Sujet Précédent Sujet Suivant

Pc infecte.qq un peut regarder le rapport hij

kaizermilou Messages postés 77 Statut Membre -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
bonjour depuis plusieurs jours mon pc est infecté,des que je demarre internet ,j ai alerte securite puis il redemarre seul ou encore je n arrive pas a lancer certains fichiers.de plus j ai des logiciels caches qui se mettent dans chacun de mes disques durs et me plante l acces a ceux ci
voila ci joint le rapport hijack this merci de votre aide

Logfile of HijackThis v1.99.1
Scan saved at 16:41:44, on 17/08/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Labtec\Desktop\V5.1\moffice.exe
C:\Program Files\Labtec\Desktop\V5.1\kbdap32a.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Labtec\Desktop\V5.1\MOUSE32A.EXE
C:\WINDOWS\DivXsm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\bxrvktgwj.exe
E:\program files\logi spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.emule-project.net/home/perl/general.cgi?l=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\DivXsm.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9BB85A92-37A7-4907-8B2E-33B609404745} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Program Files\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft OCX] C:\WINDOWS\System32\bxrvktgwj.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.07\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.07\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by114fd.bay114.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.girafoto.fr/uploaders/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - https://www.photobox.fr/?channel=1005
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp06.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DivX video codec library - Unknown owner - C:\WINDOWS\DivXsm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Configuration: Windows XP familial
Internet Explorer 7.0
A voir également:

3 réponses

Réponse 1 / 3
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut,

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

A+
0
kaizermilou Messages postés 77 Statut Membre
 
bojour merci pour l aide et desole pour le retard mais a cause de ce virus ou ce vers je n arrive quasiment plus a aller sur le net.j essaye de poster ca des que je peux.
a chaque fois j ei un fichier "installshield @wizard"qui change de nom a chaque fois que je le supprime (exemple:zfldnrcsv.exe etc)qui revient a chaque fois que je le supprime.en plus il se met dans tout mes disques durs ,cles usb et meme mon lecteur mp3 quand je les connectes.
merci pour l aide
0
Réponse 2 / 3
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut

ok.

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [Microsoft OCX] C:\WINDOWS\System32\bxrvktgwj.exe

Ferme HijackThis,

redemarre ton pc et fais ce que j ai mis au dessu.

a+
0
kaizermilou Messages postés 77 Statut Membre
 
slt
voila j ai fait ce que tu m as deùandé mais les fichiers cachés reviennent encore et encore.par contre quand je connecte ma cle usbinfectée sur un autre ordinateur ,norton me detecte "spybot.worm"et me me le supprime aussi tot ,peut etre ca peut t aider..
voici le rapport combofix

ComboFix 07-08-17.2 - "Propri‚taire" 2007-08-23 3:12:28.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.0.1252.1.1036.18.540 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Autorun.inf
C:\WINDOWS\system32\5YpWi8n4.exe
C:\WINDOWS\system32\isass.exe
C:\WINDOWS\Tasks.\At1.job
C:\WINDOWS\Tasks.\At10.job
C:\WINDOWS\Tasks.\At11.job
C:\WINDOWS\Tasks.\At12.job
C:\WINDOWS\Tasks.\At13.job
C:\WINDOWS\Tasks.\At14.job
C:\WINDOWS\Tasks.\At15.job
C:\WINDOWS\Tasks.\At16.job
C:\WINDOWS\Tasks.\At17.job
C:\WINDOWS\Tasks.\At18.job
C:\WINDOWS\Tasks.\At19.job
C:\WINDOWS\Tasks.\At2.job
C:\WINDOWS\Tasks.\At20.job
C:\WINDOWS\Tasks.\At21.job
C:\WINDOWS\Tasks.\At22.job
C:\WINDOWS\Tasks.\At23.job
C:\WINDOWS\Tasks.\At24.job
C:\WINDOWS\Tasks.\At3.job
C:\WINDOWS\Tasks.\At4.job
C:\WINDOWS\Tasks.\At5.job
C:\WINDOWS\Tasks.\At6.job
C:\WINDOWS\Tasks.\At7.job
C:\WINDOWS\Tasks.\At8.job
C:\WINDOWS\Tasks.\At9.job
D:\Autorun.inf
E:\Autorun.inf


((((((((((((((((((((((((( Files Created from 2007-07-23 to 2007-08-23 )))))))))))))))))))))))))))))))


2007-08-23 03:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-23 03:09 80,384 ---h----- C:\tczogjdze.exe
2007-08-21 18:50 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 18:37 <REP> d-------- C:\WINDOWS\SYSTEM32\ActiveScan
2007-08-20 18:31 643,584 -r-hs---- C:\WINDOWS\accwiz.exe
2007-08-17 22:17 <REP> d--h----- C:\Program Files\Fichiers communs\delsim
2007-08-17 22:17 <REP> d-------- C:\WINDOWS\AU_Temp
2007-08-17 21:52 80,384 -rahs---- C:\gnsupybxp.exe
2007-08-17 07:13 80,384 -rahs---- C:\kpfkqdntg.exe
2007-08-16 22:43 643,584 -r-hs---- C:\WINDOWS\DivXsm.exe
2007-08-16 22:42 114 --a------ C:\WINDOWS\SYSTEM32\ifmk.bat
2007-08-16 22:41 152,460 --ah----- C:\WINDOWS\SYSTEM32\pthy.exe
2007-08-16 22:35 80,384 --a------ C:\WINDOWS\SYSTEM32\safsvdvri.exe
2007-08-16 22:35 128,022 --a------ C:\WINDOWS\SYSTEM32\nbucdv.exe
2007-08-16 22:03 130 --a------ C:\WINDOWS\SYSTEM32\znpwkxtw.bat
2007-08-16 22:02 52,749 --a------ C:\WINDOWS\SYSTEM32\rmxhk.exe
2007-08-16 21:52 95,608 --a------ C:\WINDOWS\SYSTEM32\AvastSS.scr
2007-08-16 21:52 94,416 --a------ C:\WINDOWS\SYSTEM32\drivers\aswmon2.sys
2007-08-16 21:52 92,848 --a------ C:\WINDOWS\SYSTEM32\drivers\aswmon.sys
2007-08-16 21:52 783,224 --a------ C:\WINDOWS\SYSTEM32\aswBoot.exe
2007-08-16 21:52 42,912 --a------ C:\WINDOWS\SYSTEM32\drivers\aswTdi.sys
2007-08-16 21:52 26,624 --a------ C:\WINDOWS\SYSTEM32\drivers\aavmker4.sys
2007-08-16 21:52 23,152 --a------ C:\WINDOWS\SYSTEM32\drivers\aswRdr.sys
2007-08-16 21:52 <REP> d-------- C:\Program Files\Alwil Software
2007-08-16 21:33 <REP> d-------- C:\WINDOWS\47D5D869FE574F2FA35883CFAA7B4968.TMP
2007-08-15 18:37 <REP> d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\Help
2007-07-28 17:09 5,632 --a------ C:\WINDOWS\SYSTEM32\ptpusb.dll
2007-07-28 17:09 146,944 --a------ C:\WINDOWS\SYSTEM32\ptpusd.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-23 03:09 44032 --a------ C:\WINDOWS\system32\ftp.exe
2007-08-23 03:09 44032 --a------ C:\WINDOWS\system32\dllcache\ftp.exe
2007-08-23 03:09 17920 --a------ C:\WINDOWS\system32\tftp.exe
2007-08-23 03:09 17920 --a------ C:\WINDOWS\system32\dllcache\tftp.exe
2007-08-22 19:20 80384 --ahs---- C:\Program Files\Thumbs.db
2007-08-22 01:29 --------- d-------- C:\Program Files\Everest Poker
2007-08-21 21:00 --------- d-------- C:\Program Files\DAEMON Tools
2007-08-16 22:43 134656 --a------ C:\WINDOWS\system32\sfc_os.dll
2007-08-16 21:35 --------- d-------- C:\Program Files\Norton Internet Security
2007-08-16 21:35 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-08-16 21:19 --------- d-------- C:\Program Files\Symantec
2007-08-16 18:11 --------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\OpenOffice.org2
2007-08-15 12:58 --------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\Azureus
2007-08-12 16:28 --------- d-------- C:\Program Files\eMule
2007-08-12 06:25 --------- d-------- C:\DOCUME~1\PROPRI~1\APPLIC~1\temp
2007-08-09 22:56 --------- d-------- C:\Program Files\TuneUp Utilities 2006
2007-07-22 19:56 --------- d-------- C:\Program Files\Azureus
2007-07-17 14:09 --------- d-------- C:\Program Files\Mindscape
2007-07-17 13:10 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-11 23:51 --------- d-------- C:\Program Files\Labtec
2007-07-06 02:33 86094 --a------ C:\WINDOWS\BPMNT.dll
2007-07-06 02:33 71749 --a------ C:\WINDOWS\hcextoutput.dll
2007-07-06 02:33 267845 --a------ C:\WINDOWS\tsc.exe
2007-07-06 02:33 1163344 --a------ C:\WINDOWS\vsapi32.dll
2007-07-06 02:31 69689 --a------ C:\WINDOWS\UNZIP.DLL
2007-07-06 02:31 507904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-07-06 02:31 286720 --a------ C:\WINDOWS\PATCH.EXE
2007-07-02 15:55 --------- d-------- C:\Program Files\SpyRemover
2001-08-24 00:47:36 80,384 --sh--r C:\WINDOWS\SYSTEM32\bxrvktgwj.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9BB85A92-37A7-4907-8B2E-33B609404745}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-09-13 18:34]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-10-08 12:52]
"FLMOFFICE4DMOUSE"="C:\Program Files\Labtec\Desktop\V5.1\moffice.exe" [2007-07-11 23:51]
"OFFICEKB"="C:\Program Files\Labtec\Desktop\V5.1\kbdap32a.exe" [2007-07-11 23:51]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"Microsoft OCX"="C:\WINDOWS\System32\bxrvktgwj.exe" [2001-08-24 02:47]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=NVDESK32.DLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"msnmsgr"="E:\program files\MSN Messenger\msnmsgr.exe" /background

R0 hpt3xx;hpt3xx;C:\WINDOWS\System32\DRIVERS\hpt3xx.sys
R2 accwiz;accwiz;"C:\WINDOWS\accwiz.exe"
R2 UxTuneUp;Extension de conception TuneUp;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 itchfltr;iTouch Keyboard Filter;C:\WINDOWS\System32\DRIVERS\itchfltr.sys
R3 PxHelper;PxHelper;\??\C:\WINDOWS\System32\drivers\PxHelper.sys
S3 LCcFltr;Logitech USB Filter Driver;C:\WINDOWS\System32\drivers\LCcFltr.Sys
S3 V90drv;v90drv;C:\WINDOWS\System32\DRIVERS\v90drv.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c9839e0-d4c3-11db-8721-806d6172696f}]
Auto\command- C:\tczogjdze.exe
AutoRun\command- RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tczogjdze.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c9839e1-d4c3-11db-8721-806d6172696f}]
Auto\command- D:\tczogjdze.exe
AutoRun\command- RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tczogjdze.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c9839e2-d4c3-11db-8721-806d6172696f}]
Auto\command- E:\tczogjdze.exe
AutoRun\command- RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tczogjdze.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ade3b524-e5d4-11db-8738-00147802aa55}]
AutoRun\command- K:\Autorun.exe


Contents of the 'Scheduled Tasks' folder
2007-08-10 17:18:47 C:\WINDOWS\Tasks\Maintenance en 1 clic.job
2007-08-23 01:16:00 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-23 03:16:46
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-23 3:17:49
C:\ComboFix-quarantined-files.txt ... 2007-08-23 03:17

--- E O F ---


merci pour ton aide
0
Réponse 3 / 3
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut,

Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

A+
0