|
| -RIP |  Posté le 18/12/2006 @ 14:04 |
Petit astucien
251 Messages
| Bonjour a tous  Mon PC a passer un charmant petit w-e en compagnie de mon frere qui la utiliser pour une lan. Malheureusement l'ordi la mal prit (l'eloignement de sa maison, la tristesse de ne plus voir son maitre,... je ne sais pas) Il a malencontreusement choper une saloperie  un beau virus. Merci frangin 
Tout les PC de la lan on ete infester. Un malin a du laisser trainer un virus, a je vous jure ya des douer. Ce qui est plus grave c'est que certaint PC ne s'en sont pas remis (formatage pour certain, glups...) heureusement le mien est epargner, pour l'instant. Il n'empeche que l'indesirable est toujours la. avast (mon antivirus) ne la appparement pas detecter. Et des scan n'y change rien. les symptome sont les suivants. A chaque demarage de Windows une message d'erreur s'affiche. Voila le screen, c'est plus simple.  au debut j'etait incapable d'ouvrir les .exe et le disque dur en double cliquant. ca plantait. mais maintenant ca marche, aller savoir pourquoi??? Je ne sais pas comment me debarasser cette hote, help  pour info : je possede XP pro sp2 et mon antivirus est avast edition familial.Si vous voullez d'autre detail, n'hesiter aps a demander.... |
| |
| |
| Publicité |
|
|
| clbugnot | Posté le 18/12/2006 à 14:16 |
 Maître astucien
13767 Messages
| Bonjour -RIP
Problème pour le forum Sécurité. Clique l'icone  dans le bandeau au-dessus de ton premier post et demande au modérateur d'y déplacer ton sujet. En attendant le transfert, fais ce qui est demandé dans ce sujet, dans l'ordre, et poste les rapports AVG anti-spywares et HijackThis. Un(e) astucien(ne) compétent(e) te viendra en aide. |
| |
|
| -RIP | Posté le 19/12/2006 à 00:00 |
Petit astucien
251 Messages
| Voila le rapport d'HijackThis Logfile of HijackThis v1.99.1
Scan saved at 23:56:53, on 18/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\AvAsT\aswUpdSv.exe
C:\AvAsT\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\AvAsT\ashMaiSv.exe
C:\AvAsT\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\AvAsT\ashDisp.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\dsbjrn.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Reactivator - {AC2E8306-D24E-4082-8669-7781499F4E03} - (no file)
O2 - BHO: (no name) - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - (no file)
O3 - Toolbar: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - (no file)
O4 - HKLM\..\Run: [avast!] C:\AvAsT\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [psojva] C:\WINDOWS\system32\dsbjrn.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O8 - Extra context menu item: &Every Toolbar Search - res://C:\PROGRA~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://wisup.net/_plateforme/Upload/Aurigma/AurigmaActiveX/ImageUploader4.cab
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://8.10.120.42/activex/AMC.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by110fd.bay110.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABAC56D8-805E-4604-9059-9EFF0D4D943D}: NameServer = 85.255.113.93,85.255.112.23
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xod - xod.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\AvAsT\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\AvAsT\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\AvAsT\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\AvAsT\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Modifié par -RIP le 19/12/2006 11:58 |
| |
|
| -RIP | Posté le 19/12/2006 à 12:03 |
Petit astucien
251 Messages
| Help  Maintenant de temps en temps avast me detecte un cheval de Troie qui est situer dans le dossier temp. Voila le message d'erreur : Ca doit etre lié je n'avait pas ca avant... 
ps: dans le screen de mon premier message remarquer la petite tete de panda en dessous, ca doit etre un signe particulier de ce virus :s Modifié par -RIP le 19/12/2006 12:04 |
| |
|
| -RIP | Posté le 19/12/2006 à 12:11 |
Petit astucien
251 Messages
| le rapport d'AVG antispyware arrive |
| |
|
| narco4 | Posté le 19/12/2006 à 12:22 |
 Astucien
6647 Messages
| Salut, Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes: O17 - HKLM\System\CCS\Services\Tcpip\..\{ABAC56D8-805E-4604-9059-9EFF0D4D943D}: NameServer = 85.255.113.93,85.255.112.23
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23 Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.
A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.
Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HijackThis. et Télécharge VundoFix.exe (par Atribune) sur ton Bureau [*]Double-clique VundoFix.exe afin de le lancer [*]Clique sur le bouton Scan for Vundo [*]Lorsque le scan est complété, clique sur le bouton Remove Vundo [*]Une invite te demandera si tu veux supprimer les fichiers, clique YES [*]Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers [*]Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK [*]Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". Modifié par narco4 le 19/12/2006 12:24 |
| |
|
| -RIP | Posté le 19/12/2006 à 12:31 |
Petit astucien
251 Messages
| ok narco4, le temps que avg finissse son scan (il a trouver une tripotee de crasse pour l'instant!! ^^) et je fait tout ca...
Modifié par -RIP le 19/12/2006 12:32 |
| |
|
| -RIP | Posté le 19/12/2006 à 13:18 |
Petit astucien
251 Messages
| voila le rapport d'AVG ---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 13:15:35 19/12/2006
+ Résultat de l'analyse:
C:\Program Files\Mozilla Firefox\extensions\{BEE3E87E-E1C6-4bfe-BE9D-48E84271AB34}\components\whenu_ff.dll -> Adware.SaveNow : Nettoyé et sauvegardé (mise en quarantaine).
[2056] VM_008F0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2152] VM_00850000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2180] VM_008E0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2192] VM_011D0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2352] VM_007C0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2432] VM_008F0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2480] VM_00DA0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2560] VM_009E0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2604] VM_00DA0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2616] VM_00DA0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[2660] VM_00DA0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[4044] VM_00FF0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[712] VM_00DA0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
[752] VM_00FC0000 -> Downloader.Agent.uj : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F85E86D8-F796-4C97-AAA2-26664A98A42C} -> Hijacker.Generic : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1645522239-1647877149-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F85E86D8-F796-4C97-AAA2-26664A98A42C} -> Hijacker.Generic : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.25:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.27:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.28:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.29:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.30:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.31:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.232:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.185:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Adjuggler : Nettoyé.
:mozilla.186:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Adjuggler : Nettoyé.
:mozilla.187:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Adjuggler : Nettoyé.
:mozilla.158:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.159:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.51:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.52:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.53:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.64:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Adviva : Nettoyé.
:mozilla.102:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.20:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Billet\Cookies\billet@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.32:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.194:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.205:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.206:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.155:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Masterstats : Nettoyé.
:mozilla.210:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.78:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.79:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.80:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.72:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.73:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.74:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.75:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.76:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.77:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.147:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyé.
:mozilla.148:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyé.
:mozilla.149:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyé.
:mozilla.150:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyé.
:mozilla.151:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyé.
:mozilla.152:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyé.
:mozilla.153:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyé.
:mozilla.154:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyé.
:mozilla.33:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.34:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.35:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.246:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Tacoda : Nettoyé.
:mozilla.247:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Tacoda : Nettoyé.
:mozilla.248:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Tacoda : Nettoyé.
:mozilla.81:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.16:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.17:C:\Documents and Settings\Billet\Application Data\Mozilla\Firefox\Profiles\mfpaghr4.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
Fin du rapport et je me lance dans ta procedure narco4 ... |
| |
|
| -RIP | Posté le 19/12/2006 à 13:28 |
Petit astucien
251 Messages
| voila le rapport de fixwareout
Fixwareout
Last edited 12/06/2006
Post this report in the forums please
...
Prerun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csmcd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmtqz.exe"="C:\\WINDOWS\\system32\\dmtqz.exe"
...
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}659478C756D5-3ADB-0DC4-134A-4804E266{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\zqtmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap
...
Random Runs removed from HKLM
"dmtqz.exe"=-
...
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSMCD.EXE 51.790 2006-09-07
C:\WINDOWS\SYSTEM32\DMOTH.EXE 61.953 2004-08-03
C:\WINDOWS\SYSTEM32\DMQWG.EXE 61.953 2004-08-03
C:\WINDOWS\SYSTEM32\DMTQZ.EXE 61.953 2004-08-03
C:\WINDOWS\SYSTEM32\DMYQU.EXE 61.953 2004-08-03
Other suspects.
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
...
Postrun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""
...
|
| |
|
| -RIP | Posté le 19/12/2006 à 13:39 |
Petit astucien
251 Messages
| "Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis sur PC Astuces">HijackThis. Clique sur Scan et coche les lignes suivantes: O17 - HKLM\System\CCS\Services\Tcpip\..\{ABAC56D8-805E-4604-9059-9EFF0D4D943D}: NameServer = 85.255.113.93,85.255.112.23
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.23 Clique sur Fix Checked." Je pige pas le "Clique sur Fix Checked" ?? je selectionne les 4 ligne, ok mais "Fix Checked" il est où? ce serai pas "fixer objet" plutot? Modifié par -RIP le 19/12/2006 13:43 |
| |
|
| narco4 | Posté le 19/12/2006 à 13:46 |
Astucien
6647 Messages
| Oui |
| |
|
| -RIP | Posté le 19/12/2006 à 13:52 |
Petit astucien
251 Messages
| pas eu besoin de redemarrer une seconde fois. Voila le rapport HijackThis Logfile of HijackThis v1.99.1
Scan saved at 13:49:54, on 19/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\AvAsT\aswUpdSv.exe
C:\AvAsT\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\AvAsT\ashMaiSv.exe
C:\AvAsT\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\AvAsT\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\dsbjrn.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Reactivator - {AC2E8306-D24E-4082-8669-7781499F4E03} - (no file)
O3 - Toolbar: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - (no file)
O4 - HKLM\..\Run: [avast!] C:\AvAsT\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [psojva] C:\WINDOWS\system32\dsbjrn.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O8 - Extra context menu item: &Every Toolbar Search - res://C:\PROGRA~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://wisup.net/_plateforme/Upload/Aurigma/AurigmaActiveX/ImageUploader4.cab
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://8.10.120.42/activex/AMC.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by110fd.bay110.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xod - xod.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\AvAsT\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\AvAsT\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\AvAsT\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\AvAsT\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe et le report.txt de fixwareout
Fixwareout
Last edited 12/06/2006
Post this report in the forums please
...
Prerun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csmcd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmtqz.exe"="C:\\WINDOWS\\system32\\dmtqz.exe"
...
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}659478C756D5-3ADB-0DC4-134A-4804E266{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\zqtmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap
...
Random Runs removed from HKLM
"dmtqz.exe"=-
...
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSMCD.EXE 51.790 2006-09-07
C:\WINDOWS\SYSTEM32\DMOTH.EXE 61.953 2004-08-03
C:\WINDOWS\SYSTEM32\DMQWG.EXE 61.953 2004-08-03
C:\WINDOWS\SYSTEM32\DMTQZ.EXE 61.953 2004-08-03
C:\WINDOWS\SYSTEM32\DMYQU.EXE 61.953 2004-08-03
Other suspects.
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
...
Postrun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""
... mais a quoi ca a servis fixwareout? Modifié par -RIP le 19/12/2006 13:52 |
| |
|
| narco4 | Posté le 19/12/2006 à 13:54 |
Astucien
6647 Messages
| Poursuit la manip STP |
| |
|
| -RIP | Posté le 19/12/2006 à 14:01 |
Petit astucien
251 Messages
| c'est ce que je fait c'est ce que je fait ^^ le scan de vundo vien de se terminer |
| |
|
| -RIP | Posté le 19/12/2006 à 14:03 |
Petit astucien
251 Messages
| le scan de vundo n'a rien trouver, il n'a donc rien suprimmer. Je n'ai pas du redemarer le pc. voila le rapport
VundoFix V6.2.13
Checking Java version...
Java version is 1.4.2.1
Java version is 1.5.0.4
Scan started at 13:54:12 19/12/2006
Listing files found while scanning....
No infected files were found.
Beginning removal...
je te remet un HijackThis quand meme? |
| |
|
| narco4 | Posté le 19/12/2006 à 14:16 |
Astucien
6647 Messages
| *Assure toi d'avoir accès aux dossiers/fichiers cachés -> Démarrer -> Panneau de configuration -> Options des Dossiers, onglet Affichage : . Clique sur Afficher les dossiers cachés . Décoche Masquer les extensions des fichiers dont le type est connu . Décoche Masquer les fichiers protégés du système d'exploitation Va sur ce site
Clique sur Parcourir et cherche ce fichier. C:\WINDOWS\system32\dsbjrn.exe
Ensuite clique sur Send .
Si tu as le message "STATUS: QUEUED", patiente. recommence avec C:\WINDOWS\SYSTEM32\CSMCD.EXE C:\WINDOWS\SYSTEM32\DMOTH.EXE C:\WINDOWS\SYSTEM32\DMQWG.EXE C:\WINDOWS\SYSTEM32\DMTQZ.EXE C:\WINDOWS\SYSTEM32\DMYQU.EXE
Colle les rapports ici.
|
| |
|
| -RIP | Posté le 19/12/2006 à 14:22 |
Petit astucien
251 Messages
| ben justement j'ai un soucis pour voir les fichiers cachés. j'ai beau appliquer ce qui est di pour pouvoir les voir. mais une fois que je quitte ca remet les ancien reglage  c'est bizare :s Modifié par -RIP le 19/12/2006 14:24 |
| |
|
| narco4 | Posté le 19/12/2006 à 14:25 |
Astucien
6647 Messages
| au message qui apparai clique sur oui! et non sur non! |
| |
|
| -RIP | Posté le 19/12/2006 à 14:31 |
Petit astucien
251 Messages
| ben il n'y pas de message qui me demande oui ou non. je selectionne juste "afficher les fichiers et dossier cachers" je fait appliquer (la ya un petit laps de temps, ca applique) je fait ok. et la le petit laps de temps revien et les fichier cacher sont encore invisible. et en effet quand je retourne, dans le panneau de configurtaion, les reglage on ete remis comme avant :s |
| |
|
| -RIP | Posté le 19/12/2006 à 14:35 |
Petit astucien
251 Messages
| j'ai copier coller l'emplacement que tu ma donner, on verra ce que ca donne. je suis dans la queu la... |
| |
|
| -RIP | Posté le 19/12/2006 à 14:40 |
Petit astucien
251 Messages
| apparement ca marche Complete scanning result of "dsbjrn.exe", received in VirusTotal at 12.19.2006, 14:34:12 (CET). AntivirusVersionUpdateResult AntiVir7.3.0.1912.19.2006TR/Crypt.NSAnti.GenAuthentium4.93.812.15.2006Possibly a new variant of W32/PWStealer.gen1Avast4.7.892.012.19.2006no virus foundAVG38612.18.2006no virus foundBitDefender7.212.19.2006no virus foundCAT-QuickHeal8.0012.18.2006(Suspicious) - DNAScanClamAVdevel-2006042612.19.2006no virus foundDrWeb4.3312.19.2006Win32.BessoeSafe7.0.14.012.19.2006suspicious Trojan/WormeTrust-InoculateIT23.73.8912.19.2006no virus foundeTrust-Vet30.3.325912.18.2006no virus foundEwido4.012.19.2006no virus foundFortinet2.82.0.012.19.2006suspiciousF-Prot3.16f12.15.2006Possibly a new variant of W32/PWStealer.gen1F-Prot44.2.1.2912.19.2006W32/PWStealer.gen1IkarusT3.1.0.2712.19.2006no virus foundKaspersky4.0.2.2412.19.2006no virus foundMcAfee492112.18.2006PWS-QQRobMicrosoft1.190412.19.2006no virus foundNOD32v2192812.19.2006no virus foundNorman5.80.0212.18.2006W32/Bacalid.APanda9.0.0.412.19.2006Trj/QQPass.OYPrevx1V212.19.2006Dropper.PayloadSophos4.12.012.18.2006Mal/PackerSunbelt2.2.907.012.18.2006no virus foundTheHacker6.0.3.13412.18.2006no virus foundUNA1.8312.18.2006no virus foundVBA323.11.112.18.2006suspected of Backdoor.PcClient.22VirusBuster4.3.19:912.18.2006no virus found Aditional Information File size: 52859 bytesMD5: 7e1999fa7556768c3d7aac2ad5d6802aSHA1: f0e38bc8bee44b8872c0c120d32871018fba1fa8Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=f4f863841759 |
| |
|
| -RIP | Posté le 19/12/2006 à 14:42 |
Petit astucien
251 Messages
| oula, je vai faire un screen ce sera plus clair |
| |
|
| -RIP | Posté le 19/12/2006 à 14:48 |
Petit astucien
251 Messages
| 
voila c'est mieu... les autres arrivent Modifié par -RIP le 19/12/2006 14:51 |
| |
|
| -RIP | Posté le 19/12/2006 à 14:55 |
Petit astucien
251 Messages
| |
| |
|
| -RIP | Posté le 19/12/2006 à 14:59 |
Petit astucien
251 Messages
| ca grouille de trojan  y font peur ces rapports  |
| |
|
| -RIP | Posté le 19/12/2006 à 15:01 |
Petit astucien
251 Messages
| |
| |
|
| -RIP | Posté le 19/12/2006 à 15:08 |
Petit astucien
251 Messages
| |
| |
|
| -RIP | Posté le 19/12/2006 à 15:17 |
Petit astucien
251 Messages
| |
| |
|
| -RIP | Posté le 19/12/2006 à 15:19 |
Petit astucien
251 Messages
| et le dernier 
|
| |
|
| -RIP | Posté le 19/12/2006 à 15:25 |
Petit astucien
251 Messages
| et j'ai toujours avast qui gueule toute les 10 min pour le shua.jpg\[UPX] (voir screen avast plus haut) c'est lourd :s |
|
Runtime error
