Votre question

[Résolu] Log Hijackthis - Infections diverses et variées

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Avril 2007 18:30:05

Bonjour à tous,

Voilà, j'ai encore un souci avec un PC. On me l'a passé pour un problème de démarrage mais au final, c'est un véritable laboratoire à virus que j'ai récupéré. Après pas mal de scan, j'ai viré plus d'une soixantaine de virus...

Mais certains persistent. Au boot, il y en a toujours 2 qui reviennent (même après les avoir virer depuis msconfig) et Kerio s'affole toutes les 15 sec sur C:\Windows\system32\srsvc.exe.

Voilà, si quelqu'un peut analyser mon log ce serait super.


Logfile of HijackThis v1.99.1

Scan saved at 18:21:32, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Documents and Settings\Patricia\Bureau\Hijackthis\hijackthis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\RunServices: [Windows Net] dglhskwhkbd.exe
O4 - HKLM\..\RunServices: [Windows Service] pefxnguxa.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe



D'avance, merci ! [:florom94:10]

Autres pages sur : resolu log hijackthis infections diverses variees

a b 8 Sécurité
4 Avril 2007 18:31:46

Bonjour,

Tu pourrais mettre en page le rapport correctement ? :) 

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

&

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

AIDE : Tuto sur BlackLight (Malekal)
4 Avril 2007 19:08:49

Merci Angeldark. Je viens de remettre en forme le log.

Voici donc le premier rapport :

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 04/04/2007 a 18:44:30,95

*** Recherche de fichiers sur C:
C:\StubInstaller.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND
C:\WINDOWS\system32\spooIsv.exe FOUND

*** Fin du rapport !


Et le second :


04/04/07 18:46:24 [Info]: BlackLight Engine 1.0.61 initialized
04/04/07 18:46:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/04/07 18:46:25 [Note]: 7019 4
04/04/07 18:46:25 [Note]: 7005 0
04/04/07 18:46:27 [Note]: 7006 0
04/04/07 18:46:27 [Note]: 7011 316
04/04/07 18:46:28 [Note]: 7026 0
04/04/07 18:46:28 [Note]: 7026 0
04/04/07 18:46:36 [Note]: FSRAW library version 1.7.1021
04/04/07 18:51:38 [Note]: 7007 0

Encore merci.Pas de formatage ce coup-ci hein ? :D 
Contenus similaires
a b 8 Sécurité
4 Avril 2007 19:11:15

Non :D 
4 Avril 2007 19:17:13

bonsoir vous deux :) 

Citation :
Pas de formatage ce coup-ci hein ?


Citation :
Non :D 


t'es bien sûr Angeldark? :lol: 
4 Avril 2007 19:18:55

Ah non hein ! J'ai passé la journée à tenter de nettoyer alors... [:hakan:14]
a b 8 Sécurité
4 Avril 2007 19:19:47

Je suis certain.
Si t'avais vu la tête du rapport de son ancien ordi.
Un must !
(je me demande où il a attrapé ça :sarcastic: )

PS : pas dans mon cul pour les malins
4 Avril 2007 19:20:54

fallait poster ici, t'inquiètes, il n'y a rien de dramatique...
de toute façon comme j'ai posté, je vais surveiller Angeldark car la dernière fois, il m'a dit qu'il en avait fait exprès de te faire formater. :lol: 
(le pc de ton frère si je me souviens bien)
4 Avril 2007 19:44:25

J'espère que tu l'as sauvegardé mon ancien rapport :D  (et encadré). C'est pas tous les jours que tu as la chance d'en voir des comme ça !

@ Sham-rock : J'avais posté mais je l'ai viré peu après car je pensais le PC à peu près propre mais au redémarrage, 4 ou 5 nouveaux virus sont apparus alors j'ai voulu faire un peu le ménage quand même.

Bon surveille Angeldark quand même. Je le sens un brin sadique avec moi. :whistle: 
4 Avril 2007 20:04:49

Citation :
PS : pas dans mon cul pour les malins

pas vraiment fin ce truc.
j'ai failli répondre au gusse, mais d'habitude on ne fait pas de freepost ici...
sauf avec les modos :lol: 
a b 8 Sécurité
4 Avril 2007 20:08:11

T'étaid obligé de faire un edit ?
J'ai pas vu ton rapport :D 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    4 Avril 2007 21:14:48

    Angeldark a dit :
    T'étaid obligé de faire un edit ?
    J'ai pas vu ton rapport :D 


    Si tu parles de mon premier sujet, il est dans la corbeille. Tu peux aller voir ;) .

    Alors les rapports :



    VundoFix V6.3.19

    Checking Java version...

    Java version is 1.5.0.3
    Old versions of java are exploitable and should be removed.

    Scan started at 21:01:41 04/04/2007

    Listing files found while scanning....

    C:\WINDOWS\system32\awtstsp.dll
    C:\WINDOWS\System32\ijllm.bak2
    C:\WINDOWS\System32\ijllm.ini
    C:\WINDOWS\System32\ijllm.ini2
    C:\WINDOWS\System32\ijllm.tmp
    C:\WINDOWS\System32\mllji.dll
    C:\WINDOWS\system32\rqrrpnm.dll
    C:\WINDOWS\system32\tuvvwwv.dll
    C:\WINDOWS\system32\vtusssp.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtstsp.dll
    C:\WINDOWS\system32\awtstsp.dll Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ijllm.bak2
    C:\WINDOWS\System32\ijllm.bak2 Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ijllm.ini
    C:\WINDOWS\System32\ijllm.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ijllm.ini2
    C:\WINDOWS\System32\ijllm.ini2 Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ijllm.tmp
    C:\WINDOWS\System32\ijllm.tmp Has been deleted!

    Attempting to delete C:\WINDOWS\System32\mllji.dll
    C:\WINDOWS\System32\mllji.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\rqrrpnm.dll
    C:\WINDOWS\system32\rqrrpnm.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\tuvvwwv.dll
    C:\WINDOWS\system32\tuvvwwv.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vtusssp.dll
    C:\WINDOWS\system32\vtusssp.dll Has been deleted!

    Performing Repairs to the registry.

    Done!



    Et le Hijackthis :

    Logfile of HijackThis v1.99.1

    Scan saved at 21:11:15, on 04/04/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\system32\srsvc.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Documents and Settings\Patricia\Bureau\Hijackthis\hijackthis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {AAFD7572-B022-4B49-B551-9D8B1704BF41} - C:\WINDOWS\System32\mllji.dll (file missing)
    O2 - BHO: (no name) - {B4B5B777-BE3E-4D68-840F-DF2844496997} - (no file)
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: (no name) - {E44527F6-1296-4A84-B67D-A6CEA6ED4B69} - C:\WINDOWS\system32\rqrrpnm.dll (file missing)
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKLM\..\RunServices: [Windows Net] dglhskwhkbd.exe
    O4 - HKLM\..\RunServices: [Windows Service] pefxnguxa.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O20 - Winlogon Notify: khfgdca - khfgdca.dll (file missing)
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    a b 8 Sécurité
    4 Avril 2007 21:18:51

    Je parle de ton premier rapport Hijackthis :D 

    - Lance Hijackthis ->Do a system scan only
    ->Coche les lignes ci-dessous :

    O2 - BHO: (no name) - {AAFD7572-B022-4B49-B551-9D8B1704BF41} - C:\WINDOWS\System32\mllji.dll (file missing)
    O2 - BHO: (no name) - {B4B5B777-BE3E-4D68-840F-DF2844496997} - (no file)
    O2 - BHO: (no name) - {E44527F6-1296-4A84-B67D-A6CEA6ED4B69} - C:\WINDOWS\system32\rqrrpnm.dll (file missing)
    O4 - HKLM\..\RunServices: [Windows Net] dglhskwhkbd.exe
    O4 - HKLM\..\RunServices: [Windows Service] pefxnguxa.exe
    O20 - Winlogon Notify: khfgdca - khfgdca.dll (file missing)

    Clique sur Fix checked (en bas à gauche)

    Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
    Sélectionne TOUS les emplacements en gras ci-dessous :

    C:\StubInstaller.exe
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\spooIsv.exe
    C:\WINDOWS\system32\dglhskwhkbd.exe
    C:\WINDOWS\system32\pefxnguxa.exe


    ---> Clique-droit puis Copier

    Double-clique sur OTMoveIt.exe afin de le lancer.
    Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
    Clique maintenant sur [#ff0000]MoveIt![/#f]

    ! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES !

    Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport est la date de sa création.
    4 Avril 2007 21:34:57

    C'est ok pour les lignes dans Hijackthis mais pour l'autre soft, une fois la copie faite, impossible de coller. Le menu contextuel reste grisé... :s
    a b 8 Sécurité
    4 Avril 2007 21:37:44

    Tu as essayé en faisant Ctrl + V ?
    4 Avril 2007 21:39:06

    Oui j'ai essayé ainsi qu'un "glisser-déposer".

    Edit : tu vas voir que ça va finir en formatage.... :whistle: 
    a b 8 Sécurité
    4 Avril 2007 21:43:40

    On va faire autrement alors.
    Cela sera plus long :) 

    Télécharge puis installe AVG Anti-Spyware (AVG AS)
    Une fois AVG AS lancé, clique sur "Mise à jour"
    Ferme le programme.
    AIDE : Tuto sur AVG Antispyware (Malekal)

    Redémarre en mode sans échec

    Relance AVG AS puis choisis l'onglet "Analyse"
    Puis l'onglet "Paramètres"
    Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    /!\ Si un fichier est infecté en fin d'analyse /!\
    Clique sur "Appliquer toutes les actions"

    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau.

    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 2 puis patiente.

    Redémarre normalement
    Copie/Colle le rapport AVG AS ainsi qu'un rapport Hijackthis.

    Poste le rapport clean : C:\rapport_clean.txt
    4 Avril 2007 22:39:36

    Alors :

    AVG : nickel, rien trouvé.

    Clean.cmd : j'ai du le faire 2 fois de suite car la première fois, c'est resté bloqué... donc voilà les 2 rapports :

    Citation :
    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 2, executee le 04/04/2007 a 22:20:11,00

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression de fichiers sur C:

    tentative de suppression de C:\StubInstaller.exe

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32

    tentative de suppression de C:\WINDOWS\system32\mcrh.tmp

    tentative de suppression de C:\WINDOWS\system32\spooIsv.exe


    *** Suppression des clefs du registre effectuee..


    et

    Citation :
    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 2, executee le 04/04/2007 a 22:27:01,71

    Microsoft Windows XP [version 5.1.2600]


    *** Suppression de fichiers sur C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32

    *** Suppression des clefs du registre effectuee..

    *** Fin du rapport !



    Et enfin, le log Hijackthis :

    Logfile of HijackThis v1.99.1

    Scan saved at 22:32:13, on 04/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\system32\srsvc.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Patricia\Bureau\Hijackthis\hijackthis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe


    Et voilà. Merci ;) 
    a b 8 Sécurité
    4 Avril 2007 22:41:23

    T'es certain pour Avg ? :D 

    Tu as d'autres problèmes ?
    4 Avril 2007 22:48:40

    Certain pour AVG.

    Le dernier truc apparent, c'est ça :



    Kerio m'ouvre ça toutes les 15 secondes, par série de 5 ou 6 fenêtres à la suite dès que le câble ethernet est branché.
    a b 8 Sécurité
    4 Avril 2007 22:56:01

    Je l'avais oublié celui là :) 

    Redémarre en mode sans échec

    - Assure toi d'avoir accès aux dossiers/fichiers cachés
    -> Démarrer
    -> Panneau de configuration
    -> Options des Dossiers, onglet Affichage :
    . Clique sur Afficher les dossiers cachés
    . Décoche Masquer les extensions des fichiers dont le type est connu
    . Décoche Masquer les fichiers protégés du système d'exploitation


    - Suppime ce fichier :
    C:\Windows\System32\srsvc.exe
    4 Avril 2007 23:01:23

    J'ai 2 .dll portant le même nom. Je les vire aussi ? (srsvc.dll et srsvc(2).dll) Et deux autres à côté qui me semble suspectes : srvsvc(2).dll et srvsvc.dll.
    a b 8 Sécurité
    4 Avril 2007 23:04:11

    Ne touche pas aux .dll ;) 
    Enfin... si tu veux pas formater...
    4 Avril 2007 23:13:59

    Voilà, fichier viré. On dirait que tout est ok. Enfin, je ne vois plus de souci. Un dernier log histoire d'être sûr :D  :

    Logfile of HijackThis v1.99.1

    Scan saved at 23:11:37, on 04/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Documents and Settings\Patricia\Bureau\Hijackthis\hijackthis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: System Restore Scheduling Service (srsvc) - Unknown owner - C:\WINDOWS\system32\srsvc.exe (file missing)

    Encore une fois, merci Angeldark pour tout le temps passé sur mon cas. :jap: 
    a b 8 Sécurité
    5 Avril 2007 16:59:04

    C'est ok.
    La prochaine fois, au lieu de passer trois heures sur l'ordi, viens nous voir ;) 
    5 Avril 2007 17:01:34

    Ouais, mais souvent je préfère me débrouiller tout seul. Mais là, je ne savais pas trop... Si ça avait été mon PC, je l'aurais directement formaté mais là...

    Enfin.. Encore merci à toi pour cette aide et ce temps passé à m'aider ! :jap: 
    a b 8 Sécurité
    5 Avril 2007 17:04:15

    Citation :
    Si ça avait été mon PC, je l'aurais directement formaté mais là...

    Il ne faut pas avoir ce réflex.
    Tu risques des choses bien pires.

    Citation :
    Enfin.. Encore merci à toi pour cette aide et ce temps passé à m'aider ! :jap: 

    De rien :) 
    5 Avril 2007 17:06:06

    Angeldark a dit :
    Citation :
    Si ça avait été mon PC, je l'aurais directement formaté mais là...

    Il ne faut pas avoir ce réflex.
    Tu risques des choses bien pires.


    Comment ça, "bien pire" ?

    Nan mais ce n'est pas un reflex mais là, entre le temps des scan, des désinfections, etc, ça aurait été plus rapide de formater et de réinstaller.
    a b 8 Sécurité
    5 Avril 2007 17:07:26

    Citation :
    Comment ça, "bien pire" ?

    Quand tu formates-> plus de protection pendant un moment
    Et là, tu chopes des infections d'une autre envergure et en plus grand nombre.
    5 Avril 2007 17:10:27

    En général, j'installe windows et directement un AV + pare-feu donc les risques sont minimes je pense.

    Sur ce PC (celui que tu viens de nettoyer), l'AV n'était plus à jour depuis 209 jours..... :/  donc niveau sécurité...
    a b 8 Sécurité
    5 Avril 2007 17:13:51

    Ton CD de Windows intègre le SP2 ?
    5 Avril 2007 17:22:29

    Je vois que les virus sont d'ordre karmique sur tes pc Yama !! [:benji0102]
    5 Avril 2007 17:29:21

    Non, c'est un SP1 que j'ai mais j'installe aussi (tout de suite après l'installation et avant l'AV), le SP2 ! Un beau CD original commandé chez Microsoft. :whistle: 

    @ Prunelle : nan mais c'pas les miens. En plus, maintenant, sous Linux, je ne crains plus rien. :D 
    a b 8 Sécurité
    5 Avril 2007 17:32:56

    C'est un vrai cd ou pas ?
    Je ne te bannerai pas :D 
    5 Avril 2007 17:35:39

    Yama mefie toi, c'est un piège :D 
    a b 8 Sécurité
    5 Avril 2007 17:37:06

    Même pas en plus ;) 
    5 Avril 2007 17:37:53

    Angeldark a dit :
    C'est un vrai cd ou pas ?
    Je ne te bannerai pas :D 


    Euh..... comment dire simplement..... non ! C'est une copie d'un vrai. Et le SP2 est un original par contre.

    Mais bon, maintenant, je ne m'en sert plus vraiment. Je suis sorti du côté obscur en installant Linux. :D 
    a b 8 Sécurité
    5 Avril 2007 17:40:20

    Tu devrais intégrer le SP2 a ton vrai faux cd de Windows ;) 

    Citation :
    Je suis sorti du côté obscur en installant Linux.

    Pas drôle, tu n'auras plus de virus.
    Soit maudit Szdavid ! ! :p 
    5 Avril 2007 17:43:30

    J'y ai pensé mais les tutos parlent d'intégrer un SP2 à un XP classique, sans le SP1 déjà inclus... donc j'avais laissé tomber.

    PS : c'est plus SIM07 que tu dois maudire ;) .
    a b 8 Sécurité
    5 Avril 2007 17:46:45

    Sim07, Moi123...tous des geeks :) 

    Citation :
    J'y ai pensé mais les tutos parlent d'intégrer un SP2 à un XP classique, sans le SP1 déjà inclus... donc j'avais laissé tomber.

    Je t'ai déjà répondu normalement.
    5 Avril 2007 17:52:51

    Oui, c'est bon, j'ai eu ma réponse. Merci ;) 
    5 Avril 2007 18:10:31

    Je l'ai fait Yama, j'ai intégré le SP2 à mon original de windows qui était en SP1, tu veux le tuto ?
    5 Avril 2007 18:11:39

    Avec plaisir.
    a b 8 Sécurité
    5 Avril 2007 18:13:39

    Tu fais de la pub pour un autre forum ?! ;) 
    5 Avril 2007 18:15:34

    Merci mon coeur :D .
    5 Avril 2007 18:18:47

    Mais de rien mon amour :love: 

    @Angel: c'est pas grave du moment que le tuto est intéressant :D 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS