Sujet Précédent Sujet Suivant

AntiSpywareMaster infection

Résolu/Fermé
Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008 - 30 juin 2008 à 18:25
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 1 juil. 2008 à 21:24
Bonjour, mon ordinateur est infecté du spyware AntiSpywareMaster et je ne sais pas comment faire pour le supprimer. Est ce que quelqu'un pourrais m'aider s'il vous plait ?
Merci.

7 réponses

Réponse 1 / 7
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
30 juin 2008 à 18:53
salut ;

1) télécharge hijackthis ici: http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html
ceci est un outil pour diagnostiquer ton pc .

*.Enregistre HJTInstall.exe sur ton bureau
*. Double-clique sur HJTInstall.exe pour lancer le programme
*. Par défaut, il s'installera là C:\Program Files\Trend Micro\HijackThis
*. Accepte la license en cliquant sur le bouton "I Accept"
*. Choisis l'option "Do a system scan and save a log file"
*. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
*. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
*. Colle le rapport que tu viens de copier sur ce forum
*. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

tutoriel générer un rapport
0
Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008
30 juin 2008 à 19:10
Ok merci de ta réponse, voila le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:48, on 30/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINMIKA\System32\smss.exe
C:\WINMIKA\system32\csrss.exe
C:\WINMIKA\System32\winlogon.exe
C:\WINMIKA\system32\services.exe
C:\WINMIKA\system32\lsass.exe
C:\WINMIKA\system32\Ati2evxx.exe
C:\WINMIKA\system32\svchost.exe
C:\WINMIKA\system32\svchost.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\spoolsv.exe
C:\WINMIKA\System32\Ati2evxx.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\iftuyszv.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\Explorer.EXE
C:\WINMIKA\TWlrYQ\command.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\System32\alg.exe
C:\WINMIKA\system32\wscntfy.exe
C:\WINMIKA\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\rundll32.exe
C:\winmika\system32\rwwnw64d.exe
C:\WINMIKA\mrofinu1000106.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\PPStream\ppsap.exe
C:\WINMIKA\system32\MANTEC~1\ntvdm.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\PPStream\PPStream.exe
C:\WINMIKA\system32\tcntaxdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINMIKA\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
F2 - REG:system.ini: UserInit=C:\WINMIKA\system32\userinit.exe,C:\WINMIKA\system32\iftuyszv.exe,
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [lanmanwrk.exe clean] C:\WINMIKA\System32\lanmanwrk.exe clean
O4 - HKLM\..\Run: [KernelDrv.exe clean] C:\WINMIKA\System32\KernelDrv.exe clean
O4 - HKLM\..\Run: [6c72d110] rundll32.exe "C:\WINMIKA\system32\rumtvbpf.dll",b
O4 - HKLM\..\Run: [{2D-D1-1B-BF-DW}] C:\winmika\system32\rwwnw64d.exe DWram1FF
O4 - HKLM\..\Run: [runner1] C:\WINMIKA\mrofinu1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [AntiSpywareMaster] C:\Program Files\AntiSpywareMaster\asm.exe
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINMIKA\system32\tcntaxdm.exe DWram1FF
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINMIKA\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [PPS Accelerator] C:\Program Files\PPStream\ppsap.exe
O4 - HKCU\..\Run: [superproxy] C:\WINMIKA\superproxy.exe
O4 - HKCU\..\Run: [Tuoc] "C:\WINMIKA\system32\MANTEC~1\ntvdm.exe" -vt yazb
O4 - HKCU\..\Run: [Mojriyrc] "C:\Program Files\??crosoft\r?ndll.exe"
O4 - HKLM\..\Policies\Explorer\Run: [MSDEG32 ] LYLoader.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\ctfmon.exe (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINMIKA\system32\tcntaxdm.exe
O4 - Startup: DW_Start.lnk = C:\WINMIKA\system32\rwwnw64d.exe
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Startup: PPS.lnk = C:\Program Files\PPStream\PPStream.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINMIKA\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINMIKA\System32\shdocvw.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.amaena.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab50997.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://alexboss1992.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-SG/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINMIKA\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINMIKA\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINMIKA\TWlrYQ\command.exe
O23 - Service: Lanceur de processus serveur DCOM DcomLaunchDnscache (DcomLaunchDnscache) - Unknown owner - C:\WINMIKA\
O23 - Service: DefWatch - Unknown owner - C:\Program Files\NavNT\defwatch.exe (file missing)
O23 - Service: Client DNS DnscacheMessenger (DnscacheMessenger) - Unknown owner - C:\WINMIKA\
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\Program Files\NavNT\rtvscan.exe (file missing)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINMIKA\System32\npkcsvc.exe
0
Réponse 2 / 7
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
30 juin 2008 à 19:18
Wouaaaahh tu collectionne les infections ?:))

Bon on va commencer par ceci :(je te préviens il va y avoir du boulot !)

Télécharge smitfraudfix
Utilitaire de S!Ri: Moe et balltrap34

Installe le à la racine de C : tuto d'utilisation
Double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation option 1 Recherche :
Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Ne fais rien d'autre sans notre avis

Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008
30 juin 2008 à 20:10
Je savais pas qu'il était autant infecté lol. Ok voici le rapport :

SmitFraudFix v2.323

Rapport fait à 20:07:33.12, 30/06/2008
Executé à partir de C:\Documents and Settings\Mika.MIKASUN\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINMIKA\System32\smss.exe
C:\WINMIKA\system32\csrss.exe
C:\WINMIKA\System32\winlogon.exe
C:\WINMIKA\system32\services.exe
C:\WINMIKA\system32\lsass.exe
C:\WINMIKA\system32\Ati2evxx.exe
C:\WINMIKA\system32\svchost.exe
C:\WINMIKA\system32\svchost.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\spoolsv.exe
C:\WINMIKA\System32\Ati2evxx.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\iftuyszv.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\Explorer.EXE
C:\WINMIKA\TWlrYQ\command.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\System32\alg.exe
C:\WINMIKA\system32\wscntfy.exe
C:\WINMIKA\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\rundll32.exe
C:\winmika\system32\rwwnw64d.exe
C:\WINMIKA\mrofinu1000106.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\PPStream\ppsap.exe
C:\WINMIKA\system32\MANTEC~1\ntvdm.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\PPStream\PPStream.exe
C:\WINMIKA\system32\tcntaxdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINMIKA\system32\cmd.exe
C:\WINMIKA\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINMIKA

C:\WINMIKA\accesss.exe PRESENT !
C:\WINMIKA\astctl32.ocx PRESENT !
C:\WINMIKA\avpcc.dll PRESENT !
C:\WINMIKA\clrssn.exe PRESENT !
C:\WINMIKA\cpan.dll PRESENT !
C:\WINMIKA\default.htm PRESENT !
C:\WINMIKA\iexplorer.exe PRESENT !
C:\WINMIKA\loader.exe PRESENT !
C:\WINMIKA\mtwirl32.dll PRESENT !
C:\WINMIKA\notepad32.exe PRESENT !
C:\WINMIKA\olehelp.exe PRESENT !
C:\WINMIKA\systeem.exe PRESENT !
C:\WINMIKA\systemcritical.exe PRESENT !
C:\WINMIKA\time.exe PRESENT !
C:\WINMIKA\users32.exe PRESENT !
C:\WINMIKA\waol.exe PRESENT !
C:\WINMIKA\win32e.exe PRESENT !
C:\WINMIKA\win64.exe PRESENT !
C:\WINMIKA\winajbm.dll PRESENT !
C:\WINMIKA\window.exe PRESENT !
C:\WINMIKA\winmgnt.exe PRESENT !
C:\WINMIKA\x.exe PRESENT !
C:\WINMIKA\xplugin.dll PRESENT !
C:\WINMIKA\xxxvideo.hta PRESENT !
C:\WINMIKA\y.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINMIKA\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINMIKA\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINMIKA\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINMIKA\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mika.MIKASUN


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mika.MIKASUN\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MIKA~1.MIK\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINMIKA\\system32\\userinit.exe,C:\\WINMIKA\\system32\\iftuyszv.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FC34D23A-F43E-45D1-8B15-075073E27B6E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FC34D23A-F43E-45D1-8B15-075073E27B6E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FC34D23A-F43E-45D1-8B15-075073E27B6E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 3 / 7
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
30 juin 2008 à 20:15
voici la suite avec Smitfraudfix :

* Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8)
* Double cliquer sur SmitfraudFix.exe
* Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
* Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
* Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

ensuite tu me recolle un nouveau log hijackthis .
0
Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008
30 juin 2008 à 20:42
Voici le rapport SmitFraud :

SmitFraudFix v2.323

Rapport fait à 20:31:05.26, 30/06/2008
Executé à partir de C:\Documents and Settings\Mika.MIKASUN\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINMIKA\accesss.exe supprimé
C:\WINMIKA\astctl32.ocx supprimé
C:\WINMIKA\avpcc.dll supprimé
C:\WINMIKA\clrssn.exe supprimé
C:\WINMIKA\cpan.dll supprimé
C:\WINMIKA\default.htm supprimé
C:\WINMIKA\iexplorer.exe supprimé
C:\WINMIKA\loader.exe supprimé
C:\WINMIKA\mtwirl32.dll supprimé
C:\WINMIKA\notepad32.exe supprimé
C:\WINMIKA\olehelp.exe supprimé
C:\WINMIKA\systeem.exe supprimé
C:\WINMIKA\systemcritical.exe supprimé
C:\WINMIKA\time.exe supprimé
C:\WINMIKA\users32.exe supprimé
C:\WINMIKA\waol.exe supprimé
C:\WINMIKA\win32e.exe supprimé
C:\WINMIKA\win64.exe supprimé
C:\WINMIKA\winajbm.dll supprimé
C:\WINMIKA\window.exe supprimé
C:\WINMIKA\winmgnt.exe supprimé
C:\WINMIKA\x.exe supprimé
C:\WINMIKA\xplugin.dll supprimé
C:\WINMIKA\xxxvideo.hta supprimé
C:\WINMIKA\y.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FC34D23A-F43E-45D1-8B15-075073E27B6E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FC34D23A-F43E-45D1-8B15-075073E27B6E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FC34D23A-F43E-45D1-8B15-075073E27B6E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINMIKA\default.htm supprimé
C:\WINMIKA\iexplorer.exe supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Fin

et le log hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:50, on 30/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINMIKA\System32\smss.exe
C:\WINMIKA\system32\csrss.exe
C:\WINMIKA\System32\winlogon.exe
C:\WINMIKA\system32\services.exe
C:\WINMIKA\system32\lsass.exe
C:\WINMIKA\system32\Ati2evxx.exe
C:\WINMIKA\system32\svchost.exe
C:\WINMIKA\system32\svchost.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\spoolsv.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\TWlrYQ\command.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINMIKA\System32\Ati2evxx.exe
C:\WINMIKA\system32\iftuyszv.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\Explorer.EXE
C:\WINMIKA\system32\wscntfy.exe
C:\WINMIKA\System32\alg.exe
C:\WINMIKA\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINMIKA\System32\svchost.exe
C:\winmika\system32\rwwnw64d.exe
C:\WINMIKA\mrofinu1000106.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\WINMIKA\system32\rundll32.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\PPStream\ppsap.exe
C:\WINMIKA\system32\MANTEC~1\ntvdm.exe
C:\WINMIKA\system32\tcntaxdm.exe
C:\Program Files\PPStream\PPStream.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINMIKA\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
F2 - REG:system.ini: UserInit=C:\WINMIKA\system32\userinit.exe,C:\WINMIKA\system32\iftuyszv.exe,
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [lanmanwrk.exe clean] C:\WINMIKA\System32\lanmanwrk.exe clean
O4 - HKLM\..\Run: [KernelDrv.exe clean] C:\WINMIKA\System32\KernelDrv.exe clean
O4 - HKLM\..\Run: [{2D-D1-1B-BF-DW}] C:\winmika\system32\rwwnw64d.exe DWram1FF
O4 - HKLM\..\Run: [runner1] C:\WINMIKA\mrofinu1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [AntiSpywareMaster] C:\Program Files\AntiSpywareMaster\asm.exe
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINMIKA\system32\tcntaxdm.exe DWram1FF
O4 - HKLM\..\Run: [6c72d110] rundll32.exe "C:\WINMIKA\system32\jfmwwlll.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINMIKA\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [PPS Accelerator] C:\Program Files\PPStream\ppsap.exe
O4 - HKCU\..\Run: [superproxy] C:\WINMIKA\superproxy.exe
O4 - HKCU\..\Run: [Tuoc] "C:\WINMIKA\system32\MANTEC~1\ntvdm.exe" -vt yazb
O4 - HKCU\..\Run: [Mojriyrc] "C:\Program Files\??crosoft\r?ndll.exe"
O4 - HKLM\..\Policies\Explorer\Run: [MSDEG32 ] LYLoader.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\ctfmon.exe (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINMIKA\system32\tcntaxdm.exe
O4 - Startup: DW_Start.lnk = C:\WINMIKA\system32\rwwnw64d.exe
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Startup: PPS.lnk = C:\Program Files\PPStream\PPStream.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINMIKA\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINMIKA\System32\shdocvw.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.amaena.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab50997.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://alexboss1992.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-SG/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINMIKA\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINMIKA\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINMIKA\TWlrYQ\command.exe
O23 - Service: Lanceur de processus serveur DCOM DcomLaunchDnscache (DcomLaunchDnscache) - Unknown owner - C:\WINMIKA\
O23 - Service: DefWatch - Unknown owner - C:\Program Files\NavNT\defwatch.exe (file missing)
O23 - Service: Client DNS DnscacheMessenger (DnscacheMessenger) - Unknown owner - C:\WINMIKA\
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\Program Files\NavNT\rtvscan.exe (file missing)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINMIKA\System32\npkcsvc.exe
0
Réponse 4 / 7
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
30 juin 2008 à 21:13
re;

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
0
Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008
30 juin 2008 à 22:26
Re, j'ai un problème avec SDFix. Quand je le lance en mode sans échec, après avoir répondu yes il me dit qu'il manque des fichier dans le dosier system32 de windows et me demande d'extraire ces fichiers. Je le fais et apres quand je réponds yes à la question ca se répète. J'ai essayer plusieurs fois mais çà veut pas marcher.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
30 juin 2008 à 22:34
as tu essayer de le réinstaller ? Cela arrive parfois .
0
Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008
30 juin 2008 à 22:59
Oui je viens de réssayer plusieurs fois, ça ne marche toujours pas.
0
Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008 > Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008
1 juil. 2008 à 13:44
Salut, j'ai résolu mon problème en utilisant Malwarebytes en mode sans échec. Voila encore merci pour ton aide.
0
Réponse 6 / 7
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
1 juil. 2008 à 20:58
salut;

j'aurais bien voulu que tu me recolle un nouveau log hijack pour vérifier .
0
Michhy Messages postés 8 Date d'inscription lundi 30 juin 2008 Statut Membre Dernière intervention 1 juillet 2008
1 juil. 2008 à 21:13
Voici le log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:41, on 01/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINMIKA\System32\smss.exe
C:\WINMIKA\System32\winlogon.exe
C:\WINMIKA\system32\services.exe
C:\WINMIKA\system32\lsass.exe
C:\WINMIKA\system32\Ati2evxx.exe
C:\WINMIKA\system32\svchost.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\spoolsv.exe
C:\WINMIKA\System32\Ati2evxx.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\Explorer.EXE
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\ctfmon.exe
C:\WINMIKA\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\PPStream\ppsap.exe
C:\WINMIKA\System32\svchost.exe
C:\WINMIKA\system32\MANTEC~1\ntvdm.exe
C:\Program Files\PPStream\PPStream.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINMIKA\system32\rundll32.exe
C:\WINMIKA\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BM6f41e28c] Rundll32.exe "C:\WINMIKA\system32\fbxsgwqt.dll",s
O4 - HKLM\..\Run: [6c72d110] rundll32.exe "C:\WINMIKA\system32\uksrfhkw.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINMIKA\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [PPS Accelerator] C:\Program Files\PPStream\ppsap.exe
O4 - HKCU\..\Run: [superproxy] C:\WINMIKA\superproxy.exe
O4 - HKCU\..\Run: [Tuoc] "C:\WINMIKA\system32\MANTEC~1\ntvdm.exe" -vt yazb
O4 - HKCU\..\Run: [Mojriyrc] "C:\Program Files\??crosoft\r?ndll.exe"
O4 - HKLM\..\Policies\Explorer\Run: [MSDEG32 ] LYLoader.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINMIKA\System32\ctfmon.exe (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINMIKA\system32\tcntaxdm.exe
O4 - Startup: DW_Start.lnk = C:\WINMIKA\system32\rwwnw64d.exe
O4 - Startup: MaxTV.lnk = C:\Program Files\DMV\MaxTV\MaxTV.exe
O4 - Startup: PPS.lnk = C:\Program Files\PPStream\PPStream.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINMIKA\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINMIKA\System32\shdocvw.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab50997.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://alexboss1992.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-SG/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINMIKA\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINMIKA\system32\ati2sgag.exe
O23 - Service: Lanceur de processus serveur DCOM DcomLaunchDnscache (DcomLaunchDnscache) - Unknown owner - C:\WINMIKA\
O23 - Service: DefWatch - Unknown owner - C:\Program Files\NavNT\defwatch.exe (file missing)
O23 - Service: Client DNS DnscacheMessenger (DnscacheMessenger) - Unknown owner - C:\WINMIKA\
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\Program Files\NavNT\rtvscan.exe (file missing)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINMIKA\System32\npkcsvc.exe
0
Réponse 7 / 7
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
1 juil. 2008 à 21:24
il y a encore des infections !

tout d'abord met ton explorer a jour : https://support.microsoft.com/fr-fr/allproducts

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers : C:\Program Files\PPStream\PPStream.exe
C:\Program Files\??crosoft\r?ndll.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.





0

Discussions similaires

Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Infection ?
Tomy -
MisteryBean -

10 réponses
Infection ou pas ???
karissia -
helpcenter -

1 réponse
infection ou pas?
jpn1000 -
mcvivien2 -

5 réponses
Infection ad.doubleclick.net
93 -
93 -

66 réponses