Se connecter / S'enregistrer
Votre question

trojan et hggfg.dll

Tags :
  • Dll
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Avril 2006 10:23:31

Bonjour à tous

Je suis infecté par différents "petits" trucs.
Tout d'abord Norton me détecte un problème avec hggfg.dll dans c:\winnt\system32. Soit disant un download.trojan. De plus je possède spy sweeper qui me détecte un trojan downloader conhook et des trojan cachecachekit dans le répertoire c:\winnt\temp.
Je ne peux démarrer monordi en mode normal que si la protection en temps réel de norton est désactivée. De plus, spy sweeper me dit à chaque démarrage tetriz3 essaie de s'installer. Même si je supprime, il réapparait... J'ai lu qu'il s'agissait de spy sherrif, mais je ne sais pas comment l'enlever.
Enfin, l'ordi me demande tout le temps de me connecter à internet.
Quelqu'un peut il m'aider?

Merci beaucoup

Franck

Autres pages sur : trojan hggfg dll

7 Avril 2006 11:00:07

Re bonjour

Voici min hijack

Merci de m'aider

Logfile of HijackThis v1.99.1
Scan saved at 10:57:03, on 07/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\WINNT\system32\tetriz3.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\DOCUME~1\FLO_FR~1\MESDOC~1\PPATCH~1\javaw.exe
C:\Documents and Settings\Flo_Franck\Application Data\W?nSxS\t?skmgr.exe
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\system32\sxlntr.exe
F3 - REG:win.ini: load=C:\WINNT\system32\sxlntr.exe
F3 - REG:win.ini: run=C:\WINNT\system32\sxlntr.exe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\hggfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sf.exe
O4 - HKLM\..\Run: [SySSL] syssl.exe
O4 - HKLM\..\Run: [Repair Service Manager] C:\WINNT\system32\mpcsvc.exe
O4 - HKLM\..\Run: [expload.exe] C:\WINNT\system32\expload.exe
O4 - HKLM\..\Run: [expload.exe] C:\WINNT\system32\expload.exe
O4 - HKLM\..\Run: [tetriz3] C:\WINNT\system32\tetriz3.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunServices: [SySSL] syssl.exe
O4 - HKLM\..\RunServices: [tetriz3] C:\WINNT\system32\tetriz3.exe
O4 - HKLM\..\RunServices: [tetriz3] C:\WINNT\system32\tetriz3.exe
O4 - HKLM\..\RunServices: [ntdll.dll] C:\WINNT\system32\tetriz3.exe
O4 - HKCU\..\Run: [Elmt] "C:\DOCUME~1\FLO_FR~1\MESDOC~1\PPATCH~1\javaw.exe" -vt yazr
O4 - HKCU\..\Run: [Elmt] "C:\DOCUME~1\FLO_FR~1\MESDOC~1\PPATCH~1\javaw.exe" -vt yazr
O4 - HKCU\..\Run: [Repair Service Manager] C:\WINNT\system32\mpcsvc.exe
O4 - HKCU\..\Run: [Ogs] C:\Documents and Settings\Flo_Franck\Application Data\W?nSxS\t?skmgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zyloml...
O20 - Winlogon Notify: CSCSettings - C:\WINNT\system32\fpj4031qe.dll
O20 - Winlogon Notify: hggfg - C:\WINNT\SYSTEM32\hggfg.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: SensSrv - C:\WINNT\SYSTEM32\senssrv.dll
O20 - Winlogon Notify: Syncmgr - C:\WINNT\
O20 - Winlogon Notify: URL - C:\WINNT\system32\nwmsmgr.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\hbnmjfof.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RmxvX0ZyYW5jaw\command.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)

Contenus similaires
Pas de réponse à votre question ? Demandez !
7 Avril 2006 12:43:10

Merci Trojan pour ton aide

J'ai fait tout ce que tu m'as, scan d'ewido et un ccleaner ensuite.
Voici donc mon nouveau hijack

Logfile of HijackThis v1.99.1
Scan saved at 12:34:49, on 07/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\explorer.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Documents and Settings\Flo_Franck\Application Data\W?nSxS\t?skmgr.exe
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINNT\system32\sxlntr.exe
F3 - REG:win.ini: run=C:\WINNT\system32\sxlntr.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sf.exe
O4 - HKLM\..\Run: [SySSL] syssl.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [IExplore adviser] Regsvr32.exe /s C:\WINNT\system32\lxdenprof.dll
O4 - HKLM\..\RunServices: [SySSL] syssl.exe
O4 - HKLM\..\RunServices: [ntdll.dll] C:\WINNT\system32\tetriz3.exe
O4 - HKCU\..\Run: [hdloker] C:\WINNT\system32\sxlntr.exe
O4 - HKCU\..\Run: [Elmt] "C:\DOCUME~1\FLO_FR~1\MESDOC~1\PPATCH~1\javaw.exe" -vt yazr
O4 - HKCU\..\Run: [Repair Service Manager] C:\WINNT\system32\mpcsvc.exe
O4 - HKCU\..\Run: [Ogs] C:\Documents and Settings\Flo_Franck\Application Data\W?nSxS\t?skmgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zyloml...
O20 - Winlogon Notify: hggfg - hggfg.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: OfficeUpdate - C:\WINNT\system32\l2n40c5qef.dll
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
O20 - Winlogon Notify: Syncmgr - C:\WINNT\
O20 - Winlogon Notify: URL - C:\WINNT\system32\nwmsmgr.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\hbnmjfof.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RmxvX0ZyYW5jaw\command.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)



De plus j'ai eu des messages d'erreurs de rundll:

Une exception s'est produite lors de la tentative d'exécution de c:\winnt\system32\kwdit142.dll : dll getversion. Le deuxième message était:
c:\winnt\system32\guard.tmp : une routine d'initialisation d'une librairie dynamique (DLL) a échoué.

Sinon, je continue à avoir des fenêtres qui s'ouvrent quand je suis connecté (plus rarement je dois l'admettre).
Enfin, j'ai acheté spy sweeper il y a quelques jours, et là quand j'ai redémarrer mon ordi, il y a eu un message d'erreurs avant que windows ait fini de s'ouvrir, et il n'est plus en mémoire. Je ne sais pas si je m'expliuque bien et que tu vas comprendre...

Merci beaucoup pour ton aide

Franck
7 Avril 2006 14:12:28

J'ai refait un scan avec ewido, il trouve toujours des problèmes, et n'arrive pas à supprimer look2me.
Voici le rapport

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 14:03:28, 07/04/2006
+ Somme de contrôle: FE7209

+ Résultats du scan:

[924] C:\WINNT\system32\nedskcc.dll -> Adware.Look2Me : Erreur durant le nettoyage
[976] C:\WINNT\system32\nedskcc.dll -> Adware.Look2Me : Erreur durant le nettoyage
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@ehg-neuftelecom.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@paypopup[1].txt -> TrackingCookie.Paypopup : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
C:\WINNT\system32\kwdit142.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINNT\system32\mdpatcha.dll -> Adware.Look2Me : Nettoyer et sauvegarder


::Fin du rapport

De plus à chaque fois que je redémarre mon ordi, il me met qu'il ne peut plus lancer sxlntr.exe.
Est-ce que quelqu'un sait ce que c'est?

Merci de votre aide.

Franck
7 Avril 2006 14:16:41

= télécharger désinstallateur look2me
http://www.atribune.org/ccount/click.php?id=7
( il est prudent de copier ou imprimer les consignes)
Fermer toutes les fenêtres actives.
=Double-clique Look2Me-Destroyer.exe
= Cocher Run this program as a task
= message: "Look2Me-Destroyer will close and re-open in approximately 1 minut". Cliquer OK
= relance après 1 minute, cliquer sur le bouton Scan for L2M; plus d’icône Bureau
…Si pas de relance auto après la minute. Redémarrer et nouvelle tentative
= a la fin du scan, clic Remove L2M
= Done Scanning OK.
= :D one removing infected files! Look2Me-Destroyer will now shutdown your computerOK.
= Arrêt de l’ordi.
= le redemarrer
= on trouve un rapport dans :C:\Look2Me-Destroyer.txt
7 Avril 2006 14:28:22

Salut,

Désinfection Smitfraud

1/ Télécharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Poste le rapport ici

2/ Redémarre en mode sans échec

Redémarre l'ordinateur. Après les écritures du BIOS, appuies sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.

Dans ce menu, tu dois pouvoir choisir le mode sans échec (celà se passe avec les flèches et Entrée pour valider).

Le démarrage en mode sans échec est souvent relativement long. Si tu as des écritures blanches bizarres, ne t'inquiètes pas.
Prend juste ton mal en patience.

Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.

3/ Redémarre normalement et poste le 2ème rapport de SmitfraudFix

---------------------------------------------------------

Tu as une infection LooK2Me :

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien les trois petites notes au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=7

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
* Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un rapport HijackThis! dans ta prochaine réponse.

#Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

##Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.

###Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/new/images/lib/MSWINSC...
7 Avril 2006 14:48:01

Merci à tous pour votre aide

Voici le rapport de look2me-destroyer


Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 07/04/2006 14:30:02

Infected! C:\WINNT\system32\l40u0ed9eh0.dll
Infected! C:\WINNT\system32\nwmsmgr.dll
Infected! C:\WINNT\system32\l40u0ed9eh0.dll
Infected! C:\WINNT\system32\nedskcc.dll
Infected! C:\WINNT\system32\o0nsla571d.dll

Attempting to delete infected files...

Attempting to delete: C:\WINNT\system32\l40u0ed9eh0.dll
C:\WINNT\system32\l40u0ed9eh0.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\l40u0ed9eh0.dll
C:\WINNT\system32\l40u0ed9eh0.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\nedskcc.dll
C:\WINNT\system32\nedskcc.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\o0nsla571d.dll
C:\WINNT\system32\o0nsla571d.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Setup
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Syncmgr
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\URL

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{09C7814A-2FF9-49C6-8B6F-C57E2DF5E0EF}"
HKCR\Clsid\{09C7814A-2FF9-49C6-8B6F-C57E2DF5E0EF}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{5C8A967D-3051-4C36-A3CC-8A1B32118B84}"
HKCR\Clsid\{5C8A967D-3051-4C36-A3CC-8A1B32118B84}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BEDFD0E0-22E3-4C35-B490-847AC188601C}"
HKCR\Clsid\{BEDFD0E0-22E3-4C35-B490-847AC188601C}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{CB6E5FC7-058D-422E-BE95-3971089305C6}"
HKCR\Clsid\{CB6E5FC7-058D-422E-BE95-3971089305C6}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{8E6F1700-D60D-420D-AA98-E9AB7F18FDFA}"
HKCR\Clsid\{8E6F1700-D60D-420D-AA98-E9AB7F18FDFA}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded


Je regarde la suite de vos messages de suite

Merci beaucoup

Franck
7 Avril 2006 14:53:13

Au fait à quoi sert smitfraud?

Je n'ai pas de pare-feu, j'ai juste Norton Antivirus, spy sweeper (j'ai acheté la licence), et ewido pour 15 jours. C'est tout. Il vaudrait peut être aussi un anti ad-aware, je ne sais pas.

Sinon, j'ai un petit problème après avoir fait look2me destroyer, car quick launch est apparu dans ma barre d'outil, et je n'ai plus par contre les icones de raccourci bureau ou IE...

Merci encore

Franck
7 Avril 2006 14:57:06

Voici le rapport de smitfraud

SmitFraudFix v2.28

Rapport fait à 14:56:44,47, ven. 07/04/2006
Executé à partir de C:\Documents and Settings\Flo_Franck\Bureau\ordi\smitfraud\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\exit PRESENT !
C:\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

C:\WINNT\country.exe PRESENT !
C:\WINNT\kl1.exe PRESENT !
C:\WINNT\secure32.html PRESENT !
C:\WINNT\tool1.exe PRESENT !
C:\WINNT\tool5.exe PRESENT !
C:\WINNT\toolbar.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

C:\WINNT\system32\bin29a.log PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Flo_Franck\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Flo_Franck\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Merci

Franck
7 Avril 2006 15:01:59

Re,

Normalement ton PC devrait déjà tourner mieux !

Reposte un rapport HijackThis
7 Avril 2006 15:26:10

Voilà j'ai tout fait comme tu me l'a dit...
Donc voici le deuxième rapport de smitfraud en mode sans échec:

SmitFraudFix v2.28

Rapport fait à 15:05:37,89, ven. 07/04/2006
Executé à partir de C:\Documents and Settings\Flo_Franck\Bureau\ordi\smitfraud\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\exit supprimé
C:\secure32.html supprimé
C:\WINNT\country.exe supprimé
C:\WINNT\kl1.exe supprimé
C:\WINNT\secure32.html supprimé
C:\WINNT\tool1.exe supprimé
C:\WINNT\tool5.exe supprimé
C:\WINNT\toolbar.exe supprimé
C:\WINNT\system32\bin29a.log supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin



Et voici un nouveau hijack

Logfile of HijackThis v1.99.1
Scan saved at 15:14:35, on 07/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\system32\spoolsv.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Documents and Settings\Flo_Franck\Application Data\W?nSxS\t?skmgr.exe
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINNT\system32\sxlntr.exe
O2 - BHO: (no name) - {9C5875B5-93F3-429D-FF34-660B206D897A} - C:\WINNT\system32\lxdenprof.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sf.exe
O4 - HKLM\..\Run: [SySSL] syssl.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunServices: [SySSL] syssl.exe
O4 - HKLM\..\RunServices: [ntdll.dll] C:\WINNT\system32\tetriz3.exe
O4 - HKCU\..\Run: [Elmt] "C:\DOCUME~1\FLO_FR~1\MESDOC~1\PPATCH~1\javaw.exe" -vt yazr
O4 - HKCU\..\Run: [Repair Service Manager] C:\WINNT\system32\mpcsvc.exe
O4 - HKCU\..\Run: [Ogs] C:\Documents and Settings\Flo_Franck\Application Data\W?nSxS\t?skmgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potf_x....
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zyloml...
O20 - Winlogon Notify: hggfg - hggfg.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\hbnmjfof.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RmxvX0ZyYW5jaw\command.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)



Sinon, en effet ça va mieux, beaucoup même, mais je pense qu'il doit rester des merdes encore, car j'ai encore de petits problèmes. En effet, à chaque fois que je redémarre mon ordi, il ne peut plus se connecter à internet (numérotation impossible). Il faut que je refasse les tests de connexion (outils de diagnostics) de ma neuf box pour que ça remarche. Ceci est apparu après avoir utilisé ccleaner. Je ne sais pas si y'a des raisons à cela, mais c'est un petit peu chiant. Ce n'est plus alors google (ma page de départ) qui souvre, mais msn alors que je n'ai pas msn sur mon ordi...
Enfin, spysweeper continue de me dire qu'il bloque des sites qui essaient de se connecter à mon ordi (le dernier en date étant e.rn11.com????

Voilà, si quelqu'un peut voir tout ça.

Merci énormément

franck
7 Avril 2006 15:47:25

Re,

1 Télécharge, installe et mets à jour ewido

http://www.infos-du-net.com/telecharger/Ewido-Security-...

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

3/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
F3 - REG:win.ini: load=C:\WINNT\system32\sxlntr.exe
O2 - BHO: (no name) - {9C5875B5-93F3-429D-FF34-660B206D897A} - C:\WINNT\system32\lxdenprof.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sf.exe
O4 - HKLM\..\Run: [SySSL] syssl.exe
O4 - HKLM\..\RunServices: [SySSL] syssl.exe
O4 - HKLM\..\RunServices: [ntdll.dll] C:\WINNT\system32\tetriz3.exe
O4 - HKCU\..\Run: [Elmt] "C:\DOCUME~1\FLO_FR~1\MESDOC~1\PPATCH~1\javaw.exe" -vt yazr
O4 - HKCU\..\Run: [Repair Service Manager] C:\WINNT\system32\mpcsvc.exe
O4 - HKCU\..\Run: [Ogs] C:\Documents and Settings\Flo_Franck\Application Data\W?nSxS\t?skmgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.c...
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potf_x....
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zyloml...
O20 - Winlogon Notify: hggfg - hggfg.dll (file missing)
O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RmxvX0ZyYW5jaw\command.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)

4/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

5/ ensuite supprime les fichiers et/ou dossiers suivants si présents :

C:\WINNT\system32\lxdenprof.dll
C:\sf.exe
syssl.exe <== fait une recherche
C:\WINNT\system32\tetriz3.exe
C:\DOCUME~1\FLO_FR~1\MESDOC~1\PPATCH~1\javaw.exe
C:\WINNT\system32\mpcsvc.exe
C:\Documents and Settings\Flo_Franck\Application Data\W?nSxS <== le dossier
C:\WINNT\RmxvX0ZyYW5jaw <== le dossier
C:\Program Files\Network Monitor <== le dossier
C:\WINNT\system32\netdrvr.exe

6/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

7/ Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.

8/ Redémarre normalement et poste le rapport Ewido et un nouveau rapport HijackThis.
7 Avril 2006 16:09:24

Re bob,

Voilà un scan de ewido avant de faire tout ce que tu m'as dit de faire. Comme tu peux le voir, les virus continuent à arriver...
De plus j'ai toujours mon problème de connexion à IE à chaque fois que je coupe. Je suis obligé de passer par les outils de diagnostics du neuf pour que ça remarche, c'est super chiant...
Enfin j'ai toujours une fenêtre de pub qui s'ouvre sans la voir sans la barre d'outils. Elle s'appelle advertisement.

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 16:05:45, 07/04/2006
+ Somme de contrôle: 1061F839

+ Résultats du scan:

C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder


::Fin du rapport


Merci pour ton aide Bob, je vais en mode sans échecs maintenant

Franck
7 Avril 2006 16:55:09

Je suis en train de suivre ce que tu m'as dit de faire bob (je suis sur un autre ordi), mais j'ai quelques soucis.

Tout d'abord impossible de trouver certains fichiers à supprimer (malgré le fait que j'ai bien coché ou décoché les options des fichiers ou dossiers).

Voici la liste des fichiers non effacés:

C:\WINNT\system32\lxdenprof.dll
C:\sf.exe
syssl.exe <== fait une recherche
C:\WINNT\system32\tetriz3.exe
C:\DOCUME~1\FLO_FR~1\MESDOC~1\PPATCH~1\javaw.exe
C:\WINNT\system32\mpcsvc.exe
C:\WINNT\system32\netdrvr.exe

Merci pour ton aide

Franck

7 Avril 2006 17:36:56

Re à tous,

Bon voilà, j'ai fini ce que tu m'as dit de faire Bob.
Hormis le fait que je n'ai pas pu trouver les fichiers à éliminer (voir message plus haut), voici les rapports:

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 17:23:56, 07/04/2006
+ Somme de contrôle: 3CA21943

+ Résultats du scan:

Pas de fichiers infectés trouvés!


::Fin du rapport

et le nouveau hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:30:15, on 07/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\system32\MsgSys.EXE
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\hbnmjfof.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RmxvX0ZyYW5jaw\command.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)

Il reste encore 2 lignes avec des file missing.
Sinon, comme je te l'ai dit, je ne possède que spysweeper et norton antivirus. Me faut il un firewall et un ad aware en plus , sachant que je ne possède ewido que pour 15 jours. Faut-il l'acheter? Serai-je toujours protéger dans 15 jours?
Comment savoir si je ne suis plus enfin infecté par des virus?
Bref, tout pleins de questions quoi...

Merci pour votre aide à tous

Franck
7 Avril 2006 20:17:21

Bonsoir à tous,

Voici mes dernières analyses, et elles ne semblent pas être très bonnes...

Tout d'abord Norton n'a rien trouvé....Etonnant, non?
Ensuite voici le rapport de ewido:

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 20:12:16, 07/04/2006
+ Somme de contrôle: B872051F

+ Résultats du scan:

C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@as1.falkag[2].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder


::Fin du rapport

Celui de spy sweeper:

18:07: | Début de session, vendredi 7 avril 2006 |
18:07: Spy Sweeper démarrée
18:07: Analyse lancée avec la version des définitions 651
18:07: Démarrage de l’analyse de la mémoire
18:21: Analyse de la mémoire terminée, temps passé : 00:13:48
18:21: Démarrage de l’analyse du Registre
18:23: Trouvé Adware: 180search assistant/zango
18:23: HKCR\clsid\{d676f999-4608-4dc5-a135-4f51f4212739}\ (1 traces secondaires) (ID = 792270)
18:23: HKLM\software\classes\clsid\{d676f999-4608-4dc5-a135-4f51f4212739}\ (1 traces secondaires) (ID = 792320)
18:24: Trouvé Adware: command
18:24: HKLM\software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}\ (7 traces secondaires) (ID = 892523)
18:24: Trouvé Adware: dollarrevenue
18:24: HKLM\software\policies\ || {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} (ID = 916803)
18:24: Trouvé Trojan Horse: spamrelayer_alpiok
18:24: HKCR\clsid\{6368d1fc-6f5c-4f1b-b164-e67214f678e9}\ (3 traces secondaires) (ID = 945518)
18:24: HKLM\software\classes\clsid\{6368d1fc-6f5c-4f1b-b164-e67214f678e9}\ (3 traces secondaires) (ID = 945546)
18:24: HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\ || systray.exbr (ID = 945548)
18:24: HKLM\software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}\ || nomodify (ID = 958653)
18:24: HKLM\software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}\ || noremove (ID = 958654)
18:24: HKLM\software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}\ || norepair (ID = 958655)
18:24: HKLM\system\currentcontrolset\services\cmdservice\ (12 traces secondaires) (ID = 958670)
18:24: HKLM\software\policies\ || {6bf52a52-394a-11d3-b153-00c04f79faa6} (ID = 967836)
18:24: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\0000\ (6 traces secondaires) (ID = 1016064)
18:24: HKLM\system\currentcontrolset\enum\root\legacy_cmdservice\ (8 traces secondaires) (ID = 1016072)
18:24: HKCR\interface\{610e0e95-8f2f-4b71-966e-f91701d4dc2c}\ (8 traces secondaires) (ID = 1027782)
18:24: HKCR\interface\{67a89831-6bc7-4cc0-a2c3-560f9a581e64}\ (8 traces secondaires) (ID = 1027791)
18:24: HKLM\software\classes\interface\{67a89831-6bc7-4cc0-a2c3-560f9a581e64}\ (8 traces secondaires) (ID = 1027841)
18:24: HKLM\software\policies\ || {645ff040-5081-101b-9f08-00aa002f954e} (ID = 1036890)
18:24: HKLM\software\microsoft\windows\currentversion\uninstall\{a394e835-c8d6-4b4b-884b-d2709059f3be}\ (7 traces secondaires) (ID = 1110756)
18:24: HKLM\software\microsoft\drsmartload2\ (1 traces secondaires) (ID = 1134137)
18:24: HKLM\software\microsoft\windows\currentversion\uninstall\{3877c2cd-f137-4144-bdb2-0a811492f920}\ || uninstallstring (ID = 1134952)
18:25: Analyse du Registre terminée, temps passé :00:03:59
18:25: Démarrage de l’analyse des cookies
18:25: Trouvé Spy Cookie: falkag cookie
18:25: flo_franck@as1.falkag[2].txt (ID = 2650)
18:25: Trouvé Spy Cookie: mediaplex cookie
18:25: flo_franck@mediaplex[1].txt (ID = 6442)
18:25: Trouvé Spy Cookie: xiti cookie
18:25: flo_franck@xiti[1].txt (ID = 3717)
18:25: Analyse des cookies terminée, temps passé : 00:00:02
18:25: Démarrage de l’analyse des fichiers
18:26: atmtd.dll (ID = 166754)
18:26: atmtd.dll._ (ID = 166754)
18:34: Trouvé Trojan Horse: trojan-backdoor-us15info
18:34: ypusrzl[1].htm (ID = 183857)
18:34: ridpoaykwu[1].txt (ID = 183857)
18:38: swrdcxi[1].txt (ID = 183857)
18:42: ypusrzl[1].htm (ID = 183857)
18:44: dhpbnifamx[1].txt (ID = 183857)
19:15: uninstall_nmon.vbs (ID = 231442)
19:18: Analyse des fichiers terminée, temps passé : 00:53:27
19:18: Analyse complète terminée. Durée 01:11:28
19:18: Traces trouvées : 105
20:09: Processus de suppression lancé.
20:09: Mise en quarantaine de toutes les traces : 180search assistant/zango
20:09: Mise en quarantaine de toutes les traces : spamrelayer_alpiok
20:09: Mise en quarantaine de toutes les traces : trojan-backdoor-us15info
20:09: Mise en quarantaine de toutes les traces : dollarrevenue
20:09: Mise en quarantaine de toutes les traces : command
20:09: Mise en quarantaine de toutes les traces : falkag cookie
20:09: Mise en quarantaine de toutes les traces : mediaplex cookie
20:09: Mise en quarantaine de toutes les traces : xiti cookie
20:09: Processus de suppression lancé. Durée 00:00:34

Et enfin mon dernier hijack:

Logfile of HijackThis v1.99.1
Scan saved at 20:16:50, on 07/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potf_x....
O17 - HKLM\System\CCS\Services\Tcpip\..\{F780402F-533F-4767-BCDF-E7BCA880F97A}: NameServer = 84.103.237.142 86.64.145.142
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)

Est ce que quelqu'un peut bien me dire encore quel est le bordel que j'ai...

Merci beaucoup

Franck
7 Avril 2006 21:58:48

Faut il que j'utilise kaspersky?

En ligne ou l'installer?

Merci de me répondre.

Franck
8 Avril 2006 08:52:43

Bonjour à tous,

Quelqu'un pourrait il me dire si je suis toujours infecté SVP en regardant mes fichiers d'analyse postés hier soir, et me dire pour Kaspersky?

Merci beaucoup de votre aide

Franck
8 Avril 2006 11:49:08

Re à tous,

J'ai effectué un scan par Kaspersky en ligne, voici les rapports:
Tout d'abord un scan que sut les zones à risques:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
samedi 8 avril 2006 11:43:27
Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 8/04/2006
Enregistrements dans la base antivirus Kaspersky : 175621
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Zones critiques:
C:\WINNT
C:\DOCUME~1\FLO_FR~1\LOCALS~1\Temp\

Statistiques de l'analyse:
Total d'objets analysés :: 10072
Nombre de virus trouvés: 1
Nombre d'objets infectés: 1
Nombre d'objets suspects: 0
Durée de l'analyse: 00:29:12

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINNT\system32\i Infecté: Trojan-Downloader.BAT.Ftp.ab ignoré

Analyse terminée.


J'ai également fait un scan sur l'ensemble des disques et là c'est le bordel. Voici le rapport:

KASPERSKY ON-LINE SCANNER - RAPPORT
samedi 8 avril 2006 10:53:35
Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 8/04/2006
Enregistrements dans la base antivirus Kaspersky : 175620
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\

Statistiques de l'analyse:
Total d'objets analysés :: 22279
Nombre de virus trouvés: 34
Nombre d'objets infectés: 5050
Nombre d'objets suspects: 0
Durée de l'analyse: 01:12:33

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\00C00000.VBN Infecté: Trojan-Downloader.Win32.ConHook.l ignoré

En fait j'ai plein de fichiers vbn, qui sont en quarantaine par norton mais je ne sais pas comment les supprimer. Je ne met pas tout le fichier car sinon ça va prendre une place folle.

Voici la fin du rapport:

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\2OM5XJW3\abwugonlxj[1].htm Infecté: Trojan.Win32.Harnig.a ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G83SZXGW\abwugonlxj[1].htm Infecté: Trojan.Win32.Harnig.a ignoré
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\_ibm00017.exe Infecté: Trojan-PSW.Win32.Sinowal.b ignoré
C:\Veracruz.exe/data0002/data0006 Infecté: Trojan-Dropper.Win32.VB.kk ignoré
C:\Veracruz.exe/data0002 Infecté: Trojan-Dropper.Win32.VB.kk ignoré
C:\Veracruz.exe NSIS: infecté - 2 ignoré
C:\WINNT\system32\i Infecté: Trojan-Downloader.BAT.Ftp.ab ignoré

Analyse terminée.


Est ce que quelqu'un peut m'aider SVP

Merci beaucoup
8 Avril 2006 17:24:29

Salut,

Redemarre en mode sans echec et supprime manuellement ces fichiers :

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\ <== Tout les fichiers .VBN
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 <== le dossier
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\_ibm00017.exe
C:\Veracruz.exe <== le dossier
C:\WINNT\system32\i

Pour un 2ieme avis fait un scan en ligne chez Panda et poste le rapport

http://www.pandasoftware.com/activescan/fr/activescan_p...
8 Avril 2006 20:04:47

Bonsoir Bob,

Merci pour ton aide.

Bon j'ai éliminé tous les fichiers que tu m'avais dit, et fait un scan avec panda. Voici le résumé. Si tu peux me dire quoi faire. Merci


Incident Statut Analyse

Adware:adware/deskwizz No Désinfecté C:\WINNT\dh.ini
Adware:adware/cws.searchmeup No Désinfecté C:\WINNT\uniq
Adware:adware/commad No Désinfecté Registre Windows
Dialer:D ialer.qi No Désinfecté HKEY_CLASSES_ROOT\CLSID\{2BCE6A6A-9F26-4A77-A9A7-A68A6C17068D}
Adware:adware/sqwire No Désinfecté Registre Windows
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@questionmarket[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@serving-sys[2].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@statcounter[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@tradedoubler[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@xiti[1].txt
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\smitfraud\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\SmitfraudFix.zip[Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\VundoFix\VundoFix\process.exe
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@questionmarket[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@serving-sys[2].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@statcounter[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@tradedoubler[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@xiti[1].txt
Virus:W32/Sdbot.FUJ.worm Désinfecté C:\WINNT\system32\eraseme_12787.exe
a b 8 Sécurité
8 Avril 2006 20:13:06

Bonsoir,
Supprime si possible

C:\WINNT\dh.ini
C:\WINNT\uniq
C:\WINNT\system32\eraseme_12787.exe


Dans Executer tape Regedit puis supprime

HKEY_CLASSES_ROOT\CLSID\{2BCE6A6A-9F26-4A77-A9A7-A68A6C17068D}
9 Avril 2006 14:46:57

Bonjour,

J'ai bien effacé tous les fichiers demandés. Voici mon dernier Hijack

Logfile of HijackThis v1.99.1
Scan saved at 14:44:25, on 09/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potf_x....
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O17 - HKLM\System\CCS\Services\Tcpip\..\{F780402F-533F-4767-BCDF-E7BCA880F97A}: NameServer = 80.118.196.41 80.118.192.111
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)


Que dois-je faire maintenant pour savoir si je suis toujours infectés?
Ewido, Norton, spysweeper, Kaspersky, panda?...

J'attends vos réponses et encore merci pour votre aide.

Franck
9 Avril 2006 20:21:36

Bonsoir à tous

Alors voici les résultats de la soirée....

Kaspersky ne me trouve rien sur la zone de travail, ainsi que sur les zones critiques (je ne sais pas si c'était nécessaire de faire le 2ème mais bon, je l'ai fait en cas où elles n'étaient pas analysées par le premier test).

Ensuite zonelabs on line me trouve ceci:

AlexaToolbar - Browser Plugin
RegistryKey - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{C95FE080-8F5D-11D2-A20B-00AA003C157A}

Atdmt - 3rd Party Cookie
URL - Cookie:flo_franck@atdmt.com/

Bluestreak - 3rd Party Cookie
URL - Cookie:flo_franck@bluestreak.com/

Doubleclick - 3rd Party Cookie
URL - Cookie:flo_franck@doubleclick.net/

Estat - 3rd Party Cookie
URL - Cookie:flo_franck@estat.com/

Mediaplex - 3rd Party Cookie
URL - Cookie:flo_franck@mediaplex.com/

Questionmarket - 3rd Party Cookie
URL - Cookie:flo_franck@questionmarket.com/

Serving-sys - 3rd Party Cookie
URL - Cookie:flo_franck@serving-sys.com/

Statcounter - 3rd Party Cookie
URL - Cookie:flo_franck@statcounter.com/


ewido me trouve cela:

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 20:15:27, 09/04/2006
+ Somme de contrôle: D144E911

+ Résultats du scan:

C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@as1.falkag[2].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@questionmarket[2].txt -> TrackingCookie.Questionmarket : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder


::Fin du rapport

Spysweeper:

17:27: | Début de session, dimanche 9 avril 2006 |
17:27: Spy Sweeper démarrée
17:27: Analyse lancée avec la version des définitions 652
17:27: Démarrage de l’analyse de la mémoire
17:52: Analyse de la mémoire terminée, temps passé : 00:24:42
17:52: Démarrage de l’analyse du Registre
17:57: Analyse du Registre terminée, temps passé :00:05:00
17:57: Démarrage de l’analyse des cookies
17:57: Trouvé Spy Cookie: falkag cookie
17:57: flo_franck@as1.falkag[2].txt (ID = 2650)
17:57: Trouvé Spy Cookie: atlas dmt cookie
17:57: flo_franck@atdmt[2].txt (ID = 2253)
17:57: Trouvé Spy Cookie: bluestreak cookie
17:57: flo_franck@bluestreak[1].txt (ID = 2314)
17:57: Trouvé Spy Cookie: mediaplex cookie
17:57: flo_franck@mediaplex[1].txt (ID = 6442)
17:57: Trouvé Spy Cookie: questionmarket cookie
17:57: flo_franck@questionmarket[2].txt (ID = 3217)
17:57: Trouvé Spy Cookie: serving-sys cookie
17:57: flo_franck@serving-sys[2].txt (ID = 3343)
17:57: Trouvé Spy Cookie: statcounter cookie
17:57: flo_franck@statcounter[1].txt (ID = 3447)
17:57: Trouvé Spy Cookie: tradedoubler cookie
17:57: flo_franck@tradedoubler[2].txt (ID = 3575)
17:57: Trouvé Spy Cookie: xiti cookie
17:57: flo_franck@xiti[1].txt (ID = 3717)
17:57: Analyse des cookies terminée, temps passé : 00:00:16
17:57: Démarrage de l’analyse des fichiers
19:12: Analyse des fichiers terminée, temps passé : 01:14:21
19:12: Analyse complète terminée. Durée 01:44:32
19:12: Traces trouvées : 9
20:16: Processus de suppression lancé.
20:16: Mise en quarantaine de toutes les traces : atlas dmt cookie
20:16: Mise en quarantaine de toutes les traces : bluestreak cookie
20:16: Mise en quarantaine de toutes les traces : falkag cookie
20:16: Mise en quarantaine de toutes les traces : mediaplex cookie
20:16: Mise en quarantaine de toutes les traces : questionmarket cookie
20:16: Mise en quarantaine de toutes les traces : serving-sys cookie
20:16: Mise en quarantaine de toutes les traces : statcounter cookie
20:16: Mise en quarantaine de toutes les traces : tradedoubler cookie
20:16: Mise en quarantaine de toutes les traces : xiti cookie
20:16: Processus de suppression lancé. Durée 00:00:05


et panda cela:


Incident Statut Analyse

Adware:adware/commad No Désinfecté Registre Windows
Dialer:D ialer.qi No Désinfecté HKEY_CLASSES_ROOT\CLSID\{8085E374-ACBB-42F9-873F-49EC7E244F97}
Adware:adware/sqwire No Désinfecté Registre Windows
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@questionmarket[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@serving-sys[2].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@statcounter[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@tradedoubler[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@xiti[1].txt
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\smitfraud\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\SmitfraudFix.zip[Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\VundoFix\VundoFix\process.exe
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@questionmarket[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@serving-sys[2].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@statcounter[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@tradedoubler[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@xiti[1].txt
Je n'ai pas essayé Norton....

Enfin voici mon dernier hijack:

Logfile of HijackThis v1.99.1
Scan saved at 20:21:11, on 09/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potf_x....
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredete...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O17 - HKLM\System\CCS\Services\Tcpip\..\{F780402F-533F-4767-BCDF-E7BCA880F97A}: NameServer = 80.118.196.41 80.118.192.111
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)

Que dois-je faire maintenant pour nettoyer complètement mon ordi.

Merci beaucoup pour votre aide.

Franck
10 Avril 2006 09:04:39

Bonjour à tous,

Est ce que quelqu'un pourrait analyser les résultats de mes différents scans du message précédent. De plus j'ai un autre problème, impossible d'activer la protection en temps réel du système des fichiers de Norton, alors que l'option est pourtant cochée dans le panneau de configuration...

Merci

Franck
10 Avril 2006 10:17:08

Salut,

1/ Menu Démarrer/Exécuter/ tape sc delete NTDRV puis Entrée

2/ Menu Démarrer/Executer/ tape Regedit puis supprime

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{C95FE080-8F5D-11D2-A20B-00AA003C157A}

3/ Menu Démarrer/Exécuter/ tape regedit puis Entrée

Dans la liste des services : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
cherche le service MS Dns Service (WinNet)
puis clic droit sur ce service puis Supprimer et réponds OUI à la question de confirmation.

4/ Supprime ce dossier :

C:\Documents and Settings\Flo_Franck\Cookies

As-tu encore des soucis ?
10 Avril 2006 10:51:21

Salut Bob,

Impossible d'exécuter:
Menu Démarrer/Exécuter/ tape sc delete NTDRV puis Entrée

Dans la liste des services : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
cherche le service MS Dns Service (WinNet)
puis clic droit sur ce service puis Supprimer et réponds OUI à la question de confirmation

J'ai bien trouvé WinNet, mais seul 2 répertoires dedans, Enum et Security, et pas de MS Dns Service

Enfin impossible de supprimer le répertoire cookies, j'ai supprimer tous les fichiers dans le répertoire sauf index.dat.

Peux-tu m'aider pour ce qu'il reste à faire et me dire quel scan faire pour savoir si je suis toujours infecté.

Merci beaucoup pour ton aide
10 Avril 2006 14:08:34

Bonjour,

- Télécharge : Pocket KillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.z...

- Décomresse-le (clic droit -> extraire tout)

- Redemarre en mode sans echec

Redémarre l'ordinateur. Après les écritures du BIOS, appuies sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.

Dans ce menu, tu dois pouvoir choisir le mode sans échec (celà se passe avec les flèches et Entrée pour valider).

Le démarrage en mode sans échec est souvent relativement long. Si tu as des écritures blanches bizarres, ne t'inquiètes pas.
Prend juste ton mal en patience.

- Ouvres killbox.exe

- Sélectionne "Delete on reboot"

(Fais un copier/coller, pour ne pas te planter)

-Colles C:\WINNT\system32\netdrvr.exe dans la case blanche

-Cliques sur "delete file" (croix rouge et blanche).

- Répond "Yes" aux messages

- Laisse redémarrer le pc.

Relance la KillBox suis la même procedure mais la tu colle C:\WINNT\system32\wincntrl.exe

Supprime ce dossier : C:\!KillBox

Reposte un Log HijackThis.
a b 8 Sécurité
10 Avril 2006 14:17:25

Bonjour a tous,

Redemarre en mode sans echec
/!\ Tu n'as pas acces a Internet dans ce mode, note bien les instructions /!\

Lance Hijackthis ->Do a system scan only
->Coche les lignes puis Fix checked

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)

Dans executer tape Services.msc
Cherche puis double clique sur
Citation :
Network DRV

Verifie le chemin d'acces
Citation :
C:\WINNT\system32\netdrvr.exe

Verifie le type de demarrage et change en cas de besoin -> Desactive

Fais la meme chose avec
MS Dns Service

Assure toi d'avoir acces au dossier/fichiers caches
->Panneau de configuration
->Options dossiers
->Coche Afficher les dossiers caches
Decoche Masquer les extensions...
Decoche Masquer les fichiers proteges...

Si ce n'est pas fait Suppime ces fichiers/dossiers si existe

C:\WINNT\system32\netdrvr.exe
C:\WINNT\system32\wincntrl.exe
10 Avril 2006 15:31:10

Bonjour Bob,

J'ai suivi à la lettre ce que tu m'as dit de faire, mais j'ai eu (encore) un problème. APrès avoir suivi ce que tu m'as dit:

Télécharge : Pocket KillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.z...

- Décomresse-le (clic droit -> extraire tout)

- Redemarre en mode sans echec

Redémarre l'ordinateur. Après les écritures du BIOS, appuies sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.

Dans ce menu, tu dois pouvoir choisir le mode sans échec (celà se passe avec les flèches et Entrée pour valider).

Le démarrage en mode sans échec est souvent relativement long. Si tu as des écritures blanches bizarres, ne t'inquiètes pas.
Prend juste ton mal en patience.

- Ouvres killbox.exe

- Sélectionne "Delete on reboot"

(Fais un copier/coller, pour ne pas te planter)

-Colles C:\WINNT\system32\netdrvr.exe dans la case blanche

-Cliques sur "delete file" (croix rouge et blanche).

- Répond "Yes" aux messages

- Laisse redémarrer le pc.

1 le pc n'a pas redémarrer, mais j'ai eu en plus un message du type:

Pending file rename operations registry data has been removed by external process!

De plus quand j'ai cherché dans parcourir le fichier en question, impossible de le trouver...

Je continue quand même pour le deuxième fichier.

Merci de ton aide.

Franck
a b 8 Sécurité
10 Avril 2006 15:39:33

Essaie ce que je t'ai dit en attendant la reponse de Bob.
10 Avril 2006 15:47:26

Re

Idem pour le 2eme fichier (wincntrl.exe).

Voici mon hijack

Logfile of HijackThis v1.99.1
Scan saved at 15:46:28, on 10/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potf_x....
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredete...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O17 - HKLM\System\CCS\Services\Tcpip\..\{F780402F-533F-4767-BCDF-E7BCA880F97A}: NameServer = 80.118.196.42 80.118.192.112
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINNT\system32\netdrvr.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe (file missing)

J'essaie ce que tu m'as dit angel. Merci beaucoup

*Franck
10 Avril 2006 16:10:09

Voilà j'ai fait ce que tu m'as dit angel.

Impossible de trouver les 2 fichiers sus nommés (netdrvr.exe et wincntrl.exe)

Voici mon nouveau hijack

Logfile of HijackThis v1.99.1
Scan saved at 16:06:50, on 10/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potf_x....
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredete...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O17 - HKLM\System\CCS\Services\Tcpip\..\{F780402F-533F-4767-BCDF-E7BCA880F97A}: NameServer = 84.103.237.146 86.64.145.146
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

Que dois-ke faire maintenant pour être sûr d'être clean. De plus je ne possède en logiciel que Norton et Spy sweeper. Ewido que pour quelques jours encore. Dois-je l'acheter. Je n'ai ni de firewall ni d'anti adware. Des conseils?

Merci beaucoup

Franck
a b 8 Sécurité
10 Avril 2006 16:16:49

Log apparemment clean.

Citation :
De plus je ne possède en logiciel que Norton et Spy sweeper.

Suffisant selon utilisation

Citation :
Ewido que pour quelques jours encore.

Tu peux le garder, les mises a jour ne seront plus automatiques-> a toi de le faire et la protection residente ne marchera plus-> pas grave

Citation :
Je n'ai ni de firewall ni d'anti adware

Firewall gratuit tu as ZoneAlarm et Kerio (en anglais)
Pour les antispy tu possede deja Ewido et SpySweeper.
Tu peux ajouter Ad Aware et Spybot

Comme dirait ChercheurPca la meilleure protection c'est toi.
(il viendra surement te faire un post sur la protection si je la retrouve je te la passe,elle est plus complete)
10 Avril 2006 16:20:17

Merci beaucoup angel. Je suis en train de faire un scan on-line avec panda en cas où. Je te tiens au courant.

Franck
10 Avril 2006 16:21:35

Le temps que je poste ça, panda m'a déjà trouvé beaucoup de merdes... Ca devient fatiguant...lol
Je te tiens au courant une foi le scan fini

Merci encore
10 Avril 2006 20:45:08

dis donc...j'ai parcouru un peu ce sujet...on dirai que c'est sans fin, c'est dingue...en fait, dés qu'on se sert du net, il faut s'dire qu'on va pécho tout un tas de ####ries...tous les jours on pourrait supprimer des sales fichiers infectieux...non?


oups...
désolé pour la grossièreté...j'ai vu qu'il y'a des" "####" à la place...
10 Avril 2006 20:55:23

Salut franck_flo,

J'attend ton rapport Panda. Ne t'inkiete pas on va s'en sortir de toutes ces cochonnerie !

Pour Angeldark que je salut !

C'est ca que tu cherches ?

Protection minimale :

- système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases
http://update.microsoft.com

- 1 (et 1 seul) pare-feu bien paramétré, gratuit
par exemple ZoneAlarm
http://www.zonelabs.com/
et son tutorial
http://speedweb1.free.fr/frames2.php?page=tuto1

- 1 (et 1 seul) antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit
par exemple AVAST Home Edition FREE
http://www.avast.com/eng/down_home.html
avec inscription obligatoire
http://www.avast.com/i_kat_207.php?lang=ENG
et son tutorial
http://www.pcentraide.com/index.php?showtopic=120

- antitroyen gratuit passé périodiquement, par exemple A2
http://www.emsisoft.net/fr/
en le téléchargeant
Il est nécessaire de s'enregistrer pour bénéficier des mises à jour

- antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE Personnal
http://www.lavasoftusa.com/default.shtml.fr
tutorial
http://home.tiscali.be/schouppeguy/adawarese/adawase.ht...
et Spybot Search and Destroy
http://www.safer-networking.org/fr/home/index.html
tutorial
http://assiste.free.fr/p/frameset/07_spybot_search_dest...

- Se protèger des ActiveX nuisibles avec SpywareBlaster
http://www.javacoolsoftware.com/downloads.html
tutorial
http://www.ordi-netfr.org/tutorialspywareblaster.php

- comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts)

- attitude vigilante quant aux dysfonctionnements de ton système.

- maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

Tous ces programmes parfaitement mis à jour avant chaque utilisation.

Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention"
http://gerard.melone.free.fr/IT/IT-AM0.html

Fais passer le message sur la prévention autour de toi !!
10 Avril 2006 21:49:36

sALUT BOB

Voici mon scan panda


Incident Statut Analyse

Adware:adware/commad No Désinfecté Registre Windows
Dialer:D ialer.qi No Désinfecté HKEY_CLASSES_ROOT\CLSID\{8085E374-ACBB-42F9-873F-49EC7E244F97}
Adware:adware/sqwire No Désinfecté Registre Windows
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@adtech[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@atdmt[1].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[2].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@questionmarket[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@xiti[1].txt
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\smitfraud\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\SmitfraudFix.zip[Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Flo_Franck\Bureau\ordi\VundoFix\VundoFix\process.exe
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@adtech[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@atdmt[1].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@doubleclick[2].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@mediaplex[1].txt
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@questionmarket[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@tradedoubler[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@xiti[1].txt
Merci de toh aide

Franck et Flo
a b 8 Sécurité
10 Avril 2006 21:55:59

Bonsoir,

Bien joue Bob pour le post de Chercheur j'ai pas reussi a le trouver :-D

Revenons au sujet principal.
Bonne nouvelle rien de mechant,

1- Vide ce dossier
C:\Documents and Settings\Flo_Franck\Cookies

2- Supprime ces utilitaires maintenant inutiles
C:\Documents and Settings\Flo_Franck\Bureau\ordi\smitfraud
C:\Documents and Settings\Flo_Franck\Bureau\ordi\SmitfraudFix.zip
C:\Documents and Settings\Flo_Franck\Bureau\ordi\VundoFix

3- Dans executer rape Regedit puis supprime cette cle
HKEY_CLASSES_ROOT\CLSID\{8085E374-ACBB-42F9-873F-49EC7E244F97}
11 Avril 2006 08:16:31

Merci à tous,

Bon j'ai bien éliminé toutes les lignes que tu m'as dit Angel. Peut-on ne pas avoit les cookies sur son HDD?
Je relance un panda

Merci

Franck
11 Avril 2006 09:54:30

Salut,

Pour les cookies je ne pense pas mais bon ce n'est rien de mechant à virer une fois par semaine en fonction de tes accés sur le net. Utilise Ccleaner pour les virer.

Tu as bien fait de refaire un scan chez Panda j'attend ton rapport.

Ton rapport HJT est propre.

Tu peut encore si tu le souhaites utiliser l'excellent Spysweeper dans sa version d'essaie voila la manip à faire :

Télécharge SpySweeper (de Webroot)

http://www.webroot.com/fr/products/spysweeper

  • Clique sur "Essayer".
  • Installe le programme. Une fois installé, il se lancera.
  • L'option de le mettre à jour s'affichera; clic Yes.
  • Lorsque les mises à jour seront installées, clic Options sur la gauche.
  • Clic sur l'onglet Sweep Options.
  • Sous What to Sweep, coche les options suivantes:
    • Sweep Memory
    • Sweep Registry
    • Sweep Cookies
    • Sweep All User Accounts
    • Enable Direct Disk Sweeping
    • Sweep Contents of Compressed Files
    • Sweep for Rootkits
    • DÉCOCHE Do not Sweep System Restore Folder.

  • Clic Sweep Now sur la gauche.
  • Clic sur Start.
  • Quand le scan est terminé, clic sur Next.
  • Assure-toi que tous les items sont cochés, puis clic sur Next.
  • Tous les items cochés seront éliminés.
  • Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
  • Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
  • Clic sur l'onglet Summary, puis clic sur Finish.
  • Colle le contenu du "Session Log" dans ta prochaine réponse.
    11 Avril 2006 10:19:15

    Merci bob,

    Voici le rapport dfe chez panda:


    Incident Statut Analyse

    Adware:adware/commad No Désinfecté Registre Windows
    Dialer:D ialer.qi No Désinfecté HKEY_CLASSES_ROOT\TypeLib\{9A9C9133-E640-4CA7-81C1-123FAC78855F}
    Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[2].txt
    Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@tradedoubler[1].txt
    Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@bluestreak[2].txt
    Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Flo_Franck\Cookies\flo_franck@tradedoubler[1].txt
    Spyware:Cookie/Mediaplex No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc15.txt
    Spyware:Cookie/QuestionMarket No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc18.txt
    Spyware:Cookie/Tradedoubler No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc19.txt
    Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc24.txt
    Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc27\VundoFix\process.exe
    Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc29\SmitfraudFix\Process.exe
    Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc30.zip[Process.exe]
    Spyware:Cookie/Adtech No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc4.txt
    Spyware:Cookie/Atlas DMT No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc5.txt
    Spyware:Cookie/Bluestreak No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc6.txt
    Spyware:Cookie/Doubleclick No Désinfecté C:\RECYCLER\S-1-5-21-1708537768-1606980848-1202660629-1000\Dc8.txt
    C'est dingue à croire que les virus se multiplie pendant que je dors...lol
    Je viens de vider la corbeille, j'avais oublié.

    Merci de ton aide

    Franck
    11 Avril 2006 10:33:55

    Re,

    Dans executer rape Regedit puis supprime cette cle

    HKEY_CLASSES_ROOT\TypeLib\{9A9C9133-E640-4CA7-81C1-123FAC78855F}

    Mais je pense pas que ca suffira pour virer ce Dialer, peut etre que Spysweeper l'eliminera si ce n'est pas le cas on ferra un autre scan avec un autre utilitaire.

    Le reste ce ne sont que des cookies donc rien de mechant et le reste été dans la corbeille
    11 Avril 2006 11:35:50

    Re

    Voici le log de spysweeper (dont j'ai acheté la licence en français pour un an).

    10:25: | Début de session, mardi 11 avril 2006 |
    10:25: Spy Sweeper démarrée
    10:25: Analyse lancée avec la version des définitions 654
    10:25: Démarrage de l’analyse de la mémoire
    10:33: Analyse de la mémoire terminée, temps passé : 00:08:17
    10:33: Démarrage de l’analyse du Registre
    10:34: Analyse du Registre terminée, temps passé :00:00:55
    10:34: Démarrage de l’analyse des cookies
    10:34: Trouvé Spy Cookie: falkag cookie
    10:34: flo_franck@as1.falkag[1].txt (ID = 2650)
    10:34: Trouvé Spy Cookie: bluestreak cookie
    10:34: flo_franck@bluestreak[2].txt (ID = 2314)
    10:34: Trouvé Spy Cookie: tradedoubler cookie
    10:34: flo_franck@tradedoubler[1].txt (ID = 3575)
    10:34: Analyse des cookies terminée, temps passé : 00:00:00
    10:34: Démarrage de l’analyse des fichiers
    11:13: Analyse des fichiers terminée, temps passé : 00:38:58
    11:13: Analyse complète terminée. Durée 00:48:19
    11:13: Traces trouvées : 3
    11:21: Processus de suppression lancé.
    11:21: Mise en quarantaine de toutes les traces : bluestreak cookie
    11:21: Mise en quarantaine de toutes les traces : falkag cookie
    11:21: Mise en quarantaine de toutes les traces : tradedoubler cookie
    11:21: Processus de suppression lancé. Durée 00:00:03


    Il ne trouve pas le numeroteur que Panda trouve.
    Que dois-je faire maintenant pour l'enlever celui-là?

    Merci
    11 Avril 2006 17:50:40

    Re

    Voici le rapport de counter spy

    Spyware Scan Details
    Start Date: 11/04/2006 16:41:39
    End Date: 11/04/2006 17:46:29
    Total Time: 1 hrs 4 mins 50 secs

    Detected spyware

    NetMon Trojan Downloader more information...
    Status: Quarantined

    Infected registry entries detected
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Security Security
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum 0 Root\LEGACY_NETWORK_MONITOR\0000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum Count 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum NextInstance 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor Type 16
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor Start 4
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor ErrorControl 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor ImagePath C:\Program Files\Network Monitor\netmon.exe service
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor DisplayName Network Monitor
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor ObjectName LocalSystem


    DoubleClick Cookie (General) more information...
    Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
    Status: Deleted

    Infected cookies detected
    c:\documents and settings\flo_franck\cookies\flo_franck@doubleclick[2].txt


    Mediaplex.com Cookie (General) more information...
    Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
    Status: Deleted

    Infected cookies detected
    c:\documents and settings\flo_franck\cookies\flo_franck@mediaplex[1].txt


    Ajan 1.0 Cookie (General) more information...
    Status: Deleted

    Infected cookies detected
    c:\documents and settings\flo_franck\cookies\flo_franck@xiti[1].txt


    Radar Spy 1.0 Cookie (General) more information...
    Status: Deleted

    Infected cookies detected
    c:\documents and settings\flo_franck\cookies\flo_franck@yourmedia[1].txt


    Et voici un nouveau hijack
    Logfile of HijackThis v1.99.1
    Scan saved at 17:50:38, on 11/04/2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\LEXBCES.EXE
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\LEXPPS.EXE
    C:\Program Files\NavNT\defwatch.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\ewido anti-malware\ewidoguard.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
    C:\WINNT\system32\LXSUPMON.EXE
    C:\WINNT\system32\atiptaxx.exe
    C:\PROGRA~1\NavNT\vptray.exe
    C:\WINNT\system32\MsgSys.EXE
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\WINNT\explorer.exe
    C:\Program Files\Sunbelt Software\CounterSpy\Consumer\CounterSpy.exe
    C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
    C:\Program Files\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
    C:\Program Files\Sunbelt Software\CounterSpy\Consumer\SunServer.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Flo_Franck\Bureau\ordi\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
    O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
    O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
    O4 - HKLM\..\Run: [SunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potf_x....
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredete...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F780402F-533F-4767-BCDF-E7BCA880F97A}: NameServer = 80.118.192.100 80.118.196.36
    O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
    O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
    O21 - SSODL: Schedule - {0898513A-9251-49A7-3146-B099B315BF29} - C:\WINNT\help\msoeacct.hlp
    O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
    O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

    Je lance un nouveau panda pour voir. Je vais supprimer tous les cookies d'abord.

    Merci de votre aide

    Franck
    11 Avril 2006 18:47:22

    Bonsoir,

    On avance :-D

    Dans executer rape Regedit puis supprime ces cle :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Security Security
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum 0 Root\LEGACY_NETWORK_MONITOR\0000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum Count 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum NextInstance 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor Type 16
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor Start 4
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor ErrorControl 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor ImagePath C:\Program Files\Network Monitor\netmon.exe service
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor DisplayName Network Monitor
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor ObjectName LocalSystem

    Ensuite demarrer/rechercher/Network Monitor

    On verra ou il se cache si il est encore present

    Tu posteras ton Analyse Panda
        • 1 / 3
        • 2
        • 3
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS