Virus "Search Daily"

jack_007 Messages postés 34 Statut Membre -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour,

Voici mon problème: j'ai attrapé un virus et lors de mes recherches sur google, il me renvoit vers une page "search-daily.com".
J'aimerais connaitre la procédure à suivre pour enlever cette plaie.

Merci d'avance,

Jack

P.S: J'avais déjà essayé une soluce trouvé dans des forums mais malheuresement après, mon ordi s'est mis a buggé( merci la restauration système : )
Configuration: Windows XP
Internet Explorer 6.0

35 réponses

  • 1
  • 2
  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    quel solution as tu essayée ?

    * Télécharge HijackThis et poste le rapport stp
    hijackthis

    * Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici
    0
  2. jack_007 Messages postés 34 Statut Membre
     
    voici le log D'HijackThis:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:47:03, on 16/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
    C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
    C:\Program Files\Winamp\winamp.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    D:\HiJack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
    0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    tu n'as pas répondu à ma question : quelle manip as tu déjà essayée ?
    0
  4. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau

    http://www.atribune.org/ccount/click.php?id=4

    * Double-clique VundoFix.exe afin de le lancer

    * Clique sur le bouton Scan for Vundo

    * Lorsque le scan est complété, clique sur le bouton Remove Vundo

    * Une invite te demandera si tu veux supprimer les fichiers, clique YES

    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jack_007 Messages postés 34 Statut Membre
     
    Dsl pour le retard, j'ai eu des soucis connexions sur le site, j'ai du me réauthentifié c'est bizarre

    Voici le rapport VundoFix:

    VundoFix V6.5.0

    Checking Java version...

    Scan started at 21:03:13 17/06/2007

    Listing files found while scanning....

    No infected files were found.

    VundoFix V6.5.0

    Checking Java version...

    Scan started at 21:10:40 17/06/2007

    Listing files found while scanning....

    Beginning removal...

    VundoFix V6.5.0

    Checking Java version...

    Scan started at 12:06:15 2007-10-15

    Listing files found while scanning....

    No infected files were found.

    VundoFix V6.5.10

    Checking Java version...

    Scan started at 18:14:38 16/10/2007

    Listing files found while scanning....

    C:\windows\system32\FM20FRAk.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\FM20FRAk.dll
    C:\windows\system32\FM20FRAk.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\windows\system32\FM20FRAk.dll
    C:\windows\system32\FM20FRAk.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Voici le log HiJackThis

    Logfile of HijackThis v1.99.1
    Scan saved at 18:33:19, on 16/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
    C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
    C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    D:\HiJack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
    0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    non c'est pas étonnant, il y a eu un petit bug un court moment

    Tu n'as toujours pas répondu à ma question tu ne la vois pas ? ca fait 2 x que je te la pose.

    MERCI D Y REPONDRE STP

    0
  8. jack_007 Messages postés 34 Statut Membre
     
    oui oui pardon mais je me souviens pu des noms des logiciels.
    0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    ok tant pis

    je regarde tes précédents rapports, je reviens ensuite
    0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    ton xp n'est pas à jour.

    renomme HJT en jack.exe

    puis

    * Télécharge SDFix sur ton bureau
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    * Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

    * Redémarre ton ordinateur en mode sans échec

    * Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

    * Appuie sur Y pour commencer le processus de nettoyage.

    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

    * Appuie sur une touche pour redémarrer le PC.

    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

    et

    * Relance Vundofix
    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\WINDOWS\System32\syssetupb.dll
    c:\windows\system32\fm20frak.dll


    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    * Poste le rapport Vundofix,

    puis

    * lance hijackthis puis coche ces lignes

    O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
    O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
    O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll

    * toutes applications fermées et hors connexion, clique sur "fixer objet"

    reposte un nouveau rapport hijackthis avec HJT renommé ainsi que le rapport de vundo

    0
  11. jack_007 Messages postés 34 Statut Membre
     
    Voici le rapport SDFIX:

    SDFix: Version 1.109

    Run by Patrice on 16/10/2007 at 21:43

    Microsoft Windows XP [version 5.1.2600]

    Running From: D:\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Les deux lignes ajoutées a Vundo n'ont pas pu etre supprimées. Que faire?
    0
  12. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    le rapport SDFix n'est pas entier

    recommence stp

    ensuite poste les rapports avec les manips, on verra ensuite
    0
  13. jack_007 Messages postés 34 Statut Membre
     
    Je n'ai rien d'autre d'écrit sur le rapport, je recommences la manip.
    0
  14. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    tu le lances bien en mode sans échec ?
    0
  15. jack_007 Messages postés 34 Statut Membre
     
    Oui en mode sans échec, je viens de reesayer et rien de nouveau.
    0
  16. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    décidément ce soir tous les softs ont décidés d'être récalcitrants avec moi :)

    reposte rapport vundo après dernière manip et un nouveau rapport HJT
    0
  17. jack_007 Messages postés 34 Statut Membre
     
    Voici le rapport Vundo:

    VundoFix V6.5.0

    Checking Java version...

    Scan started at 21:03:13 17/06/2007

    Listing files found while scanning....

    No infected files were found.

    VundoFix V6.5.0

    Checking Java version...

    Scan started at 21:10:40 17/06/2007

    Listing files found while scanning....

    Beginning removal...

    VundoFix V6.5.0

    Checking Java version...

    Scan started at 12:06:15 2007-10-15

    Listing files found while scanning....

    No infected files were found.

    VundoFix V6.5.10

    Checking Java version...

    Scan started at 18:14:38 16/10/2007

    Listing files found while scanning....

    C:\windows\system32\FM20FRAk.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\FM20FRAk.dll
    C:\windows\system32\FM20FRAk.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\windows\system32\FM20FRAk.dll
    C:\windows\system32\FM20FRAk.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete c:\windows\system32\fm20frak.dll
    c:\windows\system32\fm20frak.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\System32\syssetupb.dll
    C:\WINDOWS\System32\syssetupb.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete c:\windows\system32\fm20frak.dll
    c:\windows\system32\fm20frak.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\System32\syssetupb.dll
    C:\WINDOWS\System32\syssetupb.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    le log hijack

    Logfile of HijackThis v1.99.1
    Scan saved at 22:58:51, on 16/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Winamp\winampa.exe
    C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    D:\HiJack\Jack.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
    0
  18. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    ok

    * Télécharge combofix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Double clique combofix.exe.

    * Tape sur la touche Y (Yes) pour démarrer le scan.

    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    ainsi qu'un nouveau rapport hijackthis
    0
  19. jack_007 Messages postés 34 Statut Membre
     
    Bonjour,

    Je me souviens avoir déja utiliser ce programme. Voici le rapport:

    ComboFix 07-10-17.8 - Patrice 2007-10-17 10:10:17.1 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.330 [GMT 2:00]
    Running from: D:\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\System32\FM20FRAk.dll . . . . Echec de suppression
    C:\WINDOWS\system32\fm20frak.dll . . . . Echec de suppression
    C:\WINDOWS\System32\FM20FRAk.dll . . . . Echec de suppression
    C:\WINDOWS\system32\fm20frak.dll . . . . Echec de suppression

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_MLRFIXFB
    -------\mlrfixfb

    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-17 to 2007-10-17 ))))))))))))))))))))))))))))))))))))
    .

    2007-10-17 10:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Voisinage r‚seau
    2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Voisinage d'impression
    2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\ModŠles
    2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Mes documents
    2007-10-16 22:24 <REP> dr------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Menu D‚marrer
    2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Favoris
    2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Bureau
    2007-10-16 21:57 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
    2007-10-16 21:49 1,422 --a------ C:\Documents and Settings\Patrice.PATRICE-G03QP8A\clean.reg
    2007-10-16 21:42 <REP> d-------- C:\WINDOWS\ERUNT
    2007-10-16 18:14 <REP> d-------- C:\VundoFix Backups
    2007-10-15 18:45 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
    2007-10-15 18:45 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
    2007-10-15 12:38 <REP> d-------- C:\Documents and Settings\Patrice.PATRICE-G03QP8A\Application Data\Grisoft
    2007-10-14 19:54 <REP> d-------- C:\Documents and Settings\Administrateur\ModŠles
    2007-10-14 19:15 1,188,375 --a------ C:\WINDOWS\system32\libeay32(2)(2).dll
    2007-10-14 19:15 246,545 --a------ C:\WINDOWS\system32\libssl32(2)(2).dll
    2007-10-14 18:32 741,632 --a------ C:\WINDOWS\system32\hzfenqke.dat
    2007-10-14 18:32 118,528 --a------ C:\WINDOWS\system32\jblbrfvm.dat
    2007-10-14 18:32 41,728 --a------ C:\WINDOWS\system32\ibhjagqo.dat
    2007-10-14 18:32 35,584 --a------ C:\WINDOWS\system32\sfcmnbjw.dat
    2007-10-14 18:32 34,560 --a------ C:\WINDOWS\system32\mprqkgge.dat
    2007-10-14 17:47 <REP> d-------- C:\WINDOWS\system32\AppCert
    2007-10-14 17:46 92,672 --a------ C:\WINDOWS\system32\syssetupb.dll
    2007-10-14 17:46 81,408 --a------ C:\WINDOWS\system32\FM20FRAk.dll
    2007-10-14 14:03 93,184 --a------ C:\WINDOWS\system32\mpruio.dll
    2007-10-14 14:03 17,792 C:\WINDOWS\system32\drivers\zaidqyzz.dat
    2007-10-11 19:18 27 --a------ C:\WINDOWS\mscpt.dat
    2007-10-11 19:06 57,344 --a------ C:\WINDOWS\system32\WNASPINT.DLL
    2007-10-11 18:50 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys
    2007-10-11 18:50 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys
    2007-10-09 16:52 <REP> d-------- C:\eJay
    2007-10-09 16:52 307,200 --a------ C:\WINDOWS\system32\fxstudio.dll
    2007-10-09 16:52 282,624 --a------ C:\WINDOWS\system32\animation2.dll
    2007-10-09 16:52 159,744 --a------ C:\WINDOWS\system32\DartSock.dll
    2007-10-09 16:52 106,496 --a------ C:\WINDOWS\system32\DartWeb.dll
    2007-10-09 16:52 78,085 --a------ C:\WINDOWS\system32\pattern.dat
    2007-10-09 16:51 97,280 --a------ C:\WINDOWS\system32\ccrpbds5.dll
    2007-09-21 17:29 <REP> d--hs---- C:\FOUND.007
    2007-09-20 21:15 <REP> d-------- C:\Program Files\Ontrack
    2007-09-19 10:46 <REP> d-------- C:\Program Files\directx

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-09-12 11:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple
    2007-09-06 15:31 --------- d-----w C:\Documents and Settings\Patrice.PATRICE-G03QP8A\Application Data\GeoVid
    2007-09-06 15:24 --------- d-----w C:\Program Files\GeoVid
    2007-09-06 15:24 --------- d-----w C:\Program Files\Fichiers communs\GeoVid
    2007-08-24 10:19 19,968 --sha-w C:\Program Files\Thumbs.db
    2007-08-12 11:59 4,112,760 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
    2007-07-24 13:43 41,984 ----a-w C:\WINDOWS\qucltext.exe
    2007-07-19 22:57 267,112 ----a-w C:\WINDOWS\system32\xactengine2_9.dll
    2007-07-19 16:14 444,776 ----a-w C:\WINDOWS\system32\d3dx10_35.dll
    2007-07-19 16:14 3,727,720 ----a-w C:\WINDOWS\system32\d3dx9_35.dll
    2007-07-19 16:14 1,358,192 ----a-w C:\WINDOWS\system32\D3DCompiler_35.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309}]
    2007-10-15 18:49 81408 --a------ c:\windows\system32\fm20frak.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43}]
    2001-09-28 12:00 92672 --a------ C:\WINDOWS\System32\syssetupb.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "Touch Manager"="C:\Program Files\Netropa\Touch Manager\TouchMgr.exe" [1999-11-19 16:56]
    "SoundMan"="SOUNDMAN.EXE" [2003-01-07 12:09 C:\WINDOWS\SOUNDMAN.EXE]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-02-13 14:46]
    "nwiz"="nwiz.exe" [2004-03-24 10:04 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-02-13 14:46]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 18:09]
    "BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" []
    "Steam"="" []

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    @=

    R0 kgmwgqeu;kgmwgqeu;C:\WINDOWS\System32\drivers\zaidqyzz.dat
    R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\System32\DRIVERS\msikbd2k.sys
    R3 fhlppppoe;PPPOE/ADSL miniport;C:\WINDOWS\System32\DRIVERS\fhlpppoe.sys
    R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2007-09-26 20:38:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    .
    **************************************************************************

    catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-10-17 10:14:28
    Windows 5.1.2600 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-10-17 10:15:13 - machine was rebooted
    C:\ComboFix2.txt ... 2007-10-14 19:33
    .
    --- E O F ---

    Comment faire pour virer ces deux dll.???
    0
  20. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    ah oui d'accord .... même combo n'en vient pas à bout.
    Je vais regarder plus en détail le rapport de combo dans l'après midi, dans l'immédiat, je n'ai pas le temps.

    je repasserais plus tard avec des consignes
    0
  21. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    je ne t'ai pas oublié, néanmoins j'ai besoin d'une petite confirmation pour une ligne à mettre dans un script
    je pense l'avoir d'ici ce soir ou en soirée

    @ + tard
    0
  • 1
  • 2