Infecté par plusieurs déclinaisons de WIN 32
GOKU
-
Kmar56 -
Kmar56 -
Bonjour à tous je suis novice en informatique. Mon pc est infecté de toutes parts; après scan en ligne résultat : plusieurs déclinaisons de WIN 32 afin dobtenir de l'aide rapidement je vous joint mon log hijackthis ainsi que mon adresse internet car je ne sais pas vraiment coment fonctionne le forum : chichi-goku@hotmail.com Merci d'avanceLogfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:17:30, on 23/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\tskmgr.exe
C:\WINDOWS\System32\cmdfdrsy.exe
C:\WINDOWS\System32\rdsruns.exe
C:\WINDOWS\System32\mmswr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\sayan.TEST.000\Bureau\HiJackThis_v2(2).exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [value] tskmgr.exe
O4 - HKLM\..\Run: [dlssmx] netyhwbb.exe
O4 - HKLM\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKLM\..\RunServices: [value] tskmgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [value] tskmgr.exe
O4 - HKCU\..\Run: [dlssmx] netyhwbb.exe
O4 - HKCU\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [dlssmx] netyhwbb.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - Winlogon Notify: Crpthwh - C:\WINDOWS\SYSTEM32\Crpthwh.dll
O20 - Winlogon Notify: Ymxrxvi - C:\WINDOWS\SYSTEM32\Ymxrxvi.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Win32_Guard (Guarddy) - Unknown owner - C:\WINDOWS\Win32Cam.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Scan saved at 23:17:30, on 23/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\tskmgr.exe
C:\WINDOWS\System32\cmdfdrsy.exe
C:\WINDOWS\System32\rdsruns.exe
C:\WINDOWS\System32\mmswr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\sayan.TEST.000\Bureau\HiJackThis_v2(2).exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [value] tskmgr.exe
O4 - HKLM\..\Run: [dlssmx] netyhwbb.exe
O4 - HKLM\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKLM\..\RunServices: [value] tskmgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [value] tskmgr.exe
O4 - HKCU\..\Run: [dlssmx] netyhwbb.exe
O4 - HKCU\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [dlssmx] netyhwbb.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - Winlogon Notify: Crpthwh - C:\WINDOWS\SYSTEM32\Crpthwh.dll
O20 - Winlogon Notify: Ymxrxvi - C:\WINDOWS\SYSTEM32\Ymxrxvi.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Win32_Guard (Guarddy) - Unknown owner - C:\WINDOWS\Win32Cam.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
A voir également:
- Infecté par plusieurs déclinaisons de WIN 32
- 32 bits - Guide
- Power iso 32 bit - Télécharger - Gravure
- Win rar - Télécharger - Compression & Décompression
- Clé de produit windows 7 professionnel 32 bits gratuit - Guide
- Télécharger windows 7 32 bits usb - Télécharger - Systèmes d'exploitation
9 réponses
Bonsoir,
lécharge ComboFix (par sUBs) d'un de ces liens sur ton bureau:
http://www.techsupportforum.com/sectools/combofix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites
Poste le rapport combofix ainsi qu'un nouvel hijackthis!
a+
lécharge ComboFix (par sUBs) d'un de ces liens sur ton bureau:
http://www.techsupportforum.com/sectools/combofix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites
Poste le rapport combofix ainsi qu'un nouvel hijackthis!
a+
Merci d'avance pour ton aide j'ai suivie tes instructions et comme tu me l'as demander je te joint ci dessous mes 2 log à savoir Hijackthis suivi de combofix
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:02:49, on 26/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\tskmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\WINDOWS\System32\rdsruns.exe
C:\WINDOWS\System32\mmswr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\dllcache\qxchost.exe
C:\Documents and Settings\sayan.TEST.000\Bureau\HiJackThis_v2(2).exe
C:\Program Files\Mozilla Firefox\firefox.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [value] tskmgr.exe
O4 - HKLM\..\Run: [dlssmx] netyhwbb.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\RunServices: [value] tskmgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [value] tskmgr.exe
O4 - HKCU\..\Run: [dlssmx] netyhwbb.exe
O4 - HKCU\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [dlssmx] netyhwbb.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O20 - Winlogon Notify: Crpthwh - C:\WINDOWS\SYSTEM32\crpthwh.dll
O20 - Winlogon Notify: Ymxrxvi - C:\WINDOWS\SYSTEM32\ymxrxvi.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Win32_Guard (Guarddy) - Unknown owner - C:\WINDOWS\Win32Cam.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:02:49, on 26/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\tskmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\WINDOWS\System32\rdsruns.exe
C:\WINDOWS\System32\mmswr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\dllcache\qxchost.exe
C:\Documents and Settings\sayan.TEST.000\Bureau\HiJackThis_v2(2).exe
C:\Program Files\Mozilla Firefox\firefox.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [value] tskmgr.exe
O4 - HKLM\..\Run: [dlssmx] netyhwbb.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\RunServices: [value] tskmgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [value] tskmgr.exe
O4 - HKCU\..\Run: [dlssmx] netyhwbb.exe
O4 - HKCU\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [dlssmx] netyhwbb.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O20 - Winlogon Notify: Crpthwh - C:\WINDOWS\SYSTEM32\crpthwh.dll
O20 - Winlogon Notify: Ymxrxvi - C:\WINDOWS\SYSTEM32\ymxrxvi.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Win32_Guard (Guarddy) - Unknown owner - C:\WINDOWS\Win32Cam.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\qxchost.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
bonsoir,
encore du travail en perspective!
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
a+
encore du travail en perspective!
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
a+
Salut did71, merci beaucoup pour ta précieuse aide. J'ai suivi tes instructions et t'envoies le rapport SDFIX ainsi que le dernier rapport hijackthis
Merci a plus
SDFix: Version 1.88
Run by sayan on mer. 27/06/2007 at 18:56
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\SAYANT~1.000\Bureau\SDFix
Safe Mode:
Checking Services:
Name:
Microsoft Agent
NtmlSvc
ImagePath:
"C:\WINDOWS\System32\dllcache\qxchost.exe"
%SystemRoot%\System32\svchost.exe -k netsvcs
Microsoft Agent - Deleted
NtmlSvc - Deleted
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Below files will be copied to Backups folder then removed:
C:\UXMWYJ.EXE - Deleted
C:\WBHOMY.EXE - Deleted
C:\100802~1 - Deleted
C:\WINDOWS\system32\06682_netapi.exe - Deleted
C:\mguard.exe - Deleted
C:\WINDOWS\system32\dllcache\qxchost.exe - Deleted
C:\WINDOWS\system32\install.exe - Deleted
C:\WINDOWS\system32\o - Deleted
C:\WINDOWS\system32\tskmgr.exe - Deleted
C:\WINDOWS\system32\drivers\runtime2.sys - Deleted
Could Not Remove C:\WINDOWS\system32\xpdx.sys
Removing Temp Files...
ADS Check:
Checking C:\WINDOWS
C:\WINDOWS
No streams found.
Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.
Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
[COLOR=RED][B]Rootkit xpdx Found, Use a Rootkit scanner ![/COLOR][/B]
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"c:\\windows\\system32\\servicese4.exe"="c:\\windows\\system32\\servicese4.exe:*:Enabled:servicese4"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
C:\WINDOWS\system32\xpdx.sys Found
Listing Files with Hidden Attributes:
C:\WINDOWS\Win32Cam.exe
C:\WINDOWS\system32\capbjgax.exe~
C:\WINDOWS\system32\capsnvcz.exe
C:\WINDOWS\system32\cmdfdrsy.exe~
C:\WINDOWS\system32\dlliopkh.exe~
C:\WINDOWS\system32\dlltoeda.exe
C:\WINDOWS\system32\drvprwiy.exe~
C:\WINDOWS\system32\mmswr.exe
C:\WINDOWS\system32\mmswr.exe~
C:\WINDOWS\system32\netyhwbb.exe~
C:\WINDOWS\system32\rdlodofl.exe~
C:\WINDOWS\system32\rdsruns.exe
C:\WINDOWS\system32\rdsruns.exe~
C:\WINDOWS\system32\regwjodn.exe~
C:\WINDOWS\system32\sysxwabu.exe~
C:\WINDOWS\system32\tskmgr.exe~
C:\WINDOWS\system32\xmlqhxtx.exe~
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG
Listing User Accounts:
Administrateur HelpAssistant Invit‚
sayan SUPPORT_388945a0
La commande s'est termin‚e correctement.
Finished
Et voici le hijackthis
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:10:51, on 27/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
c:\windows\system32\servicese4.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rdsruns.exe
C:\WINDOWS\System32\mmswr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\sayan.TEST.000\Bureau\HiJackThis_v2(2).exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [dlssmx] netyhwbb.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKLM\..\Run: [SvcManager] servicese4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [dlssmx] netyhwbb.exe
O4 - HKCU\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - Winlogon Notify: Crpthwh - C:\WINDOWS\SYSTEM32\Crpthwh.dll
O20 - Winlogon Notify: Ymxrxvi - C:\WINDOWS\SYSTEM32\Ymxrxvi.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Win32_Guard (Guarddy) - Unknown owner - C:\WINDOWS\Win32Cam.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Merci a plus
SDFix: Version 1.88
Run by sayan on mer. 27/06/2007 at 18:56
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\SAYANT~1.000\Bureau\SDFix
Safe Mode:
Checking Services:
Name:
Microsoft Agent
NtmlSvc
ImagePath:
"C:\WINDOWS\System32\dllcache\qxchost.exe"
%SystemRoot%\System32\svchost.exe -k netsvcs
Microsoft Agent - Deleted
NtmlSvc - Deleted
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Below files will be copied to Backups folder then removed:
C:\UXMWYJ.EXE - Deleted
C:\WBHOMY.EXE - Deleted
C:\100802~1 - Deleted
C:\WINDOWS\system32\06682_netapi.exe - Deleted
C:\mguard.exe - Deleted
C:\WINDOWS\system32\dllcache\qxchost.exe - Deleted
C:\WINDOWS\system32\install.exe - Deleted
C:\WINDOWS\system32\o - Deleted
C:\WINDOWS\system32\tskmgr.exe - Deleted
C:\WINDOWS\system32\drivers\runtime2.sys - Deleted
Could Not Remove C:\WINDOWS\system32\xpdx.sys
Removing Temp Files...
ADS Check:
Checking C:\WINDOWS
C:\WINDOWS
No streams found.
Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.
Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
[COLOR=RED][B]Rootkit xpdx Found, Use a Rootkit scanner ![/COLOR][/B]
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"c:\\windows\\system32\\servicese4.exe"="c:\\windows\\system32\\servicese4.exe:*:Enabled:servicese4"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
C:\WINDOWS\system32\xpdx.sys Found
Listing Files with Hidden Attributes:
C:\WINDOWS\Win32Cam.exe
C:\WINDOWS\system32\capbjgax.exe~
C:\WINDOWS\system32\capsnvcz.exe
C:\WINDOWS\system32\cmdfdrsy.exe~
C:\WINDOWS\system32\dlliopkh.exe~
C:\WINDOWS\system32\dlltoeda.exe
C:\WINDOWS\system32\drvprwiy.exe~
C:\WINDOWS\system32\mmswr.exe
C:\WINDOWS\system32\mmswr.exe~
C:\WINDOWS\system32\netyhwbb.exe~
C:\WINDOWS\system32\rdlodofl.exe~
C:\WINDOWS\system32\rdsruns.exe
C:\WINDOWS\system32\rdsruns.exe~
C:\WINDOWS\system32\regwjodn.exe~
C:\WINDOWS\system32\sysxwabu.exe~
C:\WINDOWS\system32\tskmgr.exe~
C:\WINDOWS\system32\xmlqhxtx.exe~
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG
Listing User Accounts:
Administrateur HelpAssistant Invit‚
sayan SUPPORT_388945a0
La commande s'est termin‚e correctement.
Finished
Et voici le hijackthis
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:10:51, on 27/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
c:\windows\system32\servicese4.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rdsruns.exe
C:\WINDOWS\System32\mmswr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\sayan.TEST.000\Bureau\HiJackThis_v2(2).exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [dlssmx] netyhwbb.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKLM\..\Run: [SvcManager] servicese4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [dlssmx] netyhwbb.exe
O4 - HKCU\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - Winlogon Notify: Crpthwh - C:\WINDOWS\SYSTEM32\Crpthwh.dll
O20 - Winlogon Notify: Ymxrxvi - C:\WINDOWS\SYSTEM32\Ymxrxvi.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Win32_Guard (Guarddy) - Unknown owner - C:\WINDOWS\Win32Cam.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonsoir,
le pc est hyper infecté mais on va nettoyer tout ça!
I) relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O4 - HKLM\..\Run: [dlssmx] netyhwbb.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKLM\..\Run: [SvcManager] servicese4.exe
O4 - HKCU\..\Run: [dlssmx] netyhwbb.exe
O4 - HKCU\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe (User '?')
O20 - Winlogon Notify: Crpthwh - C:\WINDOWS\SYSTEM32\Crpthwh.dll
O20 - Winlogon Notify: Ymxrxvi - C:\WINDOWS\SYSTEM32\Ymxrxvi.dll
II) 1. Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
2. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to unload:
xpdx
Files to delete:
C:\WINDOWS\Win32Cam.exe
C:\WINDOWS\system32\capbjgax.exe
C:\WINDOWS\system32\capsnvcz.exe
C:\WINDOWS\system32\cmdfdrsy.exe
C:\WINDOWS\system32\dlliopkh.exe
C:\WINDOWS\system32\dlltoeda.exe
C:\WINDOWS\system32\drvprwiy.exe
C:\WINDOWS\system32\mmswr.exe
C:\WINDOWS\system32\mmswr.exe
C:\WINDOWS\system32\netyhwbb.exe
C:\WINDOWS\system32\rdlodofl.exe
C:\WINDOWS\system32\rdsruns.exe
C:\WINDOWS\system32\rdsruns.exe
C:\WINDOWS\system32\regwjodn.exe
C:\WINDOWS\system32\sysxwabu.exe
C:\WINDOWS\system32\tskmgr.exe
C:\WINDOWS\system32\xmlqhxtx.exe
C:\WINDOWS\system32\xpdx.sys
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous "Script file to execute" choisir "Input Script Manually".
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5. Pour finir copie/colle le contenu du ficher c:\avenger.txt
III) poste un nouvel hijackthis
a+
le pc est hyper infecté mais on va nettoyer tout ça!
I) relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O4 - HKLM\..\Run: [dlssmx] netyhwbb.exe
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKLM\..\Run: [SvcManager] servicese4.exe
O4 - HKCU\..\Run: [dlssmx] netyhwbb.exe
O4 - HKCU\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe
O4 - HKCU\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vckdsip] C:\WINDOWS\System32\cmdfdrsy.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [msrlink] C:\WINDOWS\System32\rdsruns.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [mwini32] C:\WINDOWS\System32\mmswr.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-764733703-1060284298-1003\..\Run: [vcspnet] C:\WINDOWS\System32\sysxwabu.exe (User '?')
O20 - Winlogon Notify: Crpthwh - C:\WINDOWS\SYSTEM32\Crpthwh.dll
O20 - Winlogon Notify: Ymxrxvi - C:\WINDOWS\SYSTEM32\Ymxrxvi.dll
II) 1. Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
2. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to unload:
xpdx
Files to delete:
C:\WINDOWS\Win32Cam.exe
C:\WINDOWS\system32\capbjgax.exe
C:\WINDOWS\system32\capsnvcz.exe
C:\WINDOWS\system32\cmdfdrsy.exe
C:\WINDOWS\system32\dlliopkh.exe
C:\WINDOWS\system32\dlltoeda.exe
C:\WINDOWS\system32\drvprwiy.exe
C:\WINDOWS\system32\mmswr.exe
C:\WINDOWS\system32\mmswr.exe
C:\WINDOWS\system32\netyhwbb.exe
C:\WINDOWS\system32\rdlodofl.exe
C:\WINDOWS\system32\rdsruns.exe
C:\WINDOWS\system32\rdsruns.exe
C:\WINDOWS\system32\regwjodn.exe
C:\WINDOWS\system32\sysxwabu.exe
C:\WINDOWS\system32\tskmgr.exe
C:\WINDOWS\system32\xmlqhxtx.exe
C:\WINDOWS\system32\xpdx.sys
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous "Script file to execute" choisir "Input Script Manually".
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5. Pour finir copie/colle le contenu du ficher c:\avenger.txt
III) poste un nouvel hijackthis
a+
Salut did 71, merci encore pour ta reactivite. Desole de ne pas avoir repondu plus tot, j'etais absent quelques jours. J'ai effectue les operations avec hujackthis et telecharge the avenger mais ensuite windows me dit qu'il ne peut pas ouvrir le fichier et qu'il a besoin d'1 fichier approprie. Comment dois je faire.
Merci d'avance pour ta reponse.
A+
Merci d'avance pour ta reponse.
A+
bonsoir,
c'est un fichier compressé, il faut le dézipper!
As tu winrar? Winzip? 7zip? un décompresseur?
a+
c'est un fichier compressé, il faut le dézipper!
As tu winrar? Winzip? 7zip? un décompresseur?
a+
Salut did, drivers de telechargements et de dezippages infectés; je n'ai rien pu faire avec avenger. Je ne te l'avais pas dit mais avant de te contacter, j'avais fait plusieurs réinstallation de xp gold pour razer les virus, ce qui m'en éliminais la majeure partie mais les residents qui subsistent contaminent tous les programmes petit à petit, j'ai donc trop trainé pour te contacter et appliquer tes directives. Donc j'ai réinstallé xp pour faire 1 peu le ménage et t'envois 1 hijackthis tout frais apres installation. Toutes mes confuses de te faire reprendre ton aide du début. Au fait' je suis aussi du71; macon. merci por tout. A+
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:55:32, on 8/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\sayan.TEST.001\Bureau\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\ntvdm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [kdmsx] dllsrqxc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [kdmsx] dllsrqxc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:55:32, on 8/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\sayan.TEST.001\Bureau\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\ntvdm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [kdmsx] dllsrqxc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [kdmsx] dllsrqxc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
bonsoir,
rends toi ici:
http://www.virustotal.com/flash/index_en.html
et fais analyser:
C:\WINDOWS\System32\dllsrqxc.exe
C:\WINDOWS\System\dllsrqxc.exe
poste le rapport virus total ensuite!
a+
rends toi ici:
http://www.virustotal.com/flash/index_en.html
et fais analyser:
C:\WINDOWS\System32\dllsrqxc.exe
C:\WINDOWS\System\dllsrqxc.exe
poste le rapport virus total ensuite!
a+
Salut
Si ton windows est grave,essayes au moins de t'achater un antivirus que tu mets a jours au moins une
fois par jour.(kasper met 7 mises a jour a dispo par jour !!)
Tu sais meme avec un bon antivirus,qd le virus est entre ds ton systeme c'est la merde, comme on ,vaud
mieux prevenir que ...
Moi j'ai kasp7 et tout les antivirus connu gratuit et cela m'a pas empeche de telecharger un faux controle
activx(virus zlob).
Meme si apparement c'est repare,ca rama encore un peu,resultat quand j'aurais le temps ,je vais
formater mon disc dur avec le windows.
Je te conseil de tout formater et de repartir sur de bonne bases,sinon tes virus vont en telecharger
d'autre et ainsi de suite a t'en faire perdre la tete .....
J'ai tt formater 2 ou 3 fois,mais a chaque fois c'etait de ma faute(a pas faire attention)
,maintenant je fait super attention pour preserver mon system des virus:
Ne pas charger de controle activx sur un site inconnu
Scanner tt les arrivages de mule(mm si c'est lond)
Ne pas trop baisser les protection l'antivirus pour gagner de la vitesse
TJS AVOIR L'OEIL !!!
Voila,c'est pas du conseil pro mais ca marche .....
A plus K56
Si ton windows est grave,essayes au moins de t'achater un antivirus que tu mets a jours au moins une
fois par jour.(kasper met 7 mises a jour a dispo par jour !!)
Tu sais meme avec un bon antivirus,qd le virus est entre ds ton systeme c'est la merde, comme on ,vaud
mieux prevenir que ...
Moi j'ai kasp7 et tout les antivirus connu gratuit et cela m'a pas empeche de telecharger un faux controle
activx(virus zlob).
Meme si apparement c'est repare,ca rama encore un peu,resultat quand j'aurais le temps ,je vais
formater mon disc dur avec le windows.
Je te conseil de tout formater et de repartir sur de bonne bases,sinon tes virus vont en telecharger
d'autre et ainsi de suite a t'en faire perdre la tete .....
J'ai tt formater 2 ou 3 fois,mais a chaque fois c'etait de ma faute(a pas faire attention)
,maintenant je fait super attention pour preserver mon system des virus:
Ne pas charger de controle activx sur un site inconnu
Scanner tt les arrivages de mule(mm si c'est lond)
Ne pas trop baisser les protection l'antivirus pour gagner de la vitesse
TJS AVOIR L'OEIL !!!
Voila,c'est pas du conseil pro mais ca marche .....
A plus K56
