Votre question

probleme avec le virus Spy Sheriff

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Juin 2005 14:39:22

Bonjour à tous.
Voila, j'ai un problème avec le virus spy sheriff... j'arrive pas à m'en débarraser (c'est original hein ;-) ). J'ai donc parcouru le forum et j'ai découvert qu'il fallait vous envoyer un rapport le voila
Logfile of HijackThis v1.99.1
Scan saved at 14:25:39, on 12/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
d:\AVPersonal\AVGUARD.EXE
d:\AVPersonal\AVWUPSRV.EXE
D:\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
D:\QuickTime\qttask.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\init32m.exe
D:\DAP\DAP.EXE
D:\AVPersonal\AVGNT.EXE
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
D:\Tweak-XP Pro 4\AdBlocker.exe
C:\WINDOWS\System32\win32.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
D:\Logitech\SetPoint\KEM.exe
D:\Schedule Wizard\SW.EXE
D:\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\Hiajckthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\NOIRDS~1\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = www.free.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: (no name) - {F183E8CD-BF34-43C8-9535-344803E20F97} - C:\WINDOWS\System32\klnp.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] d:\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [DownloadAccelerator] D:\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] d:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BlockAds] "D:\Tweak-XP Pro 4\AdBlocker.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Schedule Wizard.lnk = D:\Schedule Wizard\SW.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Reset.lnk = C:\WINDOWS\repair\reset.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - D:\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - D:\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11117711-1111-1711-7121-111177111157} - ms-its:mhtml:file://c:\bebe.mht!http://www.alarm-works.com/tx.chm::/ai.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O18 - Filter: text/html - {F4BCC6FE-9D28-4B4D-BEB8-AE1A030E136E} - C:\WINDOWS\System32\klnp.dll
O18 - Filter: text/plain - {F4BCC6FE-9D28-4B4D-BEB8-AE1A030E136E} - C:\WINDOWS\System32\klnp.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Executive Software\Diskeeper\DkService.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

dans l'espoir d'une réponse rapide :-) Merci

Autres pages sur : probleme virus spy sheriff

13 Juin 2005 01:08:06

Bonsoir,
Désactive le TeaTimer de Spybot avant d'entreprendre les manipulations car cela peux gêner les corrections.
Tu le remettra quand l'ordinateur sera propre.

1 Télécharge
CCleaner.

http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié et paramètre le comme ceci.
Clique sur l'onglet Windows.
Dans Internet Explorer, décoches emplacement des téléchargements.
Dans Système, décoches Presse-papiers et Fichier journal de Windows.
Clique sur Options, puis Avancé. Décoches Effacer uniquement les fichiers....
Décoches tout dans l'onglet Erreurs.

About Buster
http://www.malwarebytes.biz/index.php?page=downloads
Une fois téléchargé,tu le dézippe,et tu mets un raccourci sur le bureau.

SpHjfix de Seeker
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
Installer dans un répertoire dédié et placer un raccourci sur le bureau


2 Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\NOIRDS~1\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {F183E8CD-BF34-43C8-9535-344803E20F97} - C:\WINDOWS\System32\klnp.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Reset.lnk = C:\WINDOWS\repair\reset.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11117711-1111-1711-7121-111177111157} - ms-its:mhtml:file://c:\bebe.mht!http://www.alarm-works.com/tx.chm::/ai.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O18 - Filter: text/html - {F4BCC6FE-9D28-4B4D-BEB8-AE1A030E136E} - C:\WINDOWS\System32\klnp.dll
O18 - Filter: text/plain - {F4BCC6FE-9D28-4B4D-BEB8-AE1A030E136E} - C:\WINDOWS\System32\klnp.dll

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

3 lancer SpHjfix.
cliquer sur le bouton "start disinfection"
en cas d'infection sp.exe, l'ordinateur est redémarré et SpHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours.

4 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

5 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\init32m.exe
C:\WINDOWS\System32\win32.exe
C:\Program Files\Need2Find\bar
C:\winstall.exe
C:\WINDOWS\System32\klnp.dll

7 Double clique sur About:Buster.
Ok--->Start---->Ok
Un scan est exécuté (attendre quelques secondes).
Sauvegarde le log de ce scan dans un fichier .txt quelconque afin de le retrouver. Le poster si nécessaire.
Refaire un second scan.

8 Lance CCleaner

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

9 Redémarre normalement et poste un nouveau log HijackThis pour vérification.
13 Juin 2005 13:38:31

Salut,
merci pour ta réponse voila j'ai fait tous ce que tu m'as dit et voila le nouveau rapport
Logfile of HijackThis v1.99.1
Scan saved at 13:35:12, on 13/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
d:\AVPersonal\AVGUARD.EXE
d:\AVPersonal\AVWUPSRV.EXE
D:\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\CyberLink\PowerDVD\PDVDServ.exe
D:\DAP\DAP.EXE
D:\AVPersonal\AVGNT.EXE
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
D:\Tweak-XP Pro 4\AdBlocker.exe
D:\Logitech\SetPoint\KEM.exe
D:\Schedule Wizard\SW.EXE
D:\Logitech\SetPoint\KHALMNPR.EXE
D:\Hiajckthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = www.free.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] d:\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [DownloadAccelerator] D:\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] d:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BlockAds] "D:\Tweak-XP Pro 4\AdBlocker.exe"
O4 - Startup: Schedule Wizard.lnk = D:\Schedule Wizard\SW.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Download with &DAP - D:\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - D:\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Executive Software\Diskeeper\DkService.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe


Merci encore pour ton aide :-D
Contenus similaires
14 Juin 2005 16:23:34

Bonjour,

Le rapport est propre, juste quelques lignes inutiles.

Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

As tu encore des dysfonctionnements ?
23 Août 2005 17:29:31

j'ai le même soucis, spy sheriff et n'arrive pas à m'en défaire. J'ai essayé les manip si dessus à l'aide des logiciels sus-cités, malheureusement il ne décroche pas :/ . Est ce qu'un programme permettrait d'effacer les fichiers qui sont en cours d'utilisation ? ( et non j'ai pas de disquette de boot win95 pour les supprimer :/ )

a priori j'ai que drct16.dll et mszx23.exe qui pose probleme mais il se trouve qu'en l'occurence je peux meme pu enregistrer des fichiers txt par le bloque-note -_-.

Toute aide serait la bienvenue n'ayant pas envie de reformater apres l'avoir fait la semaine derniere.

Je suis sous win2K SP4 avec tout les correctifs appliqués (a priori)

voici le log Hijack this si ca peu aider:

Logfile of HijackThis v1.99.1
Scan saved at 17:31:37, on 24/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINNT\system32\mszx23.exe
C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\KB1\Bureau\Desinfection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVRTCLK] C:\WINNT\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TrustInstaller] D:\Setup.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Program Files\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O17 - HKLM\System\CCS\Services\Tcpip\..\{39022941-875B-41A8-8ED0-56F14395BAE4}: NameServer = 69.50.176.158 85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{39022941-875B-41A8-8ED0-56F14395BAE4}: NameServer = 69.50.176.158 85.255.112.8
O20 - Winlogon Notify: drct16 - C:\WINNT\SYSTEM32\drct16.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

A noter que Norton n'a pas voulu fonctionner et reste bloquer a l'installation (qu'il essait de reprendre a chaque redémarrage ce boulet) je pense que ca vient du même virus.

le scan de trend micro sur secuser.com/antivirus n'a rien pu faire non plus.

ah oui et mon spybot se retrouve avec certains boutons sans inscriptions (en fait surtout les fenetres du tea timer)

j'ai également telecharger la version gratuite d'AVG, je l'ai update, il me trouve effectivement drct16.dll et mszx23.exe et n'a pas pu les effacer, et je n'ais pas l'impression qu'un mode au démarrage soit disponible sur la version gratuite

Ah oui, au fait, AVG detecte ses deux fichiers pas comme étant spy sheriff (ce que me dit spy bot) mais comme étant un BackDoor.Generic.AWW


j'édite encore, car j'ai remarqué qu'avec Process explorer , je peux voir mszx23.exe comme un processus sous jacent d'explorer.exe cependant le kill n'aide pas AVG a le supprimer avec sa dll :/ ///

reedition pour dire qu'en ce qui concerne mszx23.exe et son dll (drct16.dll) j'ai reussi a les supprimer grace a process explorer , donc bon a savoir : j'ai kill mszx23.exe, ca ne suffisait pas a le supprimer , en faisant un ctrl+F , rechercher un processus je trouve qu'il est également lié a winlogon que je kill aussi et mszx23.exe était alors supprimable :) , ensuite la dll n'a pas été dur a suivre,
spybot a pu la supprimer (1 redemarrage necessaire toutefois).

Cependant j'ai l'impression que j'ai un autre virus , qu'aucun logiciel ne trouve et qui m'installe des virus, AVG arrete pas d'en trouver, pas aussi ennuyeux que sheriff malgré tout puisqu'il arrive a les supprimer au fur et a mesure

!!! je viens d'essayer de comprendre mon log tout seul et je vois ca : O4 - HKLM\..\Run: [TrustInstaller] D:\Setup.exe

nan mais c'est quoi ca ? D: c'est mon lecteur CD, comment peut il vouloir y trouver quelque chose a charger au démarrage ? c'est louche aussi non ?
23 Août 2005 19:17:45

Bon ben j'ai retiré dmoit.exe du démarrage , ainsi que le truc trustinstaller qui est soit disant D:\setup.exe
et aussi wareout , j'ai des doutes dessus, a noter que pour dmoit.exe, spybot me le met 2 fois dans les trucs qui démarre au démarrage O_o
j'ai aussi décocher des trucs qui s'appellent HK_LM:RUN qui n'ont ni valeur ni ligne de commande, ca me parait louche aussi, j'ai aussi hclean32.exe, je me demande ce que c'est.

j'ai un peu l'impression de jouer a l'apprenti sorcier alors si quelqu'un pouvait me donner son avis sur tout ca et sur le post au dessus ^^ merci d'avance
29 Août 2005 13:46:52

Je n'arrive pas non plus a me debarasser de spy sheriff, j'ai utilisé spybot, a², mc afee antivirus, ad-aware.
Voici le log file:

Logfile of HijackThis v1.99.1
Scan saved at 13:37:39, on 29/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 82.81.82.81 banesnet.banesto.es
O1 - Hosts: 82.81.82.81 ebanking.bccbrescia.it
O1 - Hosts: 82.81.82.81 extranet.banesto.es
O1 - Hosts: 82.81.82.81 ibank.barclays.co.uk
O1 - Hosts: 82.81.82.81 online.lloydstsb.co.uk
O1 - Hosts: 82.81.82.81 online-business.lloydstsb.co.uk
O1 - Hosts: 82.81.82.81 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 82.81.82.81 www.halifax-online.co.uk
O1 - Hosts: 82.81.82.81 www.nwolb.com
O1 - Hosts: 82.81.82.81 www.rbsdigital.com
O1 - Hosts: 82.81.82.81 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 82.81.82.81 hsbc.co.uk
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: Quick Zip_is1 - {D9C21ECF-E632-100C-1220-AAC2E5CE619C} - c:\program files\quickzip\wintvddr32.dll
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe




Merci d'avance :) 
29 Août 2005 16:05:09

Bonjour

* Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.

* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.

* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix avec un nouveau rapport Hijackthis.
29 Août 2005 20:28:35

Voici le premier rapport de SmitfraudFix:

SmitFraudFix v1.81

Rapport fait à 20:09:09,84 le 29/08/2005
Executé à partir de C:\Documents and Settings\Audrey\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\desktop.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Audrey\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\SpySheriff\PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

HKLM\SOFTWARE\SHUDDERLTD non trouvé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport





Le deuxieme rapport je l'avais copié dans un nouveau fichier texte (en mode sans echec) mais il a disparu ce fichier quand j'ai redemarré :-o )
En fait c'est parce que j'avais lancé la session administateur en mode sans echec et pas ma session a moi donc les icones du bureau de ma session y étaient pas sur la session administrateur, la j'ai donc mis ma session en mode sans echec et j'ai refait l'option 2 dont voici le rapport:

SmitFraudFix v1.81

Rapport fait à 20:31:30,40 le 29/08/2005
Executé à partir de C:\Documents and Settings\Audrey\Bureau\2421\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés




»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport




Voici le rapport de Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 20:27:52, on 29/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 82.81.82.81 banesnet.banesto.es
O1 - Hosts: 82.81.82.81 ebanking.bccbrescia.it
O1 - Hosts: 82.81.82.81 extranet.banesto.es
O1 - Hosts: 82.81.82.81 ibank.barclays.co.uk
O1 - Hosts: 82.81.82.81 online.lloydstsb.co.uk
O1 - Hosts: 82.81.82.81 online-business.lloydstsb.co.uk
O1 - Hosts: 82.81.82.81 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 82.81.82.81 www.halifax-online.co.uk
O1 - Hosts: 82.81.82.81 www.nwolb.com
O1 - Hosts: 82.81.82.81 www.rbsdigital.com
O1 - Hosts: 82.81.82.81 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 82.81.82.81 hsbc.co.uk
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: Quick Zip_is1 - {D9C21ECF-E632-100C-1220-AAC2E5CE619C} - c:\program files\quickzip\wintvddr32.dll (file missing)
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

29 Août 2005 21:22:59

Re

1 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

3 Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O1 - Hosts: 82.81.82.81 banesnet.banesto.es
O1 - Hosts: 82.81.82.81 ebanking.bccbrescia.it
O1 - Hosts: 82.81.82.81 extranet.banesto.es
O1 - Hosts: 82.81.82.81 ibank.barclays.co.uk
O1 - Hosts: 82.81.82.81 online.lloydstsb.co.uk
O1 - Hosts: 82.81.82.81 online-business.lloydstsb.co.uk
O1 - Hosts: 82.81.82.81 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 82.81.82.81 www.halifax-online.co.uk
O1 - Hosts: 82.81.82.81 www.nwolb.com
O1 - Hosts: 82.81.82.81 www.rbsdigital.com
O1 - Hosts: 82.81.82.81 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 82.81.82.81 hsbc.co.uk
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: Quick Zip_is1 - {D9C21ECF-E632-100C-1220-AAC2E5CE619C} - c:\program files\quickzip\wintvddr32.dll (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\winstall.exe

6 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

7 Redémarre normalement et poste un nouveau log HijackThis pour vérification.
30 Août 2005 11:32:36

Quand j'ai scanné en mode sans echec il n'y avait plus les cases suivantes:

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe

Ensuite C:/winstall.exe n'y etait plus non plus (apres avoir fait fix checked)

Voici le rapport de fin:

Logfile of HijackThis v1.99.1
Scan saved at 11:29:25, on 30/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{06BC3E5E-8BFC-4931-B056-55690AE888B5}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

30 Août 2005 14:14:04

D'accord, merci beaucoup pour votre aide :) 

Voici le rapport Panda:

Un logiciel malveillant a été découvert !
Analyse terminée
Détecté Désinfecté
Virus 1 1
Logiciel espion 27 0
Outils de piratage 0 0
Numéroteurs 0 0
Risques de sécurité 0 0
Fichiers suspects 2 0



----------------------------------------------
Rapport:


Incident Statut Analyse

Adware:adware/adsmart No Désinfecté C:\WINDOWS\SYSTEM32\vx.tll
Virus Eventuel. No Désinfecté C:\Program Files\MicroStar\WLANUtility\APUtility.exe
Spyware:Spyware/Cydoor No Désinfecté C:\Program Files\Spybot - Search & Destroy\Dummies\dummy.cd_clint.dll
Virus Eventuel. No Désinfecté C:\MSI_WLAN_Software4.1.16.26\Data1.cab[APUtility.exe]
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP9\A0003684.exe
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP10\A0003695.exe
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP10\A0003696.dll
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP10\A0003697.dll
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP10\A0003699.exe
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP11\A0007767.exe
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP11\A0007768.dll
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP11\A0007769.dll
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP11\A0007772.exe
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP11\A0009830.exe
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP11\A0009832.dll
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP11\A0009833.dll
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP15\A0009863.exe
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009871.exe
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009872.exe
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009874.dll
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009875.dll
Adware:Adware/AzeSearch No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009885.exe
Adware:Adware/AzeSearch No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009886.exe
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009887.exe
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009890.EXE
Virus:Trj/Sapilayr.A Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009892.dll
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009904.dll
Adware:Adware/SpywareNo No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009905.dll
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009906.exe
Adware:Adware/SpySheriff No Désinfecté C:\System Volume Information\_restore{707E1476-6C8F-4019-990F-82D2783A3808}\RP16\A0009907.exe

30 Août 2005 20:42:48

Re

Supprimes le fichier suivant
C:\WINDOWS\SYSTEM32\vx.tll
En mode sans échec si nécessaire.

Ensuite, les autres sont dans la restauration système.
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.

Puis redémarrer l'ordinateur et faire l'opération inverse en décochant la case Désactiver la restauration systéme.
30 Août 2005 21:31:21

Oky c'est tout bon merci, j' ai rescanné avec Panda ya rien d'infectieux sauf ceci dans system32:

zolker010.dll

D'apres les commentaires c'est un spyware (Azesearch), je l'ai supprimé du dossier system32

Merci beaucoup pour votre aide
Au revoir

Cordialement Drazh
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS