Se connecter / S'enregistrer
Votre question

Problème : virus winm32.dll détect par AVG introuvable [RESOLU]

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Mai 2006 15:06:31

Boujours et merci pour votre aide :

je suis en stage ds une société informatique et un virus pas décidé à partir reste introuvable. En gros, surtt lorsque je lance ad-aware une allerte AVG me détecte un virus.

a l'écran :
VIRUS DETECTE
c:\windows\system32\winm32.dll
Cheval de troie backdoor.Generic2.UFU

je suis en train de faire a la lettre ce qui est dit ici:
http://www.infos-du-net.com/forum/210724-11-virus-voila...

mais jen suis a l'étape bitdefender : analyse en ligne

Donc si on peut mais a éliminé ce virus qui est introuvanle a son emplacement et si on peut m'expliqué pourquoi merci davance

perso peut etre quan supprimant ad-aware ca le fera plus mais mais je n'ai pas vérifier si le message apparait avec d'autre programme merci

Autres pages sur : probleme virus winm32 dll detect avg introuvable resolu

26 Mai 2006 16:26:00

Bonjour,

Télécharge le programme >>Hijackthis 1.99.1<<

Dézippe-le et mets-le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )

Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller
26 Mai 2006 16:29:13

Bonjour merci de ton aide je le fait tout de suite :) 
Contenus similaires
26 Mai 2006 16:31:25

voilà:

Logfile of HijackThis v1.99.1
Scan saved at 16:30:44, on 26/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)

26 Mai 2006 16:43:21

infection Haxdoor.

Télécharger haxfix.exe
et mets-le sur le bureau.

Ferme toutes les fenêtres.

Lance haxfix.exe pour l'installer
Lors de l'installation, coche "Créer une icône sur le Bureau"
A la fin de l'installation, coche "Exécuter HaxFix"

Choisis l'option "2. Run auto fix"
(l'odinateur redémarrera)

Poste le rapport situé ici : C:\haxfix.txt
et un nouveau rapport HJT.
26 Mai 2006 16:49:17

Voici le rapport Hijack:


Logfile of HijackThis v1.99.1
Scan saved at 16:46:53, on 26/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\cmd.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)


Voici le rapport Hax:

HAXFIX logfile - by Marckie
--------------
version 2.43
26/05/2006 16:46:07,34

Auto Haxdoorfix

Mince je l'ai lancé une 2eme fois du coup ca m'a certainement mangé le bon rapport :( 

Tu voit kk chose dans le Hijack ?
26 Mai 2006 16:54:56

Ooooh pb résolu il semblerais le message d'erreur ne revien plus . Merci bcp !!! très efficace GG. à bientot byebye.
26 Mai 2006 17:05:51

il reste des trucs à virer.

1/ Télécharge et installe CCleaner

2/ Télécharge, installe et mets à jour ewido
Lors de l'installation, décoche les 2 cases "Install background guard" et "Install scan via context menu"

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

4/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)

O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab/fr/phoneacce...
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_10...
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR...

O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll <-- cette ligne ne devrait plus être là ! :-? :-?

O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing)
O23 - Service: chckntfs - Unknown owner - C:\WINDOWS\chckntfs.exe (file missing)
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe (file missing)
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)


5/ Supprime les services infectieux comme ceci :

Démarrer/Exécuter/ tape sc delete BitSec puis Entrée
Démarrer/Exécuter/ tape sc delete chckntfs puis Entrée
Démarrer/Exécuter/ tape sc delete lsass puis Entrée
Démarrer/Exécuter/ tape sc delete NTSec puis Entrée
Démarrer/Exécuter/ tape sc delete Perfhmon puis Entrée
Démarrer/Exécuter/ tape sc delete "windows security centre" puis Entrée

6/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

7/ Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.

8/ Redémarre normalement, poste le rapport d'ewido ainsi qu'un nouveau rapport HijackThis.

9/ et pense à mettre ton système à jour via http://windowsupdate.microsoft.com/
29 Mai 2006 08:10:49

MERCI BCQ
29 Mai 2006 09:58:01

Bien je te file le rapport ewido et le HijackThis :


---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 09:52:42, 29/05/2006
+ Somme de contrôle: E3ABCA7E

+ Résultats du scan:

HKU\.DEFAULT\Software\DNS -> Adware.Shorty : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\DNS -> Adware.Shorty : Nettoyer et sauvegarder
C:\WINDOWS\system32\eraseme_44065.exe -> Backdoor.Aimbot.cc : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_63124.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_81084.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\setup_85726.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP2176 -> Backdoor.Rbot.rp : Nettoyer et sauvegarder
C:\WINDOWS\system32\TFTP3512 -> Backdoor.Rbot : Nettoyer et sauvegarder


::Fin du rapport












Logfile of HijackThis v1.99.1
Scan saved at 09:54:22, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)

29 Mai 2006 10:07:47

Bonjour,

1/ Lance HijackThis
Clique sur le bouton Open the Misc Tools Section
Clique sur Delete a file on reboot...
Dans "Nom du fichier :" colle C:\WINDOWS\SYSTEM32\winm32.dll puis clique sur Ouvrir
À la question "Voulez-vous redémarrer maintenant ?" clique sur Oui

2/ Fait un scan en ligne chez Kaspersky et poste le rapport :

http://webscanner.kaspersky.fr/
29 Mai 2006 10:12:42

Je le fait dessuite merci reste par la lol
29 Mai 2006 11:50:28

l'analyse enfin terminé je met le rapport :





-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
lundi 29 mai 2006 11:47:35
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 29/05/2006
Enregistrements dans la base antivirus Kaspersky : 185094
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
H:\

Statistiques de l'analyse:
Total d'objets analysés :: 90183
Nombre de virus trouvés: 6
Nombre d'objets infectés: 33
Nombre d'objets suspects: 2
Durée de l'analyse: 00:45:26

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip/gimmy2.exe Suspect : Password-protected-EXE ignoré
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip ZIP: suspect - 1 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg NSIS: infecté - 3 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0264704.exe NSIS: infecté - 3 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0268752.exe NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP208\A0271759.exe NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\System Volume Information\_restore{345970E1-C7B5-4416-9101-79F09D3C7A19}\RP209\A0273869.exe NSIS: infecté - 2 ignoré
C:\WINDOWS\system32\eraseme_53863.exe Infecté: Backdoor.Win32.SdBot.akc ignoré

Analyse terminée.
29 Mai 2006 11:51:46

A première vu je suis pas pret d'avoir cet ordi clean ???
lol
je compte sur vous merci !!!
29 Mai 2006 13:47:12

Re,

En complement du poste de mogadon :

1/ Vide la quarantaine de Spybot

2/ Supprime ce fichier :

C:\WINDOWS\system32\eraseme_53863.exe

3/ Refait un nouveau scan chez Kaspersky et poste le rapport
29 Mai 2006 13:58:20

d'après cette ligne :
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll

il reste Haxdoor

>> Lance à nouveau HaxFix

>> Choisis l'option "3. Run manual fix"

>> lorsqu'il te demande "insert the Haxdoor key" tape winm puis entrée
attends qq instants pendant qu'il travaille
ensuite à la question "Do you want to add a new Haxdoorkey?" tape N puis Entrée

>> une fois terminé, poste le rapport situé ici : C:\haxfix.txt
et un nouveau rapport HJT.
29 Mai 2006 14:03:55

Merci je revient de ma pause (je suis en stage ds une boite) je me remais a vous donc je fait dessuite ce que vous 3 mavais di.

ps : les diff analyse vont prendre un peu de tps dc je vous passe les rapport des que c pret

merci encore
29 Mai 2006 15:17:03

Bien comme dder voila :

1) le rapport kaspersky
2) le rapport haxfix
3) (je suis pas sur de filé le bon) le rapport "rapport HJT.






1)

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
lundi 29 mai 2006 15:07:23
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 29/05/2006
Enregistrements dans la base antivirus Kaspersky : 185117
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
H:\

Statistiques de l'analyse:
Total d'objets analysés :: 78600
Nombre de virus trouvés: 5
Nombre d'objets infectés: 20
Nombre d'objets suspects: 0
Durée de l'analyse: 00:42:28

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47CL81I3\z[1].jpg NSIS: infecté - 3 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1Q9AZ0V\z[1].jpg NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[1].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[2].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\lewl[3].exe NSIS: infecté - 2 ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OXOPMBWP\z[1].jpg NSIS: infecté - 2 ignoré
C:\WINDOWS\system32\eraseme_53863.exe Infecté: Backdoor.Win32.SdBot.akc ignoré

Analyse terminée.




2)

HAXFIX logfile - by Marckie
--------------
version 2.43
29/05/2006 15:09:05,29

Manual Haxdoorfix

Adding haxdoorkeys to delete...
winm


haxdoor key: winm
searching for services....
services found
deleting services.....
[SWSC] DeleteService SUCCESS
[SWSC] DeleteService SUCCESS


rebooting the computer.....


haxdoor key: winm
searching for services....
services not found

checking if files are found.....
winm32.dll
winm32.sys
winm64.sys

deleting files.....

checking if files are deleted.....


checking for other files.....
qy.sys
qz.dll
qz.sys
klogini.dll
p3.ini
ps.a3d

deleting other files.....

checking if the files are deleted.....


Finished




3)

SmitFraudFix v2.45

Rapport fait à 11:41:38,73, 22/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\smit\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\ms1.exe supprimé
C:\uniq supprimé
C:\WINDOWS\gimmygames.dat supprimé
C:\WINDOWS\warnhp.html supprimé
C:\WINDOWS\system32\dlh9jkdq?.exe supprimé
C:\Program Files\secure32.html supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin

29 Mai 2006 15:21:09

Re,

Ta version de SmitfraudFix est périmée donc supprime la et fait comme suit.

1/ Télécharge SmitfraudFix de S!Ri :

http://siri.urz.free.fr/Fix/SmitfraudFix.php

Tu le dézippes sur le Bureau.

2/ Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.

3/ Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

4/ Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

5/ Redémarres normalement et communiques le deuxième rapport de SmitfraudFix
avec un nouveau rapport Hijackthis.
29 Mai 2006 15:24:15

LOOOOOOOOOOOOOOOOOOOOOOOOL



dsl tien voila le HJT :




Logfile of HijackThis v1.99.1
Scan saved at 15:22:18, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)

29 Mai 2006 15:31:06

Voila le rapport de SmitFraudFix v2.50



SmitFraudFix v2.50

Rapport fait à 15:29:05,32, 29/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\albespy\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\albespy\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

29 Mai 2006 15:37:08

COMME CA COMMENCE A ETRE LE BORDEL LOL
je di ou jen suis.

Bien, les derniers rapport sont ceux avant le redémarrage en mode sans échec

maintenant je vous passe ceux du redémarage en mode normal (après bien sur le nettoyage des disque)
29 Mai 2006 15:43:50

1) rapport HJT
2) rapport SmitFraudFix v2.50




1) Logfile of HijackThis v1.99.1
Scan saved at 15:40:27, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)





2)

SmitFraudFix v2.50

Rapport fait à 15:33:30,89, 29/05/2006
Executé à partir de C:\Documents and Settings\albespy\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

29 Mai 2006 16:20:25

c'est presque bon ;-)

1/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

2/ ensuite supprime les fichiers et/ou dossiers suivants :

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\--> vide ce dossier sauf index.dat
C:\WINDOWS\system32\eraseme_53863.exe

3/ Supprime le service infectieux comme ceci :

Démarrer/Exécuter/ tape sc delete "windows security centre" puis Entrée

4/ Pense aussi à ceci :

- Mets ton système à jour via http://windowsupdate.microsoft.com/
- Installe un pare-feu, par exemple ZoneAlarm qui est simple et gratuit.
a b 8 Sécurité
29 Mai 2006 16:41:01

Pour Esteban,
Haxfix n'a pas marche parce qu'il fallait faire l'option 1 avant led autres, non ?
29 Mai 2006 16:50:47

Voila j'ai suivi a la lettre tt les conseils donc je te donne un petit dernier HJT pour voir si tt va bien :

Logfile of HijackThis v1.99.1
Scan saved at 16:47:50, on 29/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\albespy\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\pas touche\reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~2\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~2\OFFICE~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)




et je fais une dernière analyse antivirus en ligne pour voir s'il trouve qqc. Si jamais il trouve j'envois le rapport.
29 Mai 2006 16:59:24

bon l'analyse na pas terminé mais elle ma déja trouvé 5 virus donc j'envois le rapport des que c'est fini.
a b 8 Sécurité
29 Mai 2006 17:04:09

Lance Hijackthis-> Open the Misc Tools Section-> Delete a NT Service
Tape: " windows security centre " puis valide.
29 Mai 2006 17:15:56

il veut pas

MSG d'erreur :
il dit windows security centre is enable and or running

pourtant jai redémarré en mode sans échec

met ta rép je revien demain 8h je fini le taf


UN GRAND MERCI A TOUS LE MONDE POUR AUJOURD'HUI ON A BIEN AVANCE

a demain
29 Mai 2006 18:21:26

Citation :

Angeldark a écrit :
Pour Esteban,
Haxfix n'a pas marche parce qu'il fallait faire l'option 1 avant led autres, non ?


Bonsoir Angeldark,

à mon avis l'option 1 crée simplement un rapport informatif sur la présence de Haxdoor et n'influe pas sur le bon fonctionnement de l'option 2

cela dit l'option 1 est recommandée mais je l'ai zappée (c'est vrai que c'est pas une bonne idée) car j'étais sûr que Haxdoor était bien présent...
29 Mai 2006 18:23:31

- double post -
:-?
30 Mai 2006 09:07:38

MON PROB TOUCHE A LA FIN

la supression (sc delete "windows security centre") na pas marché car estéban me l'avais déja fait suprimé page 1.

sinon il reste 5 virus et 20 infecté a la dernière analyse antivirus.

voila le rapport :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
mardi 30 mai 2006 08:49:08
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 30/05/2006
Enregistrements dans la base antivirus Kaspersky : 185289
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Statistiques de l'analyse:
Total d'objets analysés :: 29922
Nombre de virus trouvés: 5
Nombre d'objets infectés: 20
Nombre d'objets suspects: 0
Durée de l'analyse: 00:24:22

Nom de l'objet infecté / Nom du virus / Dernière action
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc1\z[1].jpg NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[1].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[2].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe/stream Infecté: Trojan-Downloader.Win32.Harnig.bd ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\lewl[3].exe NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bg ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc2\z[1].jpg NSIS: infecté - 2 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream/data0001 Infecté: Trojan-Downloader.Win32.Agent.aic ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream/data0002 Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg/stream Infecté: Trojan-Downloader.Win32.Harnig.bh ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc4\z[1].jpg NSIS: infecté - 3 ignoré
C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc6.exe Infecté: Backdoor.Win32.SdBot.akc ignoré

Analyse interrompue par l'utilisateur !

INTERROMPUE CAR JE SAIS QUE IL NY EN A PAS APRES.

donc es ce que si avec la méthothe du sc delete dans exécuté je prend tt les fichier et que je les vire cela peut marché?

exemple : sc delete "C:\RECYCLER\S-1-5-21-436374069-1060284298-725345543-1003\Dc6.exe"




Sinon vous avez di de faire loption 1 du haxfix alors je lai fai voila le rapport :

HAXFIX logfile - by Marckie
--------------
version 2.43
30/05/2006 8:15:03,34

checking for a3d files....
a3d files not found

checking for matching notify keys....
no matching notify keys found

checking for matching services....
matching services found
Aspi32

checking for matching safeboot services....
no matching safeboot services found


Avec tt ca et mon dernier HJT encore bon pouvez vous me dire quoi faire?

merci
30 Mai 2006 09:26:47

1/ pour tout ce qui est dans C:\RECYCLER\
--> vide ta corbeille

2/ la commande sc delete permet uniquement de supprimer un service

3/ pour Haxdoor c'est bon, il n'est plus là ;-)

4/ pour cette ligne résiduelle :
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)

essaie ceci :

Démarrer/Exécuter/ tape cmd puis Entrée
une fenêtre noire va s'ouvrir.
tape :
sc config "windows security centre" start= disabled puis entrée
sc stop "windows security centre" puis entrée
sc delete "windows security centre" puis entrée

ensuite ferme la fenêtre noire.
30 Mai 2006 09:28:59

Message Edité
30 Mai 2006 09:29:42

MERCI A TOI ESTEBAN ET AUX AUTRES
C BON TOUT EST NIKEL
BY
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS