouvertes y compris Internet Explorer et clique sur "fixer objet"

7

Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
copie la ligne ci dessous :

c:\windows\system32\mstsdsc.exe

Sur PocketKillBox --> menu "File" --> "Paste from Clipboard"

Tu peux vérifier dans le menu déroulant que le fichier est bien présent.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- clique sur le bouton "All files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

puis fait dans l'ordre stp. Tu sauvegardes le rapport APRES avoir mis les actions.

Puis sur l'onglet Paramètres,
sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

Poste le.

* Lance Ccleaner pour un nettoyage complet.

* reviens avec les rapports ainsi qu'un nouveau rapport hijackthis stp

et bon courrage car c long...
0
cat > moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention  
 
ok je m'y colle
merci encore mille fois
@+
0
Réponse 2 / 15
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Salut

je crois que c'est la même personne :

virus infecte par un tas de cochonneries#2007 04 18%2011%3A09%3A10

Merci de rester sur le même poste ! ...

++

PS : je laisse la main ;-)
0
Réponse 3 / 15
cat
 
oui effectivement c la mm personne
mais comme j'avais trouvé le nom d'un troyen qui m'infecte (contrairement à mon premier post)je me suis dit qu'il fallait ouvrir un nouveau
désolé
merci en tous cas green day pour ton aide
0
Réponse 4 / 15
cat
 
plus personne pour me guider?
:-(
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
salut cat,

bon bah ca avance : p

1
avec hijack this fixe les lignes suivantes :

O4 - HKUS\S-1-5-18\..\Run: [alpha] c:\DriverLoad\windrv0.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [beta] c:\DriverLoad\windrv0.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [gamma] c:\DriverLoad\windrv0.exe (User 'SYSTEM')


Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".

colle cette ligne :

c:\DriverLoad

2
apres redemarrage :

Démarrer "Exécuter…" puis Tape "services.msc" et valide par OK
la fenêtre des Services s'ouvre => vérifier dans la partie inférieure que l'onglet "Etendu" est bien sélectionné, sinon faites le.

MS Software Shadow Download Provider (dnlsvc)
et le chemin
C:\DOCUMENTS & SETTINGS\(cat)\LOCALS SETTINGS\Temp\dnlsvc.exe

- Dans la colonne "Nom", DOUBLE CLIQUE sur le service noté en GRAS ci dessus, pour faire apparaître "Propriétés".
- Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement souligné.
- Puis clique sur Arrêter
- Dans le menu déroulant "Type de démarrage", sélectionne "Désactivé".
- valide la modification par OK
- Ferme la fenêtre des Services.

puis

Ouvre Hijackthis puis
Ouvrir la section outils
Outils
Enlever un service NT
Entre :
MS Software Shadow Download Provider
Valide

puis avec hijack this toujours fixe

O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\lolocat\LOCALS~1\Temp\dnlsvc.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

3
refait un scan avec avg et poste le rapport stp

@+
0
Réponse 6 / 15
cat
 
je pars au resto je m'occupe de tout ça ce soir ou demain matin
merci mille fois
bye
0
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
re,

ok

bonne soirée ;-)

ps : mets aussi un raport hijackthis
0
Réponse 7 / 15
cat
 
salut voici pour avg
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 09:32:58 19/04/2007

+ Résultat de l'analyse:



C:\Documents and Settings\lolocat\Cookies\lolocat@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\lolocat\Cookies\lolocat@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\lolocat\Cookies\lolocat@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\lolocat\Cookies\lolocat@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\lolocat\Cookies\lolocat@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\lolocat\Cookies\lolocat@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.


Fin du rapport




et le log hijack


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 09:41:10, on 19/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Avant Browser\avant.exe
C:\Documents and Settings\lolocat\Mes documents\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriverLoad] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [FDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ADriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [CDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows update loader] C:\Windows\xpupdate.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
0
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
salut cat,

on avance petit a petit mais surement :p

avec poket kill box

Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
copie la ligne ci dessous :

c:\windows\system32\svshost.dll

Sur PocketKillBox --> menu "File" --> "Paste from Clipboard"

Tu peux vérifier dans le menu déroulant que le fichier est bien présent.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- clique sur le bouton "All files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

en suite avec hijackthis coche et fixe :

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll

pour finir faire un scan en ligne avec kapersky

http://www.zebulon.fr/outils/antivirus/antivirus-en-ligne.php

c´est le 3eme en bas...

colle le rapport ici avec un nouveau hijackthis

A+ tard...
0
cat
 
ok chef !
je m'y colle .....dès que le CPU fan veut bien se remettre à tourner....

merci merci
0
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89 > cat
 
salut la miss,

Comment ca ce passe?

Pas de nouvelles=Bonnes nouvelles?!

Fais moi savoir.

Ciao´
0
Réponse 8 / 15
cat
 
salut mok's@
un bon dépoussièrage plus tard......
j'essaie de lancer le scan en ligne kaspersky mais il me dit tout le temps que "la licence de kaspersky on line est périmée "
donc je peux ni mettre à jour ni lancer l'analyse
alors je suis dans la plus grande détresse....lol
merci encore de me filer un coup de main pour assainir tout ça
0
Réponse 9 / 15
cat
 
ça y est j'ai réussi en passant par le site kaspersky c parti .....
je poste les rapports edès que possible
thx
0
Réponse 10 / 15
cat
 
alors voici kaspersky
Nom de l'objet infecté Nom du virus Dernière action
C:\!KillBox\svshost.dll Infecté : Backdoor.Win32.Small.ng ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\lolocat\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\lolocat\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\lolocat\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\lolocat\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\lolocat\Local Settings\Historique\History.IE5\MSHist012007042020070421\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\lolocat\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\lolocat\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\lolocat\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\MARTINELLI.ldb L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT03747.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT0374a.TMP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\common\spcustom.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\common\spmsg.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\common\spuninst.exe L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\common\update.exe L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\browser.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\callcont.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\EvTgProv.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\gdi32.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\H323.TSP L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\H323msp.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\HelpCtr.exe L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\ipnathlp.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\lsasrv.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\mf3216.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\msasn1.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\msgina.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\mst120.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\netapi32.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\nmcom.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\RTCDLL.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\schannel.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\update\KB835732.cat L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\update\update.inf L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp1\update\update.ver L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\callcont.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\evtgprov.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\gdi32.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\h323.tsp L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\h323msp.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\helpctr.exe L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\ipnathlp.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\lsasrv.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\mf3216.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\msasn1.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\msgina.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\mst120.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\netapi32.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\nmcom.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\rtcdll.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\schannel.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\spmsg.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\spuninst.exe L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\update\KB835732.cat L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\update\spcustom.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\update\update.exe L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\update\update.inf L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\update\update.ver L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\sp2\xpsp2res.dll L'objet est verrouillé ignoré

D:\acd540cf1b4b388037f7044ef5\xpsp1hfm.exe L'objet est verrouillé ignoré

D:\SAUVEGARDES\mail\Éléments supprimés.dbx/[From eBay Inc ][Date Mon, 25 Jul 2005 10:04:30 -0400]/UNNAMED/html Infecté : Trojan-Spy.HTML.Bayfraud.hn ignoré

D:\SAUVEGARDES\mail\Éléments supprimés.dbx/[From eBay Inc ][Date Mon, 25 Jul 2005 10:04:30 -0400]/UNNAMED Infecté : Trojan-Spy.HTML.Bayfraud.hn ignoré

D:\SAUVEGARDES\mail\Éléments supprimés.dbx Mail MS Outlook 5: infecté - 2 ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.


et le log hijack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:09:02, on 20/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Avant Browser\avant.exe
C:\Documents and Settings\lolocat\Mes documents\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriverLoad] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [SystemDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [FDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ADriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [CDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DDriver] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows update loader] C:\Windows\xpupdate.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
0
Réponse 11 / 15
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
salut cat

y a un truc qui me chifonne un peu :

D:\SAUVEGARDES\mail\Éléments supprimés.dbx/[From eBay Inc ][Date Mon, 25 Jul 2005 10:04:30 -0400]/UNNAMED/html Infecté : Trojan-Spy.HTML.Bayfraud.hn ignoré

D:\SAUVEGARDES\mail\Éléments supprimés.dbx/[From eBay Inc ][Date Mon, 25 Jul 2005 10:04:30 -0400]/UNNAMED Infecté : Trojan-Spy.HTML.Bayfraud.hn ignoré

D:\SAUVEGARDES\mail\Éléments supprimés.dbx Mail MS Outlook 5: infecté - 2 ignoré



As tu un dossier nommé " éléments supprimés" sur ta partition de sauvgardes D, des emails que tu aurais conservés?
dans >D:\SAUVEGARDES\mail\Éléments supprimés.dbx Mail MS Outlook 5

Si oui il faudrait que tu supprime les 3 qui sont ci dessous :

D:\SAUVEGARDES\mail\Éléments supprimés.dbx/[From eBay Inc ][Date Mon, 25 Jul 2005 10:04:30 -0400]/UNNAMED/html Infecté : Trojan-Spy.HTML.Bayfraud.hn ignoré

D:\SAUVEGARDES\mail\Éléments supprimés.dbx/[From eBay Inc ][Date Mon, 25 Jul 2005 10:04:30 -0400]/UNNAMED Infecté : Trojan-Spy.HTML.Bayfraud.hn ignoré

D:\SAUVEGARDES\mail\Éléments supprimés.dbx Mail MS Outlook 5: infecté - 2 ignoré


Sinon tu peut fixer cette ligne avec hijackthis (c´est juste la trace du telechargement du scan kapersky que tu as fais) :

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Voila a part ca, comment va le pc maintenant?
0
Réponse 12 / 15
cat
 
merci mok's@
j'ai supprimé tout le dossier D:\SAUVEGARDES\mail\Éléments supprimés.dbx qui était une vieille suvegarde de mes mails (et j'ai vider la corbeille)

j'ai également fixer la ligne avec hijack


mon pc se porte bcp mieux et ceci grâce à toi
merci encore

je retenterai bien un scan en ligne non?
pour vérifier que c bien propre....


maintenant je me bagarre pour faire marcher le freeplayer sur ma télé(pas exclu que j'appelle à l'aide ....lol)

bizzzzzz
0
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
salut cat,

Tout s´arrange avec une orange :p

Tu peux faire un autre scan si tu le sens mais là je pense que c ok!

Néamoins tu peux suprimer les outils que l´on a utilisés pour la desdinfection

KillBox
navilog1.zip
LSPfix
FixWareout

pour freeplayer je ne peux malheureusement pas t´aider :-( mais j´suis sur que tu trouveras sur le forum, une âme charitable pour t´aider :p

Ci@o´
0
cat > moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention  
 
ok en tous cas merci merci mille fois pour le temps que tu as passé à m'aider
bizzzzzz
0
Réponse 13 / 15
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Salut à vous

voir par ici à l'occasion !

securite proteger un ordinateur contre les malwares d internet

Bien joué Mok's@ ;-))

@+
0
Réponse 14 / 15
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
salut,

Je t´en prie cat :D

Merci Green Day d´etre venu apporter ton p´tit grain de sel parfumé à tout ca!!!

Bonne fin de journée...

p.s . Merci pour les fleures :p
p.s2 . un détail mais qui a son importance pour le forum : Comment on ferme la discution et met le statut "résolut"

Bye´
0
Réponse 15 / 15
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Pas d'quoi :-)

Pour mettre un poste comme résolu :

Tous les auteurs d'un poste peuvent mettre leur poste comme résolu, ou l'inverse : mais il faut être membre !

Sinon, pour les personnes qui posent en anonymes : seuls les Modérateurs et Contributeurs peuvent le faire !

woilà !

++
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses