Virus insaisissable ! Fermé

Question

Bonjour,

J'ai un PC visiblement infecté... mais Avast et ADware ne m'ont pas permis de m'en débarasser. Un test en ligne sur Secuser a éléminé quelques fichiers mais il en reste... Il va falloir entrer dans les entrailles de la bête et j'ai peur de faire des bêtises.
QUELQU'UN PEUT-IL M'AIDER ?

Les symptômes :
le PC était lent depuis quelques temps, puis est apparu un virus que j'ai cru éliminer (antivirus, puis a la mano en retirant les fichiers né à l'heure de l'invasion) , mais il est encore là. Il charge le système, impossible de jouer car la mémoire est occupée (ou le processeur).
En fait iexplore.exe tente de se lancer périodiquement et si on utiliser le "vrai", le bandeau clignote... 

Pour permettre un diagnostic, j'ai compris qu'il fallait un rapport Hijackthis
Le voici.
------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:36, on 27/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
I:\WINDOWS\system32\ctfmon.exe
I:\WINDOWS\ATKKBService.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe
I:\Program Files\Internet Explorer\IEXPLORE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "I:\WINDOWS\TEMP\E_S16B.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [WinAVX] I:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMax] "I:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "I:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [updateMgr] I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [WinAVX] I:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [swg] I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer = 85.255.114.24,82.255.112.235
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.24 85.255.112.235
O17 - HKLM\System\CS1\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.24 85.255.112.235
O17 - HKLM\System\CS2\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.24 85.255.112.235
O20 - AppInit_DLLs: I:\WINDOWS\system32\systems.txt
O21 - SSODL: SrvUnknown - {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccess - Unknown owner - I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe

Regis59 · Answer

Re,

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

A+

JiP_95 · Answer

VOILA LE RAPPORT SMITFRAUDIX....
Ca dit à peu près la même chose.  Quoi de neuf, docteur ?
Merci d'avance.

SmitFraudFix v2.275

Rapport fait à 19:56:32,18, 27/01/2008
Executé à partir de I:\Documents and Settings\Jean-Pierre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ATKKBService.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\Program Files\Internet Explorer\iexplore.exe
I:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

#AAW 192.168.200.3	download.microsoft.com
#AAW 192.168.200.3	downloads.microsoft.com
#AAW 192.168.200.3	go.microsoft.com
#AAW 192.168.200.3	microsoft.com
#AAW 192.168.200.3	msdn.microsoft.com
#AAW 192.168.200.3	office.microsoft.com
#AAW 192.168.200.3	support.microsoft.com
#AAW 192.168.200.3	windowsupdate.microsoft.com
#AAW 192.168.200.3	www.microsoft.com
#AAW 192.168.200.3	pandasoftware.com
#AAW 192.168.200.3	www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» I:\


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» I:\Documents and Settings\Jean-Pierre


»»»»»»»»»»»»»»»»»»»»»»»» I:\Documents and Settings\Jean-Pierre\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» I:\DOCUME~1\JEAN-P~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» I:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="I:\WINDOWS\system32\systems.txt"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.114.24
DNS Server Search Order: 82.255.112.235

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: DhcpNameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CCS\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: NameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer=85.255.114.24,82.255.112.235
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FA2A3141-F9F0-4E9C-B045-1DC6B24C12EC}: DhcpNameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: DhcpNameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: NameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer=85.255.114.24,82.255.112.235
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FA2A3141-F9F0-4E9C-B045-1DC6B24C12EC}: DhcpNameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: DhcpNameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1F52E493-5F6F-4775-AA2B-23C74A066D83}: NameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer=85.255.114.24,82.255.112.235
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FA2A3141-F9F0-4E9C-B045-1DC6B24C12EC}: DhcpNameServer=85.255.114.24,85.255.112.235
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.24 85.255.112.235
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.24 85.255.112.235
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.114.24 85.255.112.235


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Regis59 · Answer

Choisis l"option 5.

++

JiP_95 · Answer

Bonjour,

Je vais avoir l'air un peu tarte... Option 5 de quoi ?
Je relance smitfraudix avec 5

J'ai refait un scan au boot en supprimant tout et c'est toujours là.
Merci pour vos précisions.

JiP_95 · Answer

Bonjour Regis59.

J'ai pris l'option 5 de SmitFraudix pour réparer le pb de DNS.

C'est radical, mais pas satisfaisant : je n'ai plus du tout d'accès à mon FAI. Heureusement que j'ai le PC au bureau pour pouvoir déposer ce message. Je pense qu'il faudra que je réinstalle mon accès Internet ce soir. Toutes les adresses IP ont dû être dégommées...

Mais j'ai toujours un IEXPLORE qui se lance au début de session. Alors que j'ai normalement supprimé un certain nombre de fichiers verreux par un scan au démarrage, mais avant le smitfraudix. Il y a sûrement un ordre à suivre.
Si vous pouvez être plus précis, ça m'éviterait de faire des bêtises. C'est la première fois que je dois faire de la micro-chirurgie. D'habitude l'antivirus fait tout.

Cordialement

PS : Je me croyais en sécurité avec mon Avast/Adware et je me demande comment cette saleté a pu passer.

Regis59 · Answer

Salut

Ouch.
On est jamais assez bien sécurisé et jamais bien protégé.
On verra cela a la fin pour cela.

Tu as récupéré ta connection ou pas?

A+

JiP_95 · Answer

Bonsoir,

Eh bien... oui ! Avec bien du mal et l'aide téléphonique de mon fils exilé à l'étranger... pour savoir par où entrer les infos a la mano.
J'ai récupéré les infos DNS sur le site de mon FAI et reconfiguré les adresses de mon routeur et des DNS.
J'écris à présent depuis mon accès rafistolé.

Tout n'est pas réglé (il est puissant lae 5 du smitfraudix : il a touté dégagé...)

Voilà le rapport actuel avec l'option 1 (hosts et registres altérés) : plein de trucs en 192.168.200.3.

SmitFraudFix v2.275

Rapport fait à 21:15:37,81, 28/01/2008
Executé à partir de I:\Documents and Settings\Jean-Pierre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ATKKBService.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
I:\WINDOWS\Explorer.EXE
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
I:\Program Files\Internet Explorer\iexplore.exe
I:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

#AAW 192.168.200.3	download.microsoft.com
#AAW 192.168.200.3	downloads.microsoft.com
#AAW 192.168.200.3	go.microsoft.com
#AAW 192.168.200.3	microsoft.com
#AAW 192.168.200.3	msdn.microsoft.com
#AAW 192.168.200.3	office.microsoft.com
#AAW 192.168.200.3	support.microsoft.com
#AAW 192.168.200.3	windowsupdate.microsoft.com
#AAW 192.168.200.3	www.microsoft.com
#AAW 192.168.200.3	pandasoftware.com
#AAW 192.168.200.3	www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» I:\


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» I:\Documents and Settings\Jean-Pierre


»»»»»»»»»»»»»»»»»»»»»»»» I:\Documents and Settings\Jean-Pierre\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» I:\DOCUME~1\JEAN-P~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» I:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="I:\WINDOWS\system32\systems.txt"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Que faire maintenant ? 
NB : J'ai vu que la restauration système était désactivée et ça va pas m'aider.

Merci de votre patience.

JiP_95

jimbob · Answer

utilise la fonction recherche de l'explorateur pour trouver les fichiers .dll et/ou .exe recents qui se seraient mis sur ton pc
(coche les options recherche dans dossiers cachés et système)
cela prend 5 minutes

Regis59 · Answer

Ok

Tu sais restaurer ton fichier hosts ou pas?

Remet un Hijackthis stp

A+

JiP_95 · Answer

NON. Je ne sais pas restaurer le HOSTS (et je n'ai pas de sauvegarde système).

Mon avast a retrouvé le chemin de ses MAJ, et ne trouve plus rien. Pourtant, j'ai le sentiment que ma barre de fenêtre clignote et que c'est inhabituel. La beête serait-elle vicieuse ? ou je deviens parano... c'est peut être ça !

VOILA le fichier HJ

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:03, on 28/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ATKKBService.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
I:\WINDOWS\Explorer.EXE
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
I:\Program Files\MSN Messenger\usnsvc.exe
I:\Program Files\Internet Explorer\iexplore.exe
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "I:\WINDOWS\TEMP\E_S16B.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [WinAVX] I:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMax] "I:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "I:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [updateMgr] I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [WinAVX] I:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [swg] I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer = 212.27.53.252,212.27.54.252
O20 - AppInit_DLLs: I:\WINDOWS\system32\systems.txt
O21 - SSODL: SrvUnknown - {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccess - Unknown owner - I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe

JiP_95 · Answer

Pour JimBob :
pas de .dll ni de .exe suspects depuis un mois.
que du avast, adware ou ce que j'ai fait pour dépanner.
Il y a plein de fichiers avec EXE dans le nom et une extension .pf

Ca ne me donne pas de piste.

What else ?

JiP_95 · Answer

REBELOTE !

Il n'y avait plus rien apparemment sur le PC pour Avast et vla une fenêtre" ultimate cleaner", puis une autre dans le même genre... C'est très souvent vers 23 heures. Ca doit revenir de l'internet via une faille du système. Une attaque en règle ?

J'ai surpris le process udefender_setup.exe avec un coup de HJ à la dernière attaque (fenêtre ultimate defender).
Je vois le site s2fnew.com dans l'historique et je n'y suis pas allé.

Voilà le HJ log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:03:37, on 28/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ATKKBService.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
I:\WINDOWS\Explorer.EXE
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
I:\Program Files\MSN Messenger\usnsvc.exe
I:\Program Files\smss.exe
I:\Program Files\udefender_setup.exe
I:\WINDOWS\system32	askmgr.exe
I:\WINDOWS\system32\cmd.exe
I:\WINDOWS\NOTEPAD.EXE
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "I:\WINDOWS\TEMP\E_S16B.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [WinAVX] I:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMax] "I:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "I:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [updateMgr] I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [WinAVX] I:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [swg] I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer = 212.27.53.252,212.27.54.252
O20 - AppInit_DLLs: I:\WINDOWS\system32\systems.txt
O21 - SSODL: SrvUnknown - {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccess - Unknown owner - I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe

Regis59 · Answer

Salut

Ok. On vérifie une chose et apres on supprimera ce qui est visible.

Fais un clic droit sur ce lien :
http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

A+

JiP_95 · Answer

Bonsoir,

Depuis hier, j'ai :
rétabli l'adresse 127.0.0.1 dans le hosts qui ne contenait que des # (que je peux peut etre virer)
purgé les dossiers Temp et Preftech et fichier temp et cookies histo de IE
supprimer le dossier I: Program files/ultimate cleaner (le virus ou une patie au moins)
éliminé deux ou trois trucs Java réputé uncleanable par l'AV en ligne de secuser

et ça n'a pas empêcher un processus iexplore.exe de se relancer à chaque fois (même sans réseau)

j'ai aussi 1010.exe actif (apparu dans Program Files)...


Pendant que j'écrivais l'utilitaire a produit le rapport. Le voici.

Search Navipromo version 3.4.2 commencé le 29/01/2008 à 22:16:53,60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis I:\Program Files
avilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans I:\WINDOWS ***



*** Recherche dossiers dans I:\Program Files ***



*** Recherche dossiers dans I:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "I:\Documents and Settings\Jean-Pierre\application data" *** 



*** Recherche dossiers dans "I:\Documents and Settings\Jean-Pierre\local settings\application data" *** 



*** Recherche dossiers dans "I:\Documents and Settings\Jean-Pierre\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans I:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans I:\WINDOWS\system32 *

* Recherche dans "I:\Documents and Settings\Jean-Pierre\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans I:\WINDOWS\system32 :


* Dans "I:\Documents and Settings\Jean-Pierre\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 29/01/2008 à 22:20:45,64 ***


J'ai eu deux alerte Avast sur des pmye.dll durant l'execution de Navipromo.

Merci pour votre aide.
J'ai du mal à écrire comme si ma saisie était détournée de la fenêtre....


A demain.

Regis59 · Answer

okay !

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Copie/colle un nouveau rapport HiJackThis avec.

JiP_95 · Answer

VOILA le rapport demandé (le virus est apparu pendant l'opération) ComboFix 08-01-30.1 - Jean-Pierre 2008-01-29 22:56:49.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.550 [GMT 1:00] Endroit: I:\Documents and Settings\Jean-Pierre\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . I:\Documents and Settings\Joëlle\Bureau\Find Spyware Remover.lnk I:\Documents and Settings\Joëlle\Bureau\Free Online Dating.lnk . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . ------- m ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 )))))))))))))))))))))))))))))))))))) . 2008-01-29 22:15 . 2008-01-29 22:27 d-------- I:\Program Files\Navilog1 2008-01-29 21:38 . 2008-01-29 21:37 35,430,993 --a------ I:\WINDOWS\LPT$VPN.967 2008-01-29 21:37 . 2008-01-29 21:37 d-------- I:\WINDOWS\AU_Temp 2008-01-29 21:37 . 2008-01-29 21:37 35,430,993 --a------ I:\WINDOWS\VPTNFILE.967 2008-01-28 19:07 . 2008-01-28 19:07 d--h----- I:\WINDOWS\msdownld.tmp 2008-01-27 19:56 . 2008-01-28 23:03 2,306 --a------ I:\WINDOWS\system32 mp.reg 2008-01-27 12:01 . 2008-01-27 12:01 d-------- I:\Program Files\Trend Micro 2008-01-27 10:18 . 2008-01-29 21:38 d-------- I:\WINDOWS eport 2008-01-27 10:14 . 2008-01-27 10:17 d-------- I:\WINDOWS\AU_Backup 2008-01-27 10:14 . 2008-01-27 10:14 1,916,766 --a------ I:\WINDOWS sc.ptn 2008-01-27 10:14 . 2008-01-29 21:37 1,163,344 --a------ I:\WINDOWS\vsapi32.dll 2008-01-27 10:14 . 2008-01-27 10:14 267,845 --a------ I:\WINDOWS sc.exe 2008-01-27 10:14 . 2008-01-29 21:37 86,094 --a------ I:\WINDOWS\BPMNT.dll 2008-01-27 10:14 . 2008-01-27 10:14 71,749 --a------ I:\WINDOWS\hcextoutput.dll 2008-01-27 10:14 . 2008-01-29 21:39 823 --a------ I:\WINDOWS sc.ini 2008-01-27 10:12 . 2008-01-27 10:12 d-------- I:\WINDOWS\AU_Log 2008-01-27 10:12 . 2008-01-27 10:12 507,904 --a------ I:\WINDOWS\TMUPDATE.DLL 2008-01-27 10:12 . 2008-01-27 10:12 286,720 --a------ I:\WINDOWS\PATCH.EXE 2008-01-27 10:12 . 2008-01-27 10:12 69,689 --a------ I:\WINDOWS\UNZIP.DLL 2008-01-27 10:12 . 2008-01-29 21:37 170 --a------ I:\WINDOWS\GetServer.ini 2008-01-21 21:23 . 2008-01-21 21:23 d-------- I:\Documents and Settings\Jean-Pierre\Application Data\Leadertech 2007-12-25 10:13 . 2007-12-25 10:13 d-------- I:\Documents and Settings\Damien\Application Data\Apple Computer 2007-12-23 20:55 . 2007-12-23 20:55 d-------- I:\Documents and Settings\Jean-Pierre\Application Data\Apple Computer 2007-12-23 20:46 . 2007-12-23 20:46 d-------- I:\Program Files\QuickTime 2007-12-23 20:46 . 2007-12-23 20:46 d-------- I:\Program Files\Apple Software Update 2007-12-23 20:46 . 2007-12-23 20:46 d-------- I:\Documents and Settings\All Users\Application Data\Apple Computer 2007-12-23 20:46 . 2007-12-23 20:46 d-------- I:\Documents and Settings\All Users\Application Data\Apple 2007-12-22 11:56 . 2007-12-22 11:57 6,849 --a------ I:\WINDOWS\setuplog.xml 2007-12-22 11:54 . 2007-12-22 11:54 d-------- I:\Program Files\Alcohol Soft 2007-12-22 11:52 . 2007-12-22 11:52 685,816 --a------ I:\WINDOWS\system32\drivers\sptd.sys 2007-12-22 11:25 . 2006-11-29 13:06 3,426,072 --a------ I:\WINDOWS\system32\d3dx9_32.dll 2007-12-22 11:25 . 2006-09-28 16:05 2,414,360 --a------ I:\WINDOWS\system32\d3dx9_31.dll 2007-12-22 11:25 . 2006-12-08 12:02 251,672 --a------ I:\WINDOWS\system32\xactengine2_5.dll 2007-12-22 11:25 . 2006-09-28 16:05 237,848 --a------ I:\WINDOWS\system32\xactengine2_4.dll 2007-12-22 11:25 . 2006-09-28 16:04 68,888 --a------ I:\WINDOWS\system32\xinput1_3.dll 2007-12-22 11:25 . 2006-11-15 11:38 15,128 --a------ I:\WINDOWS\system32\x3daudio1_1.dll 2007-12-22 11:07 . 2007-12-22 11:57 3,775 --a------ I:\WINDOWS\diagwrn.xml 2007-12-22 11:07 . 2007-12-22 11:57 1,905 --a------ I:\WINDOWS\diagerr.xml 2007-12-11 10:57 . 2007-12-11 10:57 65,536 --a------ I:\WINDOWS\system32\QuickTimeVR.qtx 2007-12-11 10:57 . 2007-12-11 10:57 49,152 --a------ I:\WINDOWS\system32\QuickTime.qts 2007-12-02 12:41 . 2007-12-02 12:41 d-------- I:\Documents and Settings\Jean-Pierre\Application Data\Petroglyph 2007-12-02 12:40 . 2007-12-02 12:40 98,304 --a------ I:\WINDOWS\system32\CmdLineExt.dll 2007-12-02 12:37 . 2007-12-02 12:37 d-------- I:\Documents and Settings\Jean-Pierre\Application Data\InstallShield 2007-12-01 11:18 . 2007-12-01 11:19 d-------- I:\Program Files\Elaborate Bytes 2007-12-01 11:18 . 2007-12-01 11:18 d-------- I:\Documents and Settings\All Users\Application Data\Elaborate Bytes 2007-12-01 11:18 . 2007-12-01 11:18 48 ---hs---- I:\WINDOWS\SB624AE45.tmp . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-26 16:33 --------- d-----w I:\Documents and Settings\All Users\Application Data\Lavasoft 2008-01-26 12:29 --------- d-----w I:\Program Files\MSN Messenger 2008-01-08 05:18 --------- d-----w I:\Program Files\Fichiers communs\Adobe 2007-12-26 10:27 --------- d-----w I:\Program Files\SlySoft 2007-12-04 14:56 93,264 ----a-w I:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w I:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w I:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w I:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w I:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-02 11:38 --------- d--h--w I:\Program Files\InstallShield Installation Information 2006-06-23 06:48 32,768 ----a-r I:\WINDOWS\inf\UpdateUSB.exe 2006-05-03 09:06 163,328 --sh--r I:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r I:\WINDOWS\system32\msfDX.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="I:\WINDOWS\system32\ctfmon.exe" [2004-08-19 18:37 15360] "MsnMsgr"="I:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "BitTorrent"="I:\Program Files\BitTorrent\bittorrent.exe" [ ] "updateMgr"="I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472] "swg"="I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-19 06:48 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "SunJavaUpdateSched"="I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "Adobe Photo Downloader"="I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [ ] "SoundMax"="I:\Program Files\Analog Devices\SoundMAX\smax4.exe" [2006-04-10 09:19 729088] "QuickTime Task"="I:\Program Files\QuickTime\qttask.exe" [2007-12-11 10:56 286720] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="I:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 18:37 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "SrvUnknown"= {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll [2008-01-25 22:33 12838] [HKLM\~\startupfolder\I:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=I:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=I:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] --a------ 2006-05-10 11:12 90112 I:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] I:\Program Files\SlySoft\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure] -r------- 2006-06-02 09:45 385024 I:\WINDOWS\system32\JMRaidTool.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] --a------ 2006-04-10 09:19 729088 I:\Program Files\Analog Devices\SoundMAX\Smax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] -ra------ 2006-05-01 11:07 843776 I:\Program Files\Analog Devices\Core\smax4pnp.exe S3 w300bus;Sony Ericsson W300 Driver driver (WDM);I:\WINDOWS\system32\DRIVERS\w300bus.sys [2006-03-13 15:49] S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);I:\WINDOWS\system32\DRIVERS\w300mgmt.sys [2006-03-13 15:50] S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;I:\WINDOWS\system32\DRIVERS\w300obex.sys [2006-03-13 15:50] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0f09b7e-b945-11db-874d-806d6172696f}] \Shell\AutoRun\command - H:\ASUSACPI.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-12-23 19:46:25 I:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - I:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-30 22:59:34 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: I:\WINDOWS\Explorer.EXE [6.00.2900.3156] -> I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll . ------------------------ Other Running Processes ------------------------ . I:\WINDOWS\system32\Ati2evxx.exe I:\WINDOWS\system32\Ati2evxx.exe I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe I:\Program Files\Alwil Software\Avast4\ashServ.exe I:\WINDOWS\ATKKBService.exe I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe I:\WINDOWS\system32\wdfmgr.exe I:\Program Files\MSN Messenger\MsnMsgr.Exe I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe I:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe I:\Program Files\Alwil Software\Avast4\ashWebSv.exe I:\Program Files\Internet Explorer\IEXPLORE.EXE I:\WINDOWS\System32 undll32.exe I:\Program Files\smss.exe I:\Program Files\smss.exe I:\Program Files\smss.exe I:\Program Files\smss.exe I:\Program Files\smss.exe I:\Program Files\smss.exe . ************************************************************************** . Temps d'accomplissement: 2008-01-30 23:00:50 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-30 22:00:47 . 2008-01-29 05:53:57 --- E O F --- et le HJ executé juste après (avec six ou sept fen^tre ultimate cleaner apparue après le reboot) Nota : trois fichiers infectés détectés par Avast durant l' HJ. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:05:06, on 30/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\Ati2evxx.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\Ati2evxx.exe I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe I:\Program Files\Alwil Software\Avast4\ashServ.exe I:\WINDOWS\system32\spoolsv.exe I:\WINDOWS\Explorer.EXE I:\WINDOWS\ATKKBService.exe I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe I:\WINDOWS\system32\svchost.exe I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe I:\WINDOWS\system32\ctfmon.exe I:\Program Files\MSN Messenger\MsnMsgr.Exe I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe I:\Program Files\Alwil Software\Avast4\ashWebSv.exe I:\Program Files\Internet Explorer\IEXPLORE.EXE I:\WINDOWS\System32 undll32.exe I:\Program Files\smss.exe I:\WINDOWS\system32\wuauclt.exe I:\Program Files\smss.exe I:\Program Files\smss.exe I:\Program Files\smss.exe I:\Program Files\smss.exe I:\Program Files\smss.exe I:\Program Files\internet explorer\iexplore.exe I:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SoundMax] "I:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BitTorrent] "I:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [updateMgr] I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [swg] I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer = 212.27.53.252,212.27.54.252 O21 - SSODL: SrvUnknown - {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NMSAccess - Unknown owner - I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe

Regis59 · Answer

OK

Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : 

I:\Program Files\smss.exe 

- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

JiP_95 · Answer

Bonjour,

On touche au but... hier j'ai vu quatre smss.exe actifs (changement de nom ? avant c'était 1010.exe) et je comptais bien le supprimer.
Voilà, le dernier rapport est ici :
Service  
Service load:  0%        100%  
 
File:  smss.exe  
Status:  INFECTED/MALWARE  
MD5:  82b0b65357a6951cdf40b7a95d6f2333  
Packers detected:  PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT 
Bit9 reports:  File not found  
 
Scanner results  
Scan taken on 30 Jan 2008 05:20:27 (GMT)  
A-Squared  Found nothing 
AntiVir  Found HEUR/Malware  
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found Generic9.AWAD  
BitDefender  Found Generic.Malware.Bdld.4463B6FA (probable variant)  
ClamAV  Found nothing 
CPsecure  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found unknown virus (probable variant)  
F-Secure Anti-Virus  Found nothing 
Fortinet  Found nothing 
Ikarus  Found Win32.SuspectCrc  
Kaspersky Anti-Virus  Found nothing 
NOD32  Found probably unknown NewHeur_PE (probable variant)  
Norman Virus Control  Found nothing 
Panda Antivirus  Found nothing 
Rising Antivirus  Found nothing 
Sophos Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing 
   
et il y a un autre tabelau en bas 
Last file scanned at least one scanner reported something about: WinRAR_Gold_Edition.exe (MD5: 290768080468426ca60b70c19c50865e, size: 4760848 bytes), detected by:

Scanner  Malware name  
A-Squared  X  
AntiVir  X  
ArcaVir  X  
Avast  X  
AVG Antivirus  SHeur.AEJA  
BitDefender  X  
ClamAV  X  
CPsecure  X  
Dr.Web  X  
F-Prot Antivirus  X  
F-Secure Anti-Virus  X  
Fortinet  X  
Ikarus  Backdoor.Win32.Rbot.feo  
Kaspersky Anti-Virus  X  
NOD32  X  
Norman Virus Control  W32/Spybot.CKCD  
Panda Antivirus  X  
Rising Antivirus  X  
Sophos Antivirus  X  
VirusBuster  X  
VBA32  Backdoor.Win32.Rbot.feo  

Il y a l'air d'avoir une backdoor et donc je comprends mieux que ça revienne APRES UN SCAN;

bon je vais re-supprimer les répertoires de U;cleaner et les exe apparus pendant la manip.

A+ Merci encore. Quelle patience ! Mais j'avoue que la chasse est passionnante.

Regis59 · Answer

Salut

Oui, supprime

Une fois fait, tu me remet un Hjackthis et un combofix.

++

JiP_95 · Answer

Bonsoir,


Chronologiquement, voici ce que j'ai fait :
1/ supression de 1010.exe smss.exe et spoolsv.exe de Program Files et du dossier Ultimate cleaner qui s'y trouvait
2/ supression du contenu de Pretech
3/ Ad-ware : 0 objets critiques, 10 trackers
4/ Avast : option forcer et renommage en .vir puis vidage du dossier Moved : il contenait 
1010.exe, uncleaner_setup.exe A0001901.exe et spoolsv.exe.
5/ détection de virus à la supression, donc 2e Avast pour vérifier : 0 ficheir infecté

Pendant ce temps là, toutes les 5mn ,j'ai du tuer le process iexplore.exe qui se lançait périodiquement.


VOILA le rapport HJ

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:13, on 31/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ATKKBService.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
I:\WINDOWS\system32\ctfmon.exe
I:\WINDOWS\system32
otepad.exe
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMax] "I:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "I:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [updateMgr] I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer = 212.27.53.252,212.27.54.252
O21 - SSODL: SrvUnknown - {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccess - Unknown owner - I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe

Regis59 · Answer

ok

Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

JiP_95 · Answer

Ca va être très long. 20% au bout de 30 mn... plus que 2 heures 30 !
Indépendamment du post du rapport, je présume que je dois supprimer les fichiers (déjà 10 de contaminés).

Est-ce bien celà ? ou j'attends ?

Regis59 · Answer

Oui :)

Courage.

a+

JiP_95 · Answer

RE Bonsoir,

C'est terminé plus vite sur la fin. On dirai que tout est verouillé et non supprimable.
J'attends vos consignes. 
Voilà le rapport. 


 KASPERSKY ON-LINE SCANNER REPORT  
Thursday, January 31, 2008 10:13:39 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 30/01/2008
Enregistrements dans la base antivirus Kaspersky : 501931
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
A:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\  
 
Statistiques de l'analyse 
Total d'objets analysés 87902 
Nombre de virus trouvés 6 
Nombre d'objets infectés 10 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 00:32:20 

Nom de l'objet infecté Nom du virus Dernière action 
I:\Documents and Settings\Jean-Pierre\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-733be6b2-68d147fd.zip/BnnnnBaa.class  Infecté : Trojan.Java.ClassLoader.as  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-733be6b2-68d147fd.zip/VaannnaaBaa.class  Infecté : Trojan.Java.ClassLoader.as  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-733be6b2-68d147fd.zip/Bnnnnn.class  Infecté : Trojan.Java.ClassLoader.as  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\cnte-dhncgts.jar-733be6b2-68d147fd.zip  ZIP: infecté - 3  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Local Settings\Historique\History.IE5\MSHist012008013120080201\index.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\Jean-Pierre
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
I:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
I:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat  L'objet est verrouillé  ignoré  
 
I:\Program Files\Alwil Software\Avast4\DATA\Avast4.db  L'objet est verrouillé  ignoré  
 
I:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws  L'objet est verrouillé  ignoré  
 
I:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log  L'objet est verrouillé  ignoré  
 
I:\Program Files\Alwil Software\Avast4\DATA\log
shield.log  L'objet est verrouillé  ignoré  
 
I:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt  L'objet est verrouillé  ignoré  
 
I:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
I:\System Volume Information\_restore{905837DB-B0A0-413A-B7C2-849403BAFB56}\RP1\A0000037.exe  Infecté : Trojan-Downloader.Win32.Alphabet.cb  ignoré  
 
I:\System Volume Information\_restore{905837DB-B0A0-413A-B7C2-849403BAFB56}\RP3\A0001761.exe  Infecté : Trojan.Win32.Agent.elc  ignoré  
 
I:\System Volume Information\_restore{905837DB-B0A0-413A-B7C2-849403BAFB56}\RP4\change.log  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll  Infecté : Trojan.Win32.Agent.eld  ignoré  
 
I:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\SoftwareDistribution\EventCache\{BAC1C1AD-D729-4BA3-860B-6F4B39A43709}.bin  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\ACEEvent.evt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\Antivirus.Evt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\Internet.evt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\drivers\sptd.sys  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\Temp\Perflib_Perfdata_698.dat  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\Temp\_avast4_\Webshlock.txt  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
I:\WINDOWS\wwdasdwdac.exe  Infecté : Trojan-Downloader.Win32.Agent.ezo  ignoré  
 
J:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
J:\System Volume Information\_restore{905837DB-B0A0-413A-B7C2-849403BAFB56}\RP2\A0001242.exe  Infecté : Trojan-Downloader.Win32.Alphabet.cb  ignoré  
 
J:\System Volume Information\_restore{905837DB-B0A0-413A-B7C2-849403BAFB56}\RP2\A0001247.exe  Infecté : Trojan-Downloader.Win32.Tiny.agr  ignoré  
 
J:\System Volume Information\_restore{905837DB-B0A0-413A-B7C2-849403BAFB56}\RP4\change.log  L'objet est verrouillé  ignoré  
 
K:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
K:\System Volume Information\_restore{905837DB-B0A0-413A-B7C2-849403BAFB56}\RP4\change.log  L'objet est verrouillé  ignoré  
 
L:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
L:\System Volume Information\_restore{905837DB-B0A0-413A-B7C2-849403BAFB56}\RP4\change.log  L'objet est verrouillé  ignoré  
 
Analyse terminée.

JiP_95 · Answer

Bonjour Regis59,

Réflexion faite, n'aurais-je pas plus vite fait de réinstaller Windows quitte à tout devoir réinstaller ? voire de reformatter le disque après avoir sauvegardé les données ?
Je sais que c'est baisser les bras d'infection, et je n'aime pas trop... mais je crois que ça ce complique . j'ai aussi des xloader3049.exe (j'ai pas bien noté le numéro) que je ne voyais pas avant... Ce type d'infection semble inconnu et si AD-ware dtéecte et supprime, ça revient.

Votre avis ?

Regis59 · Answer

Salut

C'est toi qui voit.
Surtout, si tu formates, proteges toi comme il faut et applique les régles de surfs pour eviter d etre infecté.

C'est sur qu"une desinfection prend du temps, au vu du nombre d infections que tu as...

A+

JiP_95 · Answer

Bonsoir, 

Je me donne encore quelque temps pour chasser la bête. C'est vrai que toute la famille piafe d'impatience pour revoir le Net...
En fait, je commence à savoir comment remettre un peu d'ordre avant que ça ne revienne, mais ça me prend une heure tous les soirs. 
Et j'ai l'impression que ça se multiplie, que ça cahnge de nom, etc...
Avast en mode maxi a viré près de 30 objets ce soir.

Aujourd'hui, j'ai joué un peu avec HJ pour faire un peu de ménage là où je suis à peu près sur.
J'ai jamais voulu que msn soit lancé au démarrage.. à l'insu de mon plein gré. 
De même, j'ai trouvé dans un histo IE un accès à Torrentule où il était question de ultimate cleaner chargé avec Bittorrent.

Je me demande si mon fils qui a utilisé une fois Bittorrent que j'ai désinstallé n'a pas ouvert une porte qui serait restée après désinstall.
J'ai fixé ça aussi avec le HJ.

Après, je manque d'idée... Une suggestion ?

Pour le fichier Kaspersky d'hier, je ne sais pas si je peux oser une suppression des 10 fichiers détectés.
De même pour les I:\Documents and Settings\XXXXX\Application Data\Sun\Java\Deployment. Tout à la poubelle ?

Ce qui me rassure, c'est que j'ai pu taper tout ça ce soir sans la moindre alerte.

A+ 
PS :je n'ai pas encore totalement baissé les bras.

JiP_95 · Answer

BONNE NOUVELLE !!!!!

Les manipulations évoquées dasn mon précédent message ont amélioré la situation.

iexplore.exe se lance toujours sans autorisation et renaît de ses cendres, mais il semble ne plus pouvoir joindre le foyer qui m'infectait. J'ai pu surfer 90 mn pénard.
Il reste à nettoyer ce qui reste sur le PC, mais on dirait que je suis un peu moins vulnérable désormais.

Espérons.
Je dormirai mieux ce soir.

A+

Regis59 · Answer

Salut

Génial, des bonnes nouvelles.

Oui supprime ce que KAS a trouvé, notamment:
I:\WINDOWS\wwdasdwdac.exe

Pour ceux qui sont dans volume systeme...laisse les.

Puis remet un combofix + Hijackthis

a+

JiP_95 · Answer

Bonsoir, la traque continue... A noter aussi, j'ai le ctfmon.exe qui est planté à chaque arrêt du système... Ce soir, dans l'ordre, réseau débranché : - ménage habituel des dossiers, - purge des fichiers détectés par Kaspersky (pour les jar de Java j'ai tout viré) - sauf dans les "System Volume Information" - sauf le fichier dans Windows/Installer (pas trouvé ce répertoire : invisible ?) puis Ad-ware "full scan" : elimine 3 fichiers infectés par ultimate cleaner puis Avast mode minutieux (on approche : je peaufine !) : trouve 9 fichiers infectés par différents troyens Win32 (Small-FHL, Agent-OYI et Qhost-BMX) tous mis en quarantaine et vidés Après ça, comme demandé, mais executés avant connexion, 1) un rapport Combofix (le iexplore.exe suspect s'est réactivé pendant l'opération) ComboFix 08-01-30.1 - Jean-Pierre 2008-02-02 20:56:31.4 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.656 [GMT 1:00] Endroit: I:\Documents and Settings\Jean-Pierre\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-02 to 2008-02-02 )))))))))))))))))))))))))))))))))))) . 2008-01-31 21:31 . 2008-01-31 21:31 d-------- I:\WINDOWS\system32\Kaspersky Lab 2008-01-29 22:15 . 2008-01-29 22:27 d-------- I:\Program Files\Navilog1 2008-01-29 21:38 . 2008-01-29 21:37 35,430,993 --a------ I:\WINDOWS\LPT$VPN.967 2008-01-29 21:37 . 2008-01-29 21:37 d-------- I:\WINDOWS\AU_Temp 2008-01-29 21:37 . 2008-01-29 21:37 35,430,993 --a------ I:\WINDOWS\VPTNFILE.967 2008-01-28 19:07 . 2008-01-28 19:07 d--h----- I:\WINDOWS\msdownld.tmp 2008-01-27 19:56 . 2008-02-02 06:28 1,918 --a------ I:\WINDOWS\system32 mp.reg 2008-01-27 12:01 . 2008-01-27 12:01 d-------- I:\Program Files\Trend Micro 2008-01-27 10:18 . 2008-01-29 21:38 d-------- I:\WINDOWS eport 2008-01-27 10:14 . 2008-01-27 10:17 d-------- I:\WINDOWS\AU_Backup 2008-01-27 10:14 . 2008-01-27 10:14 1,916,766 --a------ I:\WINDOWS sc.ptn 2008-01-27 10:14 . 2008-01-29 21:37 1,163,344 --a------ I:\WINDOWS\vsapi32.dll 2008-01-27 10:14 . 2008-01-27 10:14 267,845 --a------ I:\WINDOWS sc.exe 2008-01-27 10:14 . 2008-01-29 21:37 86,094 --a------ I:\WINDOWS\BPMNT.dll 2008-01-27 10:14 . 2008-01-27 10:14 71,749 --a------ I:\WINDOWS\hcextoutput.dll 2008-01-27 10:14 . 2008-01-29 21:39 823 --a------ I:\WINDOWS sc.ini 2008-01-27 10:12 . 2008-01-27 10:12 d-------- I:\WINDOWS\AU_Log 2008-01-27 10:12 . 2008-01-27 10:12 507,904 --a------ I:\WINDOWS\TMUPDATE.DLL 2008-01-27 10:12 . 2008-01-27 10:12 286,720 --a------ I:\WINDOWS\PATCH.EXE 2008-01-27 10:12 . 2008-01-27 10:12 69,689 --a------ I:\WINDOWS\UNZIP.DLL 2008-01-27 10:12 . 2008-01-29 21:37 170 --a------ I:\WINDOWS\GetServer.ini 2008-01-21 21:23 . 2008-01-21 21:23 d-------- I:\Documents and Settings\Jean-Pierre\Application Data\Leadertech . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-01 10:23 --------- d-----w I:\Program Files\Google 2008-02-01 06:00 --------- d-----w I:\Program Files\MKV Codec 2008-02-01 06:00 --------- d-----w I:\Program Files\Media Player Classic 2008-01-31 20:45 --------- d-----w I:\Program Files\QuickPar 2008-01-26 16:33 12,632 ----a-w I:\WINDOWS\system32\lsdelete.exe 2008-01-26 16:33 --------- d-----w I:\Documents and Settings\All Users\Application Data\Lavasoft 2008-01-26 12:29 --------- d-----w I:\Program Files\MSN Messenger 2008-01-08 05:18 --------- d-----w I:\Program Files\Fichiers communs\Adobe 2007-12-26 10:27 --------- d-----w I:\Program Files\SlySoft 2007-12-25 09:13 --------- d-----w I:\Documents and Settings\Damien\Application Data\Apple Computer 2007-12-23 19:55 --------- d-----w I:\Documents and Settings\Jean-Pierre\Application Data\Apple Computer 2007-12-23 19:46 --------- d-----w I:\Program Files\QuickTime 2007-12-23 19:46 --------- d-----w I:\Program Files\Apple Software Update 2007-12-23 19:46 --------- d-----w I:\Documents and Settings\All Users\Application Data\Apple Computer 2007-12-23 19:46 --------- d-----w I:\Documents and Settings\All Users\Application Data\Apple 2007-12-22 10:54 --------- d-----w I:\Program Files\Alcohol Soft 2007-12-22 10:52 685,816 ----a-w I:\WINDOWS\system32\drivers\sptd.sys 2007-12-04 14:56 93,264 ----a-w I:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w I:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w I:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w I:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w I:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w I:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w I:\WINDOWS\system32\AVASTSS.scr 2007-12-02 11:41 --------- d-----w I:\Documents and Settings\Jean-Pierre\Application Data\Petroglyph 2007-12-02 11:40 98,304 ----a-w I:\WINDOWS\system32\CmdLineExt.dll 2007-12-02 11:38 --------- d--h--w I:\Program Files\InstallShield Installation Information 2007-12-02 11:37 --------- d-----w I:\Documents and Settings\Jean-Pierre\Application Data\InstallShield 2007-11-07 09:28 728,576 ----a-w I:\WINDOWS\system32\lsasrv.dll 2006-06-23 06:48 32,768 ----a-r I:\WINDOWS\inf\UpdateUSB.exe 2006-05-03 09:06 163,328 --sh--r I:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r I:\WINDOWS\system32\msfDX.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="I:\WINDOWS\system32\ctfmon.exe" [2004-08-19 18:37 15360] "updateMgr"="I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "SunJavaUpdateSched"="I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "Adobe Photo Downloader"="I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 19:33 57344] "SoundMax"="I:\Program Files\Analog Devices\SoundMAX\smax4.exe" [2006-04-10 09:19 729088] "QuickTime Task"="I:\Program Files\QuickTime\qttask.exe" [2007-12-11 10:56 286720] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="I:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 18:37 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "SrvUnknown"= {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll [2008-01-25 22:33 12838] "zip"= {41708e1c-0817-46ea-953c-84fbb8c9680b} - I:\WINDOWS\Installer\{41708e1c-0817-46ea-953c-84fbb8c9680b}\zip.dll [2008-02-01 22:53 38950] [HKLM\~\startupfolder\I:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=I:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=I:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] --a------ 2006-05-10 11:12 90112 I:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] I:\Program Files\SlySoft\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure] -r------- 2006-06-02 09:45 385024 I:\WINDOWS\system32\JMRaidTool.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] --a------ 2006-04-10 09:19 729088 I:\Program Files\Analog Devices\SoundMAX\Smax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] -ra------ 2006-05-01 11:07 843776 I:\Program Files\Analog Devices\Core\smax4pnp.exe S3 w300bus;Sony Ericsson W300 Driver driver (WDM);I:\WINDOWS\system32\DRIVERS\w300bus.sys [2006-03-13 15:49] S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);I:\WINDOWS\system32\DRIVERS\w300mgmt.sys [2006-03-13 15:50] S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;I:\WINDOWS\system32\DRIVERS\w300obex.sys [2006-03-13 15:50] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0f09b7e-b945-11db-874d-806d6172696f}] \Shell\AutoRun\command - H:\ASUSACPI.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-01-30 22:14:00 I:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - I:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-02 20:57:37 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . --------------------- DLLs a chargé sous des processus courants --------------------- PROCESS: I:\WINDOWS\explorer.exe [6.00.2900.3156] -> I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll . Temps d'accomplissement: 2008-02-02 20:57:52 ComboFix-quarantined-files.txt 2008-02-02 19:57:49 ComboFix2.txt 2008-01-30 22:00:50 . 2008-01-29 05:53:57 --- E O F --- 2) un HijackThis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:59:58, on 02/02/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\Ati2evxx.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\Ati2evxx.exe I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe I:\Program Files\Alwil Software\Avast4\ashServ.exe I:\WINDOWS\system32\spoolsv.exe I:\WINDOWS\ATKKBService.exe I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe I:\WINDOWS\system32\svchost.exe I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe I:\Program Files\Alwil Software\Avast4\ashWebSv.exe I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe I:\WINDOWS\system32\ctfmon.exe I:\WINDOWS\system32 otepad.exe I:\Program Files\Internet Explorer\IEXPLORE.EXE I:\WINDOWS\explorer.exe I:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SoundMax] "I:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer = 212.27.53.252,212.27.54.252 O21 - SSODL: SrvUnknown - {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll O21 - SSODL: zip - {41708e1c-0817-46ea-953c-84fbb8c9680b} - I:\WINDOWS\Installer\{41708e1c-0817-46ea-953c-84fbb8c9680b}\zip.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NMSAccess - Unknown owner - I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe

JiP_95 · Answer

Bonsoir,

J'ai essayé de fixer les lignes O21 du HJ qui me semblent suscpectes (détection d'infection par Avast au démarrage qui ne peut les supprimer) mais ça ne fonctionne pas...

Rien trouvé de neuf aujourd'hui...

A+

Regis59 · Answer

Okay l'ami.

La ca va etre stratégique !

Installation d'un pare feu puis changement d'antivirus.

D'abord,

¤Affiche tous les fichiers et dossiers : 
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage 

Coche « afficher les fichiers et dossiers cachés » 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décoche « masquer les extensions dont le type est connu » 
Puis fais «Ok» pour valider les changements. 

Et appliquer !

Puis tu devrais voir le fichier Installer.

Ensuite, télécharge Zone Alarm et Antivir.Ensuite, télécharge Zone Alarm et Antivir.

Une fois fais, tu débranches ta prise téléphonique.

Tu installes ZoneAlarm. Tu désinstalles Avast et seulement maintenant tu installes Antivir.

Ensuite, tu lances un scan avec Antivir. Si y'a trop d'alertes et que c'est ingérable, tu passes en mode sans échec pour le faire?

Questions? NON? Alors au boulot lol :-)

JiP_95 · Answer

OK.

Je laisse tout le monde faire son petit surf quotidien (j'ai trouvé une ruse qui semble permettre de ne pas être réinfecté au démarrage c'est pourquoi je suis la depuis 40 mn, même si je garde les séquelles sur le disque) et je m'y mets.
C'est déjà téléchargé.

J'espère ne pas devoir passser en SE, mais le dossier verreux de Installer n'est pas supprimable à la mano. Je ne pense pas que Antivir le fasse avec WIndows... On verra.

Merci encore.

A+

Regis59 · Answer

Okay ca marche! :)

JiP_95 · Answer

OK, ca a l'air de marcher...

Antivir n'a rien détecté (décu !!!), et s'est planté (la poisse car j'avais plus Avast !!!). 
Alors j'ai rebooté et il a mis les deux intrus (de l'Installer) dans la quarantaine et je les ai effacés. Et j'ai l'impression que le iexplore.exe ne s'est pas reactivé. Gagné ? SI c'est ça 1) chapeau ! 2) va falloir nettoyer tout ce que j'ai installé/téléchargé (HJ ? Combo? Smitfraudix ?...)

Par contre ZA est pénible, impossible de faire quelque chose sans avoir à acquitter une tentative d'agression. Efficace.
Je crois que je vais garder le couple ZA+Antivir mais j'ai pas l'impression que c'est des Freeware (j'ai pas pu faire la MAJ Antivir).

Je surveille ça... te je reviens confirmer. C'est pas tout à fait liquidé, mais ça en prend tournure.

A+

Regis59 · Answer

Salut,

Bon c'est encourageant. Tu me remet un HijackThis?

Pour les logiciels téléchargés, ont les supprimera quand on aura terminé avec un petit programme.

Pour ZA, lorsque tu vas lancer une application, qui va se connecter au net, tu auras une alerte. Tu acceptes celles que tu connais. Puis tu coches la case pour le garder en mémoire. Par contre, ceux qui sont louches et inconnus, tu les bloques et tu vérifies ce que c'est.

ZA et Antivir, sont gratuits, ce sont bien des freewares.

Lorsque tu me dis que tu n'as pas pu faire la MAJ antivir, que s'est il passé?

A+

JiP_95 · Answer

Bonsoir,

C'est vrai que c'est pas tout à fait fini, mais tu m'as déjà bien tiré d'affaire. 

En fait, pour ZA il fallait l'installer en ligne car il a besoin du site. Quant à Antivir, le lien pointait vers une ancienne version. J'ai télé chargé la dernière depuis le site Avira, puis hors réseau, j'ai déinstallé et réinstallé... Et là j'ai les MAJ.
A priori, plus de virus, au moins visible... ZA a bloké plus de 600 tentatives d'intrusion en 11 heures !

Voilà le rapport HJ :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:46:37, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\ZoneLabs\vsmon.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\WINDOWS\Explorer.EXE
I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
I:\WINDOWS\system32\ctfmon.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ATKKBService.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
I:\Program Files\internet explorer\iexplore.exe
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer = 212.27.53.252,212.27.54.252
O21 - SSODL: SrvUnknown - {2918a56a-9848-425e-b4d7-1c15a56c9505} - I:\WINDOWS\Installer\{2918a56a-9848-425e-b4d7-1c15a56c9505}\SrvUnknown.dll (file missing)
O21 - SSODL: zip - {41708e1c-0817-46ea-953c-84fbb8c9680b} - I:\WINDOWS\Installer\{41708e1c-0817-46ea-953c-84fbb8c9680b}\zip.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccess - Unknown owner - I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - I:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - (no file)

Regis59 · Answer

Ok

fixe celle ci aussi:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Pour les 021, elles restent meme apres les avoir fixé apparemment.

Sais tu faire une recherche dans le registre?

A+

JiP_95 · Answer

OK C'est fait ! Les O21 sont bien parties (vues de HJ). Voilà le Log désormais.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:30:32, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\ZoneLabs\vsmon.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\WINDOWS\Explorer.EXE
I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
I:\WINDOWS\system32\ctfmon.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ATKKBService.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
I:\Program Files\internet explorer\iexplore.exe
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - I:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] I:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1549E2A-0829-4476-B1AF-9792FB68D3C3}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - I:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccess - Unknown owner - I:\Program Files\CDBurnerXP Pro 3\Tools\NMSAccess.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - I:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - (no file)

Regis59 · Answer

Re :)

Non c'est bon pour le registre.
Tu peux fixer ca aussi:
O24 - Desktop Component 0: (no name) - (no file) 

Et si elle persiste, faudra arreter le service.

Sinon, ou en sont tes soucis?

A+

JiP_95 · Answer

Bonsoir,

Eh bien les nouvelles sont bonnes ! Ce qui reste ne mérite plus la dénomination de problème...

Il reste explorer.exe qui cherche à accéder à Internet deux fois à l'ouverture de session (veut accéder à 127.0.0.1 port 1035 et à 239.255.255.250 port 1900 mais là ça me dépasse largement). Pour l'instant, je lui bloque l'accès aevc ZA en attendant de savoir si je dois autoriser ou interdire définitivement

Il y a peut être un lien avec la clé O24 qui refuse de partir. Comment arrete-ton le service et lequel ?

L'incident est bientôt résolu. Restera le nettoyage. 

Un grand merci encore. Quelle patience et quelle assiduité ! Une passion d'informaticien ?

A+

Regis59 · Answer

Super, ca me fait plaisir :)

Pour informations sur tes questions:

C'est un multicast local qui est est utilise par UPnP pour annoncer la presence de la machine sur le reseau.

Le texte de specs:

239.255.0.0/16 is defined to be the IPv4 Local Scope. The Local
Scope is the minimal enclosing scope, and hence is not further
divisible. Although the exact extent of a Local Scope is site
dependent, locally scoped regions must obey certain topological
constraints. In particular, a Local Scope must not span any other
scope boundary. Further, a Local Scope must be completely contained
within or equal to any larger scope. In the event that scope regions
overlap in area, the area of overlap must be in its own local scope.
This implies that any scope boundary is also a boundary for the Local
Scope. The more general topological requirements for administratively
scoped regions are discussed below.


Donc en gros c'est normal que ca sorte, mais c'est comme une adresse en 192.168.*, ca doit pas se faire router sur le net. Il se trouve que certains routeurs commerciaux ont un bug dans le sens ou ils ne respectent apparement pas les specs et routent les paquets de ce genre sur le net. En gros, c'est utilise par WinXP+ pour decouvrir d'autre “device”, ordinateurs ou pas, presents sur le reseau et c'est une requete specifique au reseau LOCAL, mais independant de l'ip de la machine (ce qui est malin parceque si le pc est directement dehors avec un masque en 255, on peut pas faire du bcast base sur l'ip). Pas de quoi s'inquieter quoi...

Enfin, l'adresse 127.0.0.1 est appelée adresse de rebouclage (en anglais loopback), car elle désigne la machine locale (en anglais localhost).

Alors, pour arreter le service:

¤Arrête ces services :

Clique sur Démarrer->exécuter->tape: services.msc 

Double-clique: Service: Desktop Component 0

Règle-le sur "Arrêté" et "Désactivé". 

Je ne suis pas informaticien du tout, comme tout membre ici. Des passionnés d'informatique ! Personnellement, je suis etudiant en commerce pour l'instant et j'envisage  de travailler dans l'info... :)

A+

JiP_95 · Answer

Je n'ai pas de service Desktop Component 0 dans services.msc. Une autre solution ?

Pour les connexion d'explorer.exe, j'ai compris que je devais autoriser l'accès, mais j'ai pas vu la fin des phrases trop longues
(notamment le 192.168.*, ça doit???).

A+

Regis59 · Answer

C'est le bureau, met un fond d ecran d une image du net pour voir si elle s affiche.

Tu peux utiliser en tout cas :)

JiP_95 · Answer

Ben oui, j'ai maintenant une belle plage paradisiaque sous les yeux... selectionnée sur le Net, mais pas de desktop service 0.
Ca ne doit pas être bien génant... celle clé inutile.

Pour moi, ça marche bien désormais :) Je ne pense pas qu'il y ait encore beaucoup de choses à faire.

Bon, j'autorise explorer dans ZA et je supprime l'arsenal de désinfection ? ou je le garde sous le coude sur une clé USB ?

Regis59 · Answer

lol Super !

Soit tu les supprimes manuellement avec les rapports générés ou je te file un programme qui le fera automatiquement, comme tu veux !?

A+

JiP_95 · Answer

Bonjour.

Merci beaucoup pour ton aide et ta persévérance.
J'ai commencé la désinstallation à la main : c'est pas sorcier. Quant aux logs, je les avais conservés dans un dossier.

Comme tout fonctionne, je vais passer l'incident à résolu. J'ai compris qu'il me reste à résumer l'opération. Je le ferai ce week-end.

Bon courage avec les autres demandeurs d'aide !

Cordialement

Regis59 · Answer

Salut

Content que le soucis soit résolu !

Merci pour ta patience et ta perséverence!

Au plaisir de t'aider :)

A+

Virus insaisissable !

48 réponses

Discussions similaires