Sujet Précédent Sujet Suivant

[PC2] Virus MSN Hijack à déchiffrer SVP Merci

Résolu
sourine Messages postés 189 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
J'ai un 2ème pc infecté par le dernier virus nommé Restarter.F par Secuser choppé via lien sur MSN à soigner (même si le premier n'est pas encore guéri !! lol)

Voici mon rapport, merci de toute l'aide que vous pourrez m'apporter car c'est une foutue belle merde !! ;-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:43:51, on 02/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\ipsecpooler.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Fichiers communs\ReparateurDeSysteme\strpmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\480cc6474822c4d3bda7c05b0f4fe218\update\update.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SXG Advisor - {0F240256-9E39-4E57-AD5C-55700B7A2388} - C:\WINDOWS\dgtxrdfwrv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {B3B010A1-A877-4CD7-BAB5-9EE8F9965E20} - (no file)
O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1204151245.dll
O3 - Toolbar: ekvgsnw - {474928DE-BC0F-4637-ADC1-C6DD2D1161D7} - C:\WINDOWS\ekvgsnw.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [Microsoft hren1] C:\WINDOWS\mmhren1.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\ReparateurDeSysteme\strpmon.exe" dm=http://reparateurdesysteme.com ad=http://reparateurdesysteme.com sd=http://repay.reparateurdesysteme.com
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Microsoft hren1] C:\WINDOWS\mmhren1.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O21 - SSODL: bxlrvps - {E7723154-B877-4674-9150-3B4499298C61} - C:\WINDOWS\bxlrvps.dll
O21 - SSODL: alofkmn - {FDA15159-774E-495B-8F88-7259CB1D6F33} - C:\WINDOWS\alofkmn.dll
O22 - SharedTaskScheduler: Windows Installer Class - {24E31EA9-FCE2-404F-BD80-20543565D946} - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: IP SEC PROTOCOL POLLER (IPSecPooler) - Unknown owner - C:\WINDOWS\system32\ipsecpooler.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
A voir également:

81 réponses

Réponse 1 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
parfait plus rien dans hhijackhtis

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [Microsoft hren1] C:\WINDOWS\mmhren1.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

______________

recolle un rapport antivir et dis tes soucis

_______________

mets a jour internet explorer ici:

https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
AD AWARE + SPYBOT + si tea timer non active de spybot: WINDOWS DEFENDER

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------

CCLEANER pour effacer les traces de surf
1
Réponse 2 / 81
raleuboleu Messages postés 5028 Statut Membre 79
 
salut

t'as fais msnfix , peux tu nous poster le rapport stp

bizz
0
Réponse 3 / 81
sourine Messages postés 189 Statut Membre 11
 
MSNFix 1.673

C:\MSNFix
Fix exécuté le 29/02/2008 - 22:35:56,56 By Administrateur
mode sans échec

************************ Recherche les fichiers présents

... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

/!\ ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
/!\ ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

************************ Suppression des fichiers

/!\ ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
/!\ ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 29022008_22573544.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
0
raleuboleu Messages postés 5028 Statut Membre 79
 
re

ok ya eu du nettoyage déjà!!

lance smitfraud stp , voir ici : (option 1 seulement + colle le rapport )

https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html

kiss
0
Réponse 4 / 81
sourine Messages postés 189 Statut Membre 11
 
ben j'ai tenté des trucs déjà mais ça me rassure si tu penses qu'il y a déjà eut du ménage de fait !! lol

Je galère car c'est méga lent et pleins de fenetres me ralentissent (antivir, le virus lui meme et aussi des restes de norton que je suis en train de désinstaller car mon copain n'a rien trouvé de mieux que d'installer Norton Internet Security ce matin au lieu de me laisser faire... ;-)
Il pensait ré installer le pc mais meme ça, le virus veut pas !

J'envoie le résultat smitfraud dès que je peux.
Heureusement que j'ai copié tous les utilitaires vus dans les posts sur un cd car déjà c'est plus rapide !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 81
raleuboleu Messages postés 5028 Statut Membre 79
 
pour Norton , c'est sans doute le meme mais bon jte le met aussi :

lien ici :http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

sinon antivir est tres bien mais as tu 1 parefeu autre que celui de windows avec?

bizoux
0
sourine Messages postés 189 Statut Membre 11
 
Oui, c'est Norton removal tool que j'utilise (il n'a fait que les 3/4 pour le moment)
Sinon, ce pc là est un de ceux de mon réseau maison et je suis derrière un routeur firewall adsl wifi (netgear dg834g)

Pour mon 2ème pc infecté (celui de ma mère) je n'avais pas mis de firewall car je venais de le refaire suite carte mere HS dommage pour moi, ma nièce est passé par là et... virus msn ! lol
Je pense utiliser celui que vous donnez sur le forum...
0
raleuboleu Messages postés 5028 Statut Membre 79 > sourine Messages postés 189 Statut Membre
 
alala tu peut que réparer et pas lui en vouloir ihihih ^^

1 fois norton bien virer tiens zo courant stp

et si t'arrive po t'as le droit aussi loooooool

kiss
0
sourine Messages postés 189 Statut Membre 11 > raleuboleu Messages postés 5028 Statut Membre
 
ouais pas de soucis...

Mais font quand même chier les ados parfois !! lol
un pc infecté par ma nièce de 19 ans et l'autre par la fille de mon copain de 16 ans...
De toute façon avec un message qui parle en langage SMS c'est kan meme vachement ciblé comme clientèle !

résultat : c'est les parents qui trinquent!!
0
raleuboleu Messages postés 5028 Statut Membre 79 > sourine Messages postés 189 Statut Membre
 
lol vive l'adolescence ceci dit !!!oups trop tard je l'ai écris , tu m'en voudra pas t passé toi meme pa là ihiihih a notre tour de trinquer c vrai ^^
0
Réponse 6 / 81
sourine Messages postés 189 Statut Membre 11
 
yep, j'suis passée par là aussi...! pis j'y suis encore un peu voire même beaucoup dans la tête !

Ps : tu ne dors jamais ?

SmitFraudFix v2.298

Rapport fait à 4:59:10,44, 02/03/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\NETTOYAGE MSN\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Fichiers communs\ReparateurDeSysteme\strpmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ipsecpooler.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

C:\DOCUME~1\ADMINI~1\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\ADMINI~1\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\ADMINI~1\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\ADMINI~1\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\ADMINI~1\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\ADMINI~1\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Helper\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: dgtxrdfwrv.dll
BHO: SXG Advisor - {0F240256-9E39-4E57-AD5C-55700B7A2388}
TypeLib: {C0C6E327-28F6-40C9-B663-0EB8CBC46181}
Interface: {28430915-D249-4346-A422-CB9A1A1D6C18}
Interface: {65BBAD0E-FA97-48A8-898F-1077FA586C03}

[!] Suspicious: ekvgsnw.dll
Toolbar: ekvgsnw - {474928DE-BC0F-4637-ADC1-C6DD2D1161D7}
TypeLib: {D6F56B8F-C0F4-4858-B34D-75C08C8E3283}
Interface: {0425AEF2-D6BD-4535-A539-4945D6C79E68}
Classe: ekvgsnw.btks
Classe: ekvgsnw.ToolBar.1

[!] Suspicious: bxlrvps.dll
SSODL: bxlrvps - {E7723154-B877-4674-9150-3B4499298C61}

[!] Suspicious: alofkmn.dll
SSODL: alofkmn - {FDA15159-774E-495B-8F88-7259CB1D6F33}

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{24E31EA9-FCE2-404F-BD80-20543565D946}"="Windows Installer Class"

[HKEY_CLASSES_ROOT\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection
DNS Server Search Order: 192.168.0.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=85.255.113.202 85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.113.202 85.255.112.223

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
raleuboleu Messages postés 5028 Statut Membre 79
 
ah toi aussi t encore dedans lol !!!!

bon sérieusement parlé , temps jdors pas , car là je vais pas faire nuit blanche nnégatif c trop bon de dormir lol

relance smitfraud et choisi option 2 qui va virer toutes ces merdouilles déjà!!!!

kiss
0
Réponse 7 / 81
sourine Messages postés 189 Statut Membre 11
 
c'est lancé, je te post le résultat pis après j'vais faire dodo...

J'ai pas envie non plus de faire nuit blanche... dodo de 6h à 13h environ et hop 14h de retour sur ces 2 pc a la con !! lol
0
Réponse 8 / 81
sourine Messages postés 189 Statut Membre 11
 
SmitFraudFix v2.298

Rapport fait à 5:23:17,17, 02/03/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\NETTOYAGE MSN\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{24E31EA9-FCE2-404F-BD80-20543565D946}"="Windows Installer Class"

[HKEY_CLASSES_ROOT\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\dgtxrdfwrv.dll deleted.
C:\WINDOWS\ekvgsnw.dll deleted.
C:\WINDOWS\bxlrvps.dll deleted.
C:\WINDOWS\alofkmn.dll deleted.

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\privacy_danger\ supprimé
C:\DOCUME~1\ADMINI~1\Bureau\Error Cleaner.url supprimé
C:\DOCUME~1\ADMINI~1\Bureau\Privacy Protector.url supprimé
C:\DOCUME~1\ADMINI~1\Bureau\Spyware?Malware Protection.url supprimé
C:\DOCUME~1\ADMINI~1\Favoris\Error Cleaner.url supprimé
C:\DOCUME~1\ADMINI~1\Favoris\Privacy Protector.url supprimé
C:\DOCUME~1\ADMINI~1\Favoris\Spyware?Malware Protection.url supprimé
C:\Program Files\Helper\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection
DNS Server Search Order: 192.168.0.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=85.255.113.202 85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.113.202 85.255.112.223

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{24E31EA9-FCE2-404F-BD80-20543565D946}"="Windows Installer Class"

[HKEY_CLASSES_ROOT\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 9 / 81
sourine Messages postés 189 Statut Membre 11
 
aaaahhhh ça s'améliore...
je n'ai plus les fenetres à la con déjà...
Plus non plus le fond d'ecran de merde lien web. un bon début ça....
0
Réponse 10 / 81
raleuboleu Messages postés 5028 Statut Membre 79
 
lol ben tu vois ca fais 1 brin de ménage déjà meme si ils sont cons les pc lol pas la peine de les maudire mdr ca vas rien y changer ^^

ok moi zoci jvais au pays des merveilles , je suis ko

good night !!!!!!!!!!!!!!!

bizoux
0
sourine Messages postés 189 Statut Membre 11
 
bonne nuit !
peut etre a demain... ou devrais je dire tout à l'heure ;-)
0
Réponse 11 / 81
raleuboleu Messages postés 5028 Statut Membre 79
 
merci ad taleur^^ good night itoo
0
Réponse 12 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
slt, juste en passant , raleuboleu (petit coucou)

dans smit fraud fix on voit ceci

HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=85.255.113.202 85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.113.202 85.255.112.223

le post est donc détourné en ukraine

pour reparer:

* Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.

https://www.futura-sciences.com/

----------

ensuite pour verifier , recoller un rapport smitfraudfix avec l'option 1 pour voir si les lignes ont disparues

si les ligne 85 sont encore presentes, faire smit fraud fix avec l'option 5

------------

voila je te laisse poursuivre raleuboleu avec un petit COMBOFIX qui serait bien venu
0
sourine Messages postés 189 Statut Membre 11
 
cool merci de ton aide... je m'y met
0
Réponse 13 / 81
sourine Messages postés 189 Statut Membre 11
 
Username "Administrateur" - 02/03/2008 13:39:27 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Impossible de vider la cache de résolution DNS : La fonction a échoué lors de l'exécution.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Program Files\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"00THotkey"="C:\\WINDOWS\\System32\\00THotkey.exe"
"000StTHK"="000StTHK.exe"
"TFNF5"="TFNF5.exe"
"SmoothView"="C:\\Program Files\\TOSHIBA\\Utilitaire de zoom TOSHIBA\\SmoothView.exe"
"SigmaTel StacMon"="C:\\Program Files\\SigmaTel\\Pilotes Audio SigmaTel AC97\\stacmon.exe"
"Apoint"="C:\\Program Files\\Apoint2K\\Apoint.exe"
"TouchED"="C:\\Program Files\\TOSHIBA\\TouchED\\TouchED.Exe"
"LTSMMSG"="LTSMMSG.exe"
"TPSMain"="TPSMain.exe"
"TMESRV.EXE"="C:\\Program Files\\TOSHIBA\\TME3\\TMESRV31.EXE /Logon"
"TMERzCtl.EXE"="C:\\Program Files\\TOSHIBA\\TME3\\TMERzCtl.EXE /Service"
"TFncKy"="TFncKy.exe"
"PRONoMgr.exe"="c:\\Program Files\\Intel\\PROSetWireless\\NCS\\PROSet\\PRONoMgr.exe"
"Synchronization Manager"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,\
73,74,65,6d,33,32,5c,6d,6f,62,73,79,6e,63,2e,65,78,65,20,2f,6c,6f,67,6f,6e,\
00
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"NDSTray.exe"="NDSTray.exe"
"Flash Media"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\services.exe"
"Microsoft hren1"="C:\\WINDOWS\\mmhren1.exe"
"Salestart"="\"C:\\Program Files\\Fichiers communs\\ReparateurDeSysteme\\strpmon.exe\" dm=http://reparateurdesysteme.com ad=http://reparateurdesysteme.com sd=http://repay.reparateurdesysteme.com"
"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"UnlockerAssistant"="\"C:\\Program Files\\Unlocker\\UnlockerAssistant.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\\Program Files\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"Microsoft hren1"="C:\\WINDOWS\\mmhren1.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
0
Réponse 14 / 81
sourine Messages postés 189 Statut Membre 11
 
SmitFraudFix v2.298

Rapport fait à 14:01:38,95, 02/03/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\NETTOYAGE MSN\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ipsecpooler.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Documents and Settings\Administrateur\xqswcy.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Fichiers communs\ReparateurDeSysteme\strpmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{24E31EA9-FCE2-404F-BD80-20543565D946}"="Windows Installer Class"

[HKEY_CLASSES_ROOT\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~~install.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection
DNS Server Search Order: 192.168.0.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=85.255.113.202 85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.113.202 85.255.112.223

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 15 / 81
sourine Messages postés 189 Statut Membre 11
 
Bon, ça n'a rien changé....
Peut etre qu'il fallait le lancer en mode sans échec, non ?
0
Réponse 16 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
rafais fixwareout il y a eu une erreur

puis lancer smitfraudfix option 5 et colle le rapport
0
Réponse 17 / 81
sourine Messages postés 189 Statut Membre 11
 
Username "Administrateur" - 02/03/2008 14:18:35 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Program Files\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"00THotkey"="C:\\WINDOWS\\System32\\00THotkey.exe"
"000StTHK"="000StTHK.exe"
"TFNF5"="TFNF5.exe"
"SmoothView"="C:\\Program Files\\TOSHIBA\\Utilitaire de zoom TOSHIBA\\SmoothView.exe"
"SigmaTel StacMon"="C:\\Program Files\\SigmaTel\\Pilotes Audio SigmaTel AC97\\stacmon.exe"
"Apoint"="C:\\Program Files\\Apoint2K\\Apoint.exe"
"TouchED"="C:\\Program Files\\TOSHIBA\\TouchED\\TouchED.Exe"
"LTSMMSG"="LTSMMSG.exe"
"TPSMain"="TPSMain.exe"
"TMESRV.EXE"="C:\\Program Files\\TOSHIBA\\TME3\\TMESRV31.EXE /Logon"
"TMERzCtl.EXE"="C:\\Program Files\\TOSHIBA\\TME3\\TMERzCtl.EXE /Service"
"TFncKy"="TFncKy.exe"
"PRONoMgr.exe"="c:\\Program Files\\Intel\\PROSetWireless\\NCS\\PROSet\\PRONoMgr.exe"
"Synchronization Manager"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,\
73,74,65,6d,33,32,5c,6d,6f,62,73,79,6e,63,2e,65,78,65,20,2f,6c,6f,67,6f,6e,\
00
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"NDSTray.exe"="NDSTray.exe"
"Flash Media"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\services.exe"
"Microsoft hren1"="C:\\WINDOWS\\mmhren1.exe"
"Salestart"="\"C:\\Program Files\\Fichiers communs\\ReparateurDeSysteme\\strpmon.exe\" dm=http://reparateurdesysteme.com ad=http://reparateurdesysteme.com sd=http://repay.reparateurdesysteme.com"
"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"UnlockerAssistant"="\"C:\\Program Files\\Unlocker\\UnlockerAssistant.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\\Program Files\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"Microsoft hren1"="C:\\WINDOWS\\mmhren1.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
0
Réponse 18 / 81
sourine Messages postés 189 Statut Membre 11
 
SmitFraudFix v2.298

Rapport fait à 14:26:46,13, 02/03/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\NETTOYAGE MSN\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: Intel(R) PRO/Wireless 2200BG Network Connection
DNS Server Search Order: 192.168.0.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=85.255.113.202 85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.113.202 85.255.112.223

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Intel(R) PRO/Wireless 2200BG Network Connection
DNS Server Search Order: 192.168.0.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4EC319B8-9269-4B75-9877-2E2C8D7EE7A9}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8CB24A7A-40AF-4406-9275-29863008D9EE}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A486443C-62B0-4896-8CBA-C79FBD5B7C11}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: DhcpNameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C6289EE7-8F88-4A52-B965-A9D9215CF2A1}: NameServer=85.255.113.202,85.255.112.223
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=85.255.113.202 85.255.112.223
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.113.202 85.255.112.223
0
Réponse 19 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
recolle un rapport hijackthis et smitfraudfix option 1
0
Réponse 20 / 81
sourine Messages postés 189 Statut Membre 11
 
ça marche pas apparemment...

pénible hein ?!
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
symboles et écritures pour nick msn
Pando -
roro -

20 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses