Re, ca a été un peu long, mais tu es infecté
* Désinstalle ces applications (si tu les trouves) dans
Ajout-Suppression de programmes :
Media Access
BullsEye Network
*
Télécharger l'outil
http://forum.hijackthis.de/attachment.php?attachmentid=177
(ABIremover.zip)
ou d'ici:
http://www.majorgeeks.com/download4609.html
(Nail/Bolder/Aurora Remover 0.3.1 Beta )
*
Redémarrer en mode sans echec (impérativement en mode sans echec)
*
Installer ABIRemover.exe
patienter... pendant l'installation l'explorateur windows se fermera.
*
Redémarrer.
*
Lancer le logiciel
HijackThis en mode sans echec et lancer un scan
"Do a system scan only"
Puis cocher les lignes suivantes en
GRAS (dans
HijackThis):
Logfile of
HijackThis v1.99.1
Scan saved at 19:42:06, on 06/21/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE:
Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\lxes.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\WINDOWS\System32\phqghum.EXE
C:\Program Files\Creative\ShareDLL\MediaDet.exe
C:\WINDOWS\System32\nbthlp.exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Program Files\Microsoft
Money\System\mnyexpr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\fbftqhg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\MSASP32.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\AVPersonal\AVWIN.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\D3324\aurora.exe
C:\Program Files\AVPersonal\GUARDGUI.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1C.tmp\THNALL~1.EXE
C:\Program Files\AVPersonal\GUARDGUI.EXE
C:\Documents and Settings\Administrateur\Mes documents\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 204.9.190.180 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 204.9.190.180 www3.aibgbonline.co.uk
O1 - Hosts: 204.9.190.180 www.bank.alliance-leicester.co.uk
O1 - Hosts: 204.9.190.180 login.iblogin.com
O1 - Hosts: 204.9.190.180 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 204.9.190.180 inet.barclays.co.uk
O1 - Hosts: 204.9.190.180 iibank.barclays.co.uk
O1 - Hosts: 204.9.190.180 iibank.cahoot.com
O1 - Hosts: 204.9.190.180 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 204.9.190.180 ww.hsbc.co.uk
O1 - Hosts: 204.9.190.180 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 204.9.190.180 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 204.9.190.180 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 204.9.190.180 ww3.online.lloydstsb.co.uk
O1 - Hosts: 204.9.190.180 ob2.nationet.com
O1 - Hosts: 204.9.190.180 ww3.onlinebanking.natwestoffshore.com
O1 - Hosts: 204.9.190.180 ww1.nwolb.com
O1 - Hosts: 204.9.190.180 ww1.onlinebanking.iombank.com
O1 - Hosts: 204.9.190.180 ww1.www.rbsdigital.com
O1 - Hosts: 204.9.190.180 welcome.smile.co.uk
O1 - Hosts: 204.9.190.180 login.365online.com
O1 - Hosts: 204.9.190.180 wvw.citizensbankonline.com
O1 - Hosts: 204.9.190.180 esecure.regionsnet.com
O1 - Hosts: 204.9.190.180 rollb.associatedbank.com
O1 - Hosts: 204.9.190.180 upb.unionplanters.com
O1 - Hosts: 204.9.190.180 www.onlinebanking.huntington.com
O1 - Hosts: 204.9.190.180 inet.southtrustonlinebanking.com
O1 - Hosts: 204.9.190.180 logon.personal.wamu.com
O1 - Hosts: 204.9.190.180 login.compassweb.com
O1 - Hosts: 204.9.190.180 logon.firstmeritib.com
O1 - Hosts: 204.9.190.180 login.ccfcuonline.org
O1 - Hosts: 204.9.190.180 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 204.9.190.180 www.onlinebanking.lasallebank.com
O1 - Hosts: 204.9.190.180 wvw.totallyfreebanking.com
O1 - Hosts: 204.9.190.180 www.online.wellsfargo.com
O1 - Hosts: 204.9.190.180 ww2.onlinebanking.bankofoklahoma.com
O1 - Hosts: 204.9.190.180 accounts4.keybank.com
O1 - Hosts: 204.9.190.180 logon.bankone.com
O1 - Hosts: 204.9.190.180 www.secure.tdbanknorth.com
O1 - Hosts: 204.9.190.180 www.secure.mvnt4.com
O1 - Hosts: 204.9.190.180 ww.mynfbonline.com
O1 - Hosts: 204.9.190.180 login.forumcuonline.com
O1 - Hosts: 204.9.190.180 www.eds.usersonlnet.com
O1 - Hosts: 204.9.190.180 www.onlineid.bankofamerica.com
O1 - Hosts: 204.9.190.180 wvw.e-gold.com
O1 - Hosts: 204.9.190.180 pcbs.peoples.com
O1 - Hosts: 204.9.190.180 www.global1.onlinebank.com
O1 - Hosts: 204.9.190.180 ww2.mybranch.lafcu.com
O1 - Hosts: 204.9.190.180 login.webbanking.comerica.com
O1 - Hosts: 204.9.190.180 web.banking.firsttennessee.com
O1 - Hosts: 204.9.190.180 logon.members1st.org
O1 - Hosts: 204.9.190.180 www.cib.ibanking-services.com
O1 - Hosts: 204.9.190.180 www.miwebbusbank.ebanking-services.com
O1 - Hosts: 204.9.190.180 wvw.paypal.com
O1 - Hosts: 204.9.190.180 www.signin.ebay.com
O1 - Hosts: 204.9.190.180 www.bvi.bancodevalencia.es
O1 - Hosts: 204.9.190.180 extrant.banesto.es
O1 - Hosts: 204.9.190.180 banesnt.banesto.es
O1 - Hosts: 204.9.190.180 activia.caixagalicia.es
O1 - Hosts: 204.9.190.180 www.bancae.caixapenedes.com
O1 - Hosts: 204.9.190.180 login.caixasabadell.net
O1 - Hosts: 204.9.190.180 oii.cajamadrid.es
O1 - Hosts: 204.9.190.180 login.cajamar.es
O1 - Hosts: 204.9.190.180 login.ccm.es
O1 - Hosts: 204.9.190.180 ww.unicaja.es
O1 - Hosts: 204.9.190.180 ww.bayernlb.de
O1 - Hosts: 204.9.190.180 ww2.berliner-volksbank.de
O1 - Hosts: 204.9.190.180 ww7.homebanking-berlin.de
O1 - Hosts: 204.9.190.180 portal09.commerzbanking.de
O1 - Hosts: 204.9.190.180 www.onlinebanking.huntington.com
O1 - Hosts: 204.9.190.180 www.meine.deutsche-bank.de
O1 - Hosts: 204.9.190.180 ww2.dresdner-privat.de
O1 - Hosts: 204.9.190.180 ww.e-banking.helaba.de
O1 - Hosts: 204.9.190.180 ww.hsh-nordbank.de
O1 - Hosts: 204.9.190.180 www.my.hypovereinsbank.de
O1 - Hosts: 204.9.190.180 ww3.homebanking-berlin.de
O1 - Hosts: 204.9.190.180 www.banking.lbbw.de
O1 - Hosts: 204.9.190.180 lrp.sparkasse-banking.de
O1 - Hosts: 204.9.190.180 ww3.homebanking-niedersachsen.de
O1 - Hosts: 204.9.190.180 www.onlinebanking.norisbank.de
O1 - Hosts: 204.9.190.180 www.banking.postbank.de
O1 - Hosts: 204.9.190.180 ww.bics.fr
O1 - Hosts: 204.9.190.180 www.co.caixabank.fr
O1 - Hosts: 204.9.190.180 ww.creditmutuel.fr
O1 - Hosts: 204.9.190.180 internetbank.intesabci.it
O1 - Hosts: 204.9.190.180 ww.extensive.bancalombarda.it
O1 - Hosts: 204.9.190.180 wvw.csebanking.it
O1 - Hosts: 204.9.190.180 www.mybank.bybank.it
O1 - Hosts: 204.9.190.180 ww.isideonline.it
O1 - Hosts: 204.9.190.180 ww3.sella.it
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ICQ Chat Service] icqjdhs.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Norton Antivirus 7.0a] C:\WINDOWS\System32\hywsq.exe
O4 - HKLM\..\Run: [*Security Center] secctr.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [oxDvNb] C:\WINDOWS\vsgrtysx.exe
O4 - HKLM\..\Run: [Microsoftf DDEs Control] lxes.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [MS Unix Binary] MSNq3insller.exe
O4 - HKLM\..\Run: [notes] notepaad.exe
O4 - HKLM\..\Run: [KYM Control Settings] phqghum.EXE
O4 - HKLM\..\Run: [Netbios Helper] C:\WINDOWS\System32\nbthlp.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [wimghpm] c:\windows\system32\fbftqhg.exe r
O4 - HKLM\..\RunServices: [ICQ Chat Service] icqjdhs.exe
O4 - HKLM\..\RunServices: [*Security Center] secctr.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] lxes.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] MSNq3insller.exe
O4 - HKLM\..\RunServices: [notes] notepaad.exe
O4 - HKLM\..\RunServices: [KYM Control Settings] phqghum.EXE
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft
Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [KYM Control Settings] phqghum.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pep.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115305847787
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) -
http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} -
http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O18 - Filter: text/html - {C866F6B1-4341-4C6E-8546-3F06B8B75681} - C:\Documents and Settings\Administrateur\Local Settings\Application Data\microsoft\internet explorer\V0.28.dat
O23 - Service:
antivir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service:
antivir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\msnq3insller.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
*
Fermer toutes les fenêtres Windows,
Internet Explorer, Outlook,…sauf le logiciel
HijackThis et cliquer sur
« Fix checked »
* Ensuite aller dans l’
Explorateur Windows et afficher tous les fichiers cachés :
[IMG]http://img159.exs.cx/img159/1880/sanstitre8cr.jpg[/IMG]
Outils----->Options des dossiers----->Onglet Affichage------->
(le paramètre activé par défaut est <Ne pas afficher les fichiers cachés ou les fichiers système>.)
Cliquez une fois dans le cercle étiqueté
<Afficher tous les fichiers>, cliquez sur
<Appliquer> puis sur
<OK>
et
supprimer le(s) fichier(s ) ci dessous si il(s) est (sont) présent(s) :
C:\Program Files\
Media Access----------------------->le dossier
C:\windows\system32\
msnq3insller.exe------------>le fichier
C:\windows\system32\
notepaad.exe---------------->le fichier
C:\windows\system32\
phqghum.EXE---------------->le fichier
C:\WINDOWS\System32\
nbthlp.exe------------------>le fichier
C:\Program Files\
BullsEye Network ------------------->le dossier
C:\WINDOWS\System32\
msxct.exe------------------>le fichier
c:\windows\system32\
fbftqhg.exe r------------------>le fichier
c:\windows\system32\
secctr.exe--------------------->le fichier
c:\windows\system32\
lxes.exe------------------------>le fichier
C:\WINDOWS\
Nail.exe---------------------------------->le dossier
c:\windows\system32\
icqjdhs.exe-------------------->le fichier
C:\WINDOWS\System32\
winIogon.exe--------------->le fichier
C:\WINDOWS\System32\
hywsq.exe------------------>le fichier
C:\
UNMT.EXE--------------------------------------------->le fichier C:\WINDOWS\
vsgrtysx.exe---------------------------->le fichier
* PUIS,
C\temp\ <--
supprimer tout le contenu du dossier
C:\windows\temp\ <--
supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<--
supprimer tout le contenu du dossier
C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\<--
supprimer tout le contenu du dossier
Fichier temporaire internet:
Démarrer/panneau de configuration/options internet
-->
bouton supprimer cookies
-->
bouton supprimer fichiers temporaires internet
Fichiers temporaires : Démarrer/exécuter
" CleanMgr "
Cocher tout sauf :
Compression des fichiers non utilisés
Fichiers catalogue d’indexation du contenu
/ OK / OUI
Dans l'Explorateur Windows recacher les fichiers système afin de ne pas faire d'erreur à l'avenir:
Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.
* Vider la Corbeille
*
Redémarrer normalement
*[b]Effectuer un scan antivirus en ligne.
Panda :
http://www.pandasoftware.com/fr
Clic sur PandaActiveScan en bas à gauche.
*
Copie colle le rapport ici ainsi qu'un nouveau rapport HijackThis
trojan et autres bestioles tenaces
Groupe Sécurité
