Votre question

Grosse Infection aidez moi !!

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Avril 2006 11:15:51

Bonjour
j'ai plusieurs icone comme celle ci

J'ai fais des scan adware et spybot + ewido + avast mais sa trouve des fichiers infectées mais a chaque fois sa revient(et sa repart pas -.-)
Merci

Autres pages sur : grosse infection aidez

23 Avril 2006 11:18:01

je vous join mon fichier hijisthis
merci bcp
Logfile of HijackThis v1.99.1
Scan saved at 11:17:44, on 23/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\rpcc.exe
D:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\TheFou_\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

23 Avril 2006 11:21:49

salut kerrigan ! :-)

fais un scan panda en ligne :
ici
et post moi le rapport de ce scan ici une fois terminé !

ps : comme tu possède avast comme antivirus, désactive-le le temps du scan !

A+ ;-)
Contenus similaires
Pas de réponse à votre question ? Demandez !
23 Avril 2006 11:34:17

Bonjour,

1/ Télécharge et installe CCleaner

http://www.clubic.com/telecharger-fiche14492-ccleaner-c...

Télécharge, installe et mets à jour ewido

http://www.infos-du-net.com/telecharger/Ewido-Security-...

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

3/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll

4/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

5/ ensuite supprime les fichiers et/ou dossiers suivants si présents :

C:\WINDOWS\system32\winbrume.dll
rpcc.exe <== fait une recherche sur ton PC
C:\WINDOWS\SYSTEM32\senssrv.dll

6/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

7/ Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.

8/ Redémarre normalement et poste le rapport Ewido et un nouveau rapport HijackThis.
23 Avril 2006 11:46:01

bonjour ,si tu a avast tu peux faire un scan manuel ;-)
23 Avril 2006 12:24:01

Merci bcp j'essaye tout de suite :p 
23 Avril 2006 14:05:20

Logfile of HijackThis v1.99.1
Scan saved at 14:04:33, on 23/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
D:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\TheFou_\Bureau\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe



---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 14:01:37, 23/04/2006
+ Somme de contrôle: EB395C8D

+ Résultats du scan:

C:\toolbar.exe -> Proxy.Wopla.r : Nettoyer et sauvegarder


::Fin du rapport
23 Avril 2006 14:08:18

Salut,

c est toi qui a installer ce logiciel:

C-Media Mixer ?
23 Avril 2006 15:04:44

oué c'est avec mon driver pk?
23 Avril 2006 19:37:02

what we must do? :p 
mici
23 Avril 2006 19:39:25

En français ca donne quoi ?
a b 8 Sécurité
23 Avril 2006 19:55:37

[mode pro en anglais]
Que devons nous faire ?
[/mode off]
23 Avril 2006 20:06:18

Re,

Merci Angeldark car moi et l'anglais ca fait 2

Donc pour en revenir sur ce sujet tu peut faire ce que naheulbeuk a conseillé plus haut c'est à dire fait un scan chez en ligne chez Panda

http://www.pandasoftware.fr/Activescan/Activescan.html

A noter : a faire sous Internet Explorer et désactive Avast! juste avant de faire le scan
7 Mai 2006 23:24:33

Incident Statut Analyse

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[fl01.ct2.comclick.com/]
Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[fe.lea.lycos.fr/]
Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.apmebf.com/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.adtech.de/]
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Valueclick No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.valueclick.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/cs.sexcounter No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.cs.sexcounter.com/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[statse.webtrendslive.com/dcsv263at10000c58f9kjuwk9_4h4e]
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.questionmarket.com/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\TheFou_\Application Data\Mozilla\Firefox\Profiles\bq02u9iz.default\cookies.txt[.247realmedia.com/]
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\TheFou_\Cookies\thefou_@2o7[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\TheFou_\Cookies\thefou_@bluestreak[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\TheFou_\Cookies\thefou_@weborama[2].txt
Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\TheFou_\Cookies\thefou_@zedo[2].txt
Adware:adware/vog No Désinfecté C:\Program Files\Internet Explorer\update.exe
Adware:Adware/Secure32 No Désinfecté C:\Program Files\paytime.exe
Adware:adware/secure32 No Désinfecté C:\Program Files\secure32.html
Virus:Bck/Alanchum.I Désinfecté C:\WINDOWS\system32\taskdir~.exe
Virus:BAT/Muma Désinfecté F:\Cours Informatique et Hack\H@cking\Ip\Scan les ports\Scanner de failles [ipscan]\ipcscan\ipcpass.dic
Hacktool:HackTool/IPCScan No Désinfecté F:\Cours Informatique et Hack\H@cking\Ip\Scan les ports\Scanner de failles [ipscan]\ipcscan\IpcScan-gui.exe


Voilou mon rapport active scan
dsl pour le retard :p 
7 Mai 2006 23:53:40

Bonsoir

* Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.

* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.

* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Lance le nettoyage avec CCleaner.

* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix avec un nouveau rapport Hijackthis.
7 Mai 2006 23:58:46

Si tu as toujours le message d'avast.

Modifie la durée timeout des tentatives de connexion : clique droit sur l'icone actif - gestion de protection résidente - dans la colonne "services installés", double clique sur courrier électronique - avancée - saisis le délai d'expiration de ton choix : par exemple 200 sec .
27 Mai 2006 02:48:47

Salut!
J'ai moi aussi chopé plusieurs infections en même tps apparemment, et grâce à plusieurs scans Avast/Spybot/Ad-Aware/HijackThis/Ccleaner/SmitfraudFix ds ttes les combinaisons possibles, g fini par me débarasser de la plupart on dirait... sauf de celui illustré ds la capture d'écran du début de post... :-(
Le msg timeout revenait ttes les 5 secondes au début, je cliquais sur "oui" ss savoir quoi faire, et je sais pas si g mal fait ms au bout d'1 moment il a arrêté d'apparaître... sauf que la petite icône avast-courrier est tjrs à droite ds la barre des tâches, et que la protection résidente d'avast me montre des msg sortants du style spam (medicine, love enhancers, and co)... g essayé de virer rpcc.exe avec HijackThis ms il finit tt le tps par revenir (mm en ss échec). Du coup, en attendant je ferme le processus en passant par ctrl-alt-supp, ms ça ne dure qu'1 tps malheureusement... :-x g téléchargé Ewido pr voir si ça faisait qqch en +, ms je ne l'ai finalement pas installé de peur qu'il fasse conflit avec avast... ça sera le cas ou c pas du tt la même chose...? Qqun peut me conseiller sur ce que je peux faire pr en finir avec ces envois involontaires de spams...?
Je précise que, à ma gde surprise, en mode ss échec, les 2 analyses tentées avec avast n'ont jams été jusqu'au bout, mon ordi s'éteint brutalement au milieu... alors que pas de pb pr arriver au bout en mode normal... Donc je me demande si ça cacherait pas encore qqch d'autre... :-?
Voilà... désolée pr le msg super long, ms bon, autant expliquer tt ce qui se passe 1 maximum dès le début, non? ;-) En tt cas, merci pr tte l'aide que vs pourrez m'apporter...!
Et voilà le log Hijackthis pr compléter le tt (je sais pas si c utile, ms bon, tt le mde le donne...):

Logfile of HijackThis v1.99.1
Scan saved at 02:13:15, on 27/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\chunk0.exe
C:\WINDOWS\system32\0mcamcap.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\DNA Digital Media Group\Nestle Fitness Virtual Coach\dcu.exe
C:\Program Files\DNA Digital Media Group\Nestle Fitness Virtual Coach\Reminder.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [chkdsk] C:\WINDOWS\system32\chunk0.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [rfzr] C:\PROGRA~1\FICHIE~1\rfzr\rfzrm.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - Startup: dcu.lnk = ?
O4 - Startup: reminder.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Download Flash with Flash Capture - C:\Program Files\Flash Capture\dl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5F7C1E8-F286-4A94-AB4C-609C6D01416B}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E882EA29-2B71-4F2A-9B96-82EDF49577A5}: NameServer = 192.168.1.1
O20 - Winlogon Notify: hpprintx - hpprintx.dll (file missing)
O20 - Winlogon Notify: htproc - htproc32.dll (file missing)
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\p08q0al5edq.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe ;-)
27 Mai 2006 09:16:39

Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\Run: [chkdsk] C:\WINDOWS\system32\chunk0.exe(pour cette ligne attend confiramtion)
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O20 - Winlogon Notify: htproc - htproc32.dll (file missing)
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\p08q0al5edq.dll (file missing)

Redémarre en mode sans échec, (en tapotant F8 au démarrage).
Assures-toi que tu as accès aux fichiers cachés.
-Explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché
"Masquer les fichiers protégers du système"->décoché

Supprimes manuellement les fichiers suivants:
C:\WINDOWS\system32\chunk0.exe( attend confirmation pour cette ligne)
C:\WINDOWS\system32\0mcamcap.exe

Vide ta corbeille.
Redémarre ton pc.

Imprime ces instructions, ou colle les dans un fichier texte.
Regarde bien l'indication en bas, avant de commencer la procédure.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=7

. Ferme toutes les fenêtres actives.
. Lance l'outil Look2Me-Destroyer.exe.
. Coche Run this program as a task
. Un message s'affichera :
"Look2Me-Destroyer will close and re-open in approximately 1 minute"-> OK
. Il se relancera après la minute, puis appuie sur le bouton Scan for L2M.
. Les icônes de ton Bureau vont disparaître.
. Le scan termine, clique sur Remove L2M
. Un nouveau message Done Scanning apparaîtra, clique sur OK.
. Suivi de Done removing infected files! Look2Me-Destroyer will now shutdown your computer -> OK.
. Ton PC va s’éteindre.
. Démarre ton PC normalement.
. Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt ,ainsi qu'un rapport HijackThis.

Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
27 Mai 2006 15:11:35

Voilà, c fait... et mwahahaha, je crois que ça a marché...! :lol:  Je vous laisse en juger par le log HijackThis, par contre, impossible de trouver celui de Look2Me-Destroyer, il n'apparaît pas ds C:... g viré rpcc.exe manuellement aussi, en + des 2 autres; il n'est pas revenu jusqu'à maintenant et la protection résidente d'avast ne me fait + défiler 1 liste de spams sortants... hourra!!
Donc je pense que le pb est résolu, ms je laisse qd même tourner l'ordi pr vérifier que ça ne revient pas...! :-? En tout cas, merci pr tt, et au moins maintenant, g 1 armée d'outils que je pourrai utiliser contre la prochaine infection...! :-D


Logfile of HijackThis v1.99.1
Scan saved at 14:45:10, on 27/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\DNA Digital Media Group\Nestle Fitness Virtual Coach\dcu.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\DNA Digital Media Group\Nestle Fitness Virtual Coach\Reminder.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [rfzr] C:\PROGRA~1\FICHIE~1\rfzr\rfzrm.exe
O4 - Startup: dcu.lnk = ?
O4 - Startup: reminder.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Download Flash with Flash Capture - C:\Program Files\Flash Capture\dl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5F7C1E8-F286-4A94-AB4C-609C6D01416B}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E882EA29-2B71-4F2A-9B96-82EDF49577A5}: NameServer = 192.168.1.1
O20 - Winlogon Notify: hpprintx - hpprintx.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
27 Mai 2006 15:15:36

Ah oui, j'oubliais... juste 1 petit truc en +, je crois que c HijackThis qui m'a rajouté 1 dossier "backups" sur le bureau... Il faut le garder au cas où, ou c comme le log, je peux le jeter...?
28 Mai 2006 11:44:18

ton log m a lair clean sinon garde le fichier backup , ca pourrait etre utile , sinon prend pas beaucoup de place.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS