Se connecter / S'enregistrer
Votre question

attaque de dcom exploit [résolu]

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Juin 2007 10:13:53

salut a tous depuis quelque jour lorsque je me connecte j'ai tous les 1/4 heures une attaque "DCOM exploit avec une adresse IP bloque par mon anty virus avast et je n'arrive pas a m'en debarrasser merci de votre aide

jean louis

Autres pages sur : attaque dcom exploit resolu

a b 8 Sécurité
23 Juin 2007 13:09:34

Bonjour,

Télécharge Hijackthis (de Merjin).
Dézippe-le dans un dossier ou sur ton Bureau.

Lance l'application (Hijackthis.exe) :
- Choisis l'option "Do a system scan and save a logfile"
- Le Bloc-Notes s'ouvre, poste son contenu :

  • Edition / Sélectionner tout
  • Edition / Copier
  • Clique-Droit / Coller dans ta réponse

    AIDE : Tuto en vidéo sur Hijackthis
    23 Juin 2007 14:44:07

    dabord merci pour ton aide voila le post

    Logfile of HijackThis v1.99.1
    Scan saved at 14:43:27, on 23/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\tgbstarter.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\AOL 9.0\waol.exe
    C:\Program Files\AOL 9.0\shellmon.exe
    C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
    C:\Documents and Settings\jean louis\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://C:\Program Files\AutoCAD LT 2000i Fra\AcDcToday.ocx
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD LT 2000i Fra\AcPreview.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{37218C14-2166-4D07-9846-922CAE9D82B3}: NameServer = 205.188.146.145
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A4397777-CF24-4756-B6B3-317D7E98BADB}: NameServer = 86.64.145.141,205.188.146.145
    O17 - HKLM\System\CS1\Services\Tcpip\..\{37218C14-2166-4D07-9846-922CAE9D82B3}: NameServer = 205.188.146.145
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: TgbIke Starter (TgbIKE Starter) - Sistech - C:\WINDOWS\system32\tgbstarter.exe

    Contenus similaires
    a b 8 Sécurité
    23 Juin 2007 14:44:54

    Re,

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    23 Juin 2007 14:47:34

    merci je le fais de suite
    23 Juin 2007 14:52:33

    salut angeldark j'ai fais comme demander vundofix ne trouve rien donc ne fais pas de fichier texte
    a b 8 Sécurité
    23 Juin 2007 14:56:59

    Renomme Hijackthis.exe en Scanner.exe puis poste un rapport.
    23 Juin 2007 15:03:01

    ok voila le post

    Logfile of HijackThis v1.99.1
    Scan saved at 15:02:39, on 23/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\tgbstarter.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\AOL 9.0\waol.exe
    C:\Program Files\AOL 9.0\shellmon.exe
    C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
    C:\Documents and Settings\jean louis\Bureau\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://C:\Program Files\AutoCAD LT 2000i Fra\AcDcToday.ocx
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD LT 2000i Fra\AcPreview.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{37218C14-2166-4D07-9846-922CAE9D82B3}: NameServer = 205.188.146.145
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A4397777-CF24-4756-B6B3-317D7E98BADB}: NameServer = 86.64.145.141,205.188.146.145
    O17 - HKLM\System\CS1\Services\Tcpip\..\{37218C14-2166-4D07-9846-922CAE9D82B3}: NameServer = 205.188.146.145
    O17 - HKLM\System\CS2\Services\Tcpip\..\{37218C14-2166-4D07-9846-922CAE9D82B3}: NameServer = 205.188.146.145
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: TgbIke Starter (TgbIKE Starter) - Sistech - C:\WINDOWS\system32\tgbstarter.exe

    a b 8 Sécurité
    23 Juin 2007 15:08:21

    Re,

    Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
    Clique sur le premier " Download " afin de télécharger le programme
    Sauvegarde le sur ton Bureau
    Double-clique fsbl.exe et accepte la licence; clique Scan puis Next.

    A la fin du scan, NE TOUCHE A RIEN !

    Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
    Nous devons analyser ce rapport, ferme donc le BlackLight.

    Poste le rapport sur le forum.

    AIDE : Tuto sur BlackLight (Malekal)
    23 Juin 2007 15:16:17

    voila le post de fsbl

    06/23/07 15:13:29 [Info]: BlackLight Engine 1.0.64 initialized
    06/23/07 15:13:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    06/23/07 15:13:29 [Note]: 7019 4
    06/23/07 15:13:29 [Note]: 7005 0
    06/23/07 15:13:33 [Note]: 7006 0
    06/23/07 15:13:33 [Note]: 7011 1532
    06/23/07 15:13:33 [Note]: 7026 0
    06/23/07 15:13:33 [Note]: 7026 0
    06/23/07 15:13:35 [Note]: FSRAW library version 1.7.1022
    06/23/07 15:15:38 [Note]: 7007 0
    a b 8 Sécurité
    23 Juin 2007 15:26:39

    Tu n'as pas de firewall ?

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Tuto sur le scan en ligne

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    23 Juin 2007 16:15:39

    le firewall de windows etait enlevé
    post kaspersky

    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Saturday, June 23, 2007 4:12:46 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 23/06/2007
    Enregistrements dans la base antivirus Kaspersky : 329719
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: standard
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    A:\
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\
    J:\

    Statistiques de l'analyse:
    Total d'objets analysés: 62484
    Nombre de virus trouvés: 3
    Nombre d'objets infectés: 6 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 00:28:04

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\Documents and Settings\All Users\Application Data\Tray base log about\BOLT MP3.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
    C:\Documents and Settings\jean louis\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Application Data\ApplicationHistory\cli.exe.c88dbd71.ini.inuse L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Temp\Perflib_Perfdata_7e4.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Temp\Perflib_Perfdata_b34.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Temp\Perflib_Perfdata_b40.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\Local Settings\Temporary Internet Files\Content.IE5\RISW7RZO\PartyPokerSetup[1].exe Infecté : Backdoor.Win32.Delf.ahn ignoré
    C:\Documents and Settings\jean louis\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\jean louis\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{F4C40D7E-9BFB-40B5-B6E3-BB1DC70E53BC}\RP129\A0023024.exe Infecté : Worm.Win32.RJump.a ignoré
    C:\System Volume Information\_restore{F4C40D7E-9BFB-40B5-B6E3-BB1DC70E53BC}\RP129\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\Perflib_Perfdata_6a0.dat L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    C:\_OTMoveIt\MovedFiles\Documents and Settings\jean louis\Application Data\show flag city\gloheryp.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
    C:\_OTMoveIt\MovedFiles\Documents and Settings\jean louis\Application Data\show flag city\uploadshim.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
    C:\_OTMoveIt\MovedFiles\Documents and Settings\jean louis\Application Data\show flag city\Win Mfcd Cash.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
    a b 8 Sécurité
    23 Juin 2007 16:18:31

    Re,

    Télécharge LopResearch.zip
    Dézippe-le sur ton Bureau uniquement.
    Ouvre le dossier LopResearch puis double-clique sur le Scan.bat.
    Un rapport sera généré, poste son contenu ici.
    23 Juin 2007 16:21:24

    post lop research

    Rapport fait à 16:20:37,61 le 23/06/2007

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est F042-FC45

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    11/03/2007 10:40 <REP> Google
    03/03/2007 10:42 <REP> Tray base log about
    23/01/2007 21:44 <REP> Windows Genuine Advantage
    17/12/2006 01:20 <REP> FLEXnet
    16/12/2006 13:18 <REP> CyberLink
    11/12/2006 22:04 <REP> AOL Downloads
    27/11/2006 00:13 62 desktop.ini
    27/11/2006 00:13 <REP> ..
    27/11/2006 00:13 <REP> Microsoft
    27/11/2006 00:13 <REP> .
    26/11/2006 17:59 <REP> Viewpoint
    26/11/2006 17:59 <REP> QuickTime
    26/11/2006 17:57 <REP> AOL
    26/11/2006 17:29 <REP> Spybot - Search & Destroy
    26/11/2006 17:26 <REP> Adobe
    1 fichier(s) 62 octets
    14 R‚p(s) 3414958080 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est F042-FC45

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    27/11/2006 00:13 62 desktop.ini
    27/11/2006 00:13 <REP> ..
    27/11/2006 00:13 <REP> Microsoft
    27/11/2006 00:13 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 3414958080 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est F042-FC45

    R‚pertoire de C:\Documents and Settings\jean louis\Application Data

    23/06/2007 15:09 <REP> Mozilla
    21/04/2007 11:11 <REP> WinPatrol
    28/03/2007 21:29 <REP> Lavasoft
    20/03/2007 22:44 <REP> Autodesk
    09/03/2007 23:03 <REP> Google
    08/03/2007 23:56 <REP> Sun
    18/02/2007 12:32 <REP> vlc
    09/01/2007 23:17 <REP> Microsoft Web Folders
    25/12/2006 16:23 <REP> ATI
    17/12/2006 00:57 <REP> Ahead
    16/12/2006 18:51 <REP> Engelmann Media
    08/12/2006 23:15 <REP> Help
    01/12/2006 11:13 <REP> AdobeUM
    26/11/2006 18:00 <REP> Macromedia
    26/11/2006 17:59 <REP> AOL
    26/11/2006 17:27 <REP> Adobe
    26/11/2006 16:38 <REP> Identities
    26/11/2006 16:38 62 desktop.ini
    26/11/2006 16:38 <REP> ..
    26/11/2006 16:38 <REP> .
    26/11/2006 16:38 <REP> Microsoft
    1 fichier(s) 62 octets
    20 R‚p(s) 3414958080 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est F042-FC45

    R‚pertoire de C:\WINDOWS\Tasks

    26/11/2006 16:37 6 SA.DAT
    26/11/2006 16:32 65 desktop.ini
    26/11/2006 16:32 <REP> ..
    26/11/2006 16:32 <REP> .
    2 fichier(s) 71 octets
    2 R‚p(s) 3ÿ414ÿ958ÿ080 octets libres

    ******************************************
    Listing des dossiers dans

    Accent EXCEL Password Recovery
    Adobe
    Adultpdf
    Ahead
    Aide m‚moire
    Alwil Software
    AMD
    Anonymizer
    AOL
    AOL 9.0
    AOL Compagnon
    AOL Toolbar
    AOLbox
    ATI Technologies
    AutoCAD LT 2000i Fra
    AvRack
    BillP Studios
    Capturino 1.4
    CyberLink
    DAMN NFO Viewer
    Fichiers communs
    FileZilla
    Google
    Hewlett-Packard
    hp deskjet 5550 series
    IDENCIG
    Internet Explorer
    IZArc
    Java
    LaunchBarCommander
    Lavasoft
    Learn2.com
    Messenger
    MeuhMeuhTV
    microsoft frontpage
    Microsoft Office
    Microsoft.NET
    MiraScan
    Movie Maker
    Mozilla Firefox
    MSN
    MSN Gaming Zone
    NetMeeting
    Online Services
    Ontrack
    Outlook Express
    Panicware
    PDF Password Recovery 1
    PeerTV
    Pinnacle
    PowerQuest
    QuickTime
    Real
    Realtek AC97
    ReflexiveArcade
    RegCleaner
    SereneScreen
    Services en ligne
    show flag city
    Sierra On-Line
    Sistech
    Spybot - Search & Destroy
    SuperScan
    TechCity Solutions
    Toon Boom Animation
    UltraVNC
    VideoLAN
    Viewpoint
    Visicom Media
    WexTech
    Windows Media Player
    Windows NT
    xerox
    Yahoo!
    ******************************************
    Recherche de dossiers/fichiers LOP

    Pas de dossiers relatifs à Lop
    ******************************************
    Recherche d'infections connues

    Pas d'infection reconnue
    ******************************************
    Vérification du fichier HOSTS

    Fichier Hosts : MODIFIE
    *************** Fin du Rapport - Version 0.9 ****************
    a b 8 Sécurité
    23 Juin 2007 16:41:01

    Re,

    Télécharge R-Hosts.exe (de S!ri)
    Lance R-Hosts puis clique sur "Restaurer".
    Valide la modification en appuyant sur OK.

    &

    Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
    Sélectionne TOUS les emplacements en gras ci-dessous :

    C:\Documents and Settings\All Users\Application Data\Tray base log about
    C:\Program Files\show flag city


    ---> Clique-droit puis Copier (ou Ctrl+C)

    Double-clique sur OTMoveIt.exe afin de le lancer.
    Fais un Clique-droit sur le cadre de gauche puis choisis Coller (ou Ctrl+V).
    Clique maintenant sur [#ff0000]MoveIt![/#f]

    [#ff0000]Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.[/#f]

    Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    ->Informations sur le logiciel<-
    24 Juin 2007 13:13:36

    salut angeldark désolé de ne pas avoir repondu plus tot encore merci pour ton aide
    voila le post

    C:\Documents and Settings\All Users\Application Data\Tray base log about moved successfully.
    C:\Program Files\show flag city moved successfully.

    Created on 06/24/2007 13:11:11
    a b 8 Sécurité
    25 Juin 2007 11:51:29

    Reposte un rapport Hijackthis.
    26 Juin 2007 20:56:24

    salut depuis un moment plus de probleme je t'en remercie
    je te post le rapport pour confirmation

    Logfile of HijackThis v1.99.1
    Scan saved at 20:55:15, on 26/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\tgbstarter.exe
    C:\Program Files\AOL 9.0\waol.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\AOL 9.0\shellmon.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Documents and Settings\jean louis\Bureau\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://C:\Program Files\AutoCAD LT 2000i Fra\AcDcToday.ocx
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD LT 2000i Fra\AcPreview.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{37218C14-2166-4D07-9846-922CAE9D82B3}: NameServer = 205.188.146.145
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A4397777-CF24-4756-B6B3-317D7E98BADB}: NameServer = 86.64.145.141,205.188.146.145
    O17 - HKLM\System\CS1\Services\Tcpip\..\{37218C14-2166-4D07-9846-922CAE9D82B3}: NameServer = 205.188.146.145
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: TgbIke Starter (TgbIKE Starter) - Sistech - C:\WINDOWS\system32\tgbstarter.exe
    20 Juillet 2007 05:16:25

    Salut... j'ai moi aussi eu des messages d'avast à propos de "dcom bloqué". Ayant déjà eu ce problème par le passé, j'avais installé un firewall kerio... mais après avoir reçu ces messages avast, je me suis aperçu que, pour une raison incompréhensible, le firewall n'était pas activé (alors qu'il est censé l'être en permanence, si je ne m'abuse). J'ai donc lancé HijackThis et voici le log (voir en fin de message). Y-a-t-il à votre avis qqch de suspect, que je devrais supprimer ?

    Aussi, comment être sûr que le Firewall soit actif à chaque démarrage ? Certes, il y a la petite icone en bas de l'écran mais on n'a pas forcément toujours la présence d'esprit de remarquer son absence... Ce que je ne comprends pas, c'est comment ou pourquoi le firewall n'était pas actif (et je me demande évidemment si ça s'est déjà produit avant sans que je le remarque)...

    Enfin bon, merci d'avance si vous pouvez m'aider !

    Logfile of HijackThis v1.97.7
    Scan saved at 05:07:30, on 20/07/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\svchost.exe
    d:\Mes documents\Informatique\programmes\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
    O9 - Extra button: Recherche (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS