Analyse logs hijackthis

Salut Embêté !!!
Tout d'abord, imprime ce message pour ne rien oublier

*** Déconnecte toi d'Internet

*** Vide ton cache Internet :

Panneau de configuration - Options Internet :
- Clique sur "Supprimer les cookies"
- Clique sur "Supprimer les fichiers" en cochant la case
Puis valide ...

*** Désactive la restauration système
Clic droit sur poste de travail - propriétés - onglet Restauration système
Coche "désactiver la restauration système" (accepte le redémarrage).

*** Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.

*** Rend visible les fichiers cachés et système :
Panneau de configuration - Options des dossiers - onglet Affichage
Coche " Afficher les fichiers et dossiers cachés "
Décoche " Masquer les extensions des fichiers dont le type est connu"
Décoche " Masquer les fichiers protégés du système" puis valide

*** Toujours en mode sans échec, lance hijackthis et fixe :
(Coche les cases au début des lignes suivantes)

O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\Run: [Hollaback] mozilla.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKLM\..\RunServices: [Hollaback] mozilla.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [Hollaback] mozilla.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O4 - HKCU\..\Run: [Arht] C:\Program Files\mirt\oaro.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

Puis valide avec Fix Checked


*** Recherche et supprime si présent :

[Dans le cas ou tu utiliserais la fonction Rechercher :
Tous les fichiers et tous les dossiers - Options avancées
• Rechercher dans les dossiers systèmes } DOIT ÊTRE COCHÉ
• Rechercher dans les fichiers et les dossiers cachés } DOIT ÊTRE COCHÉ
• Rechercher dans les sous-dossiers } DOIT ÊTRE COCHÉ

*** Supprime :

C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\WINNT\system32\mozilla.exe

*** Supprime les fichiers temporaires avec ce petit programme :
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

Ou manuellement : vide tout le contenu des dossiers en gras :
-- C:\Documents and Settings\ton compte\Local Settings\Temp
-- C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
-- C:\Temp
-- C:\Windows\Temp
-- C:\WINDOWS\Prefetch : Sauf le fichier layout.ini

*** Vide ta corbeille !

Redémarre normalement ton PC. Ensuite, fais un scan AV ici :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends
Lorsque "Ready" est affiché dans "status", coche la case Autoclean et clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici + un nouveau rapport Hijackthis

Tiens-moi au courant !!!! @+++ ** Neo-Nil@u, porte-manteaux des gentes demoiselles ! **

Salut neo,
et celui la?
c:\program files\180searchassistant\

a+

D'abord merci pour la réactivité et la réponse.

Mais j'ai un problème !!! Impossible de redémarrer en mode sans échec !
Le PC se bloque au tout début du mode. Le curseur clignote tout en haut de l'écran et le clavier ne répond plus :-(

Obligé de "reseter" pour relancer la bestiole.

KoiKeJeFé now ???
Je fais les manips en mode normal ?

Merci encore.

Salut

c'est normal, parfois il faut plusieurs minutes avant d'avoir l'ecran d'acceuil.

a+

Salut, pour le clavier je sais pas, mais je pense que ce doit etre normal, mais quelques fois il faut + de 10 mn pour passer de l'ecran noir à l'ecran d'acceuil.

Bon bin toujours rien :-/
Je m'en doutais un peu !!!

KoiKeJeFé alors ?

Merchi ;-)

Bon, fais la premiere partie de la manip de neo en mode normal et quand tu arrives à la suppression des fichiers:

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip

deconnecte toi d'internet:

1- Double-clic sur KillBox.exe
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit
dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur
OUI

liste:

C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\WINNT\system32\mozilla.exe
C:\Program Files\mirt\oaro.exe
c:\program files\180searchassistant\salmhook.dll

apres le redemarrage, tu supprime :
C:\Program Files\mirt\oaro.exe
c:\program files\180searchassistant

a+

Bon j'ai fait tout ce que tu voulais.
Voilà une nouvelle analyse de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 17:36:05, on 29/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\WINNT\system32\ntscan.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Documents and Settings\Administrateur\msnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe

Par contre j'ai toujours une page IE qui veux se connecter à chaque démarrage "yomanda" !!!
J'utilise FireFox comme browser.

Merci encore à vous ;-))

Bon, pas trop d'amelioration :-(
ca va etre dur sans le mode sans echecs.

essaye ceci:

ouvre le gestionnaire des taches ctrl+alt+suppr
arrete ces processus:

Networksystem.exe
ntscan.exe
ntscan.exe

(clic droit dessus, puis clic sur terminer le processus)


lance hijackthis, coche et fixe:

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bri­dge-c1.cab

rend visibles tous les fichiers et dossiers
Poste de travail > Outils >Options des dossiers
Onglet "Affichage"
Sous "Fichiers et dossiers cachés", cocher "Afficher les fichiers et dossiers cachés"
Désélectionner "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Désélectionner "Masquer les extensions des fichiers dont le type est connu"
Cliquez sur Oui dans la boîte de dialogue qui vous demande confirmation de votre choix.


recherche et supprime:

C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe

si tu ne les trouvent pas, ou ne se laissent pas virer, refais la manip avec killbox.

redemarre le pc et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Accepte le control active x
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

a+

Bon me revoilou :-))

Alors après les dernières manips sus-dites voilà le résultat :

Analyse en ligne :

Scan started at 29/06/2005 18:50:54

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\tmlpmg.exe - TrojanDownloader:Win32/Wintrim.CD -> Infected
C:\WINNT\system32\msklive.dll - TrojanSpy:Win32/Mslagent -> Infected

Analyse hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 19:21:57, on 29/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe

Voilà à votre bon coeur M'ssieurs-dames ;-))

J'en ai d'autres :-(((((

G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe - TrojanDownloader:Win32/Dyfuca.DP -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe - TrojanDownloader:Win32/Dyfuca.DY -> Infected

bouuuuuuuuuuuuuuuuuuuh ;-(((

Ah, c'est déjà mieux

pour le scan de rav, tu peux mettre le rapport entier ici

a+

Re-

Bon désolé pour le retard, mais hier j'ai du interrompre le scan (départ, j'étais pas chez moi).
Voici donc la suite :

Scan started at 30/06/2005 13:48:41

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\tmlpmg.exe - TrojanDownloader:Win32/Wintrim.CD -> Infected
C:\WINNT\system32\msklive.dll - TrojanSpy:Win32/Mslagent -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe - TrojanDownloader:Win32/Dyfuca.DP -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe - TrojanDownloader:Win32/Dyfuca.DY -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\6RARU5YJ\optimize313[1].exe - TrojanDownloader:Win32/Dyfuca.DX -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\85QFSX6N\rogue[1].exe - Trojan:Win32/Small.CY -> Infected
G:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
G:\Program Files\Yegkvz\Cxyfa.exe - Trojan:Win32/Small.CY -> Infected

Scanned
============================
Objects: 100896
Directories: 4962
Archives: 3496
Size(Kb): -267025
Infected files: 7

Found
============================
Viruses found: 6
Suspicious files: 1
Disinfected files: 0
Mail files: 338


Merci encore pour votre aide ;-) Z'@+...che.

JP : Zen, my Nuggets ! ;-)
Le savoir n'est bon que s'il est partagé. 

Salut

telecharge
ChaosShredder
http://www.safechaos.com/download/cs-fr.exe
et supprime les fichiers infectés comme ceci:
http://pageperso.aol.fr/balltrap34/demochaos.htm

C:\WINNT\tmlpmg.exe
C:\WINNT\system32\msklive.dll
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\6RARU5YJ\optimize313[1].exe
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\85QFSX6N\rogue[1].exe
G:\Program Files\Yegkvz\Cxyfa.exe


celui ci, apparement c'est un faux positif de rav
G:\Program Files\WinRAR\Uninstall.exe
donc n'y touche pas.

une fois fait, redemarre ton pc et refais un scan de controle chez rav

a+

Salut

ben c'est ok, ou en sont tes problemes ?

a+

ou en sont tes problemes ?
J'ai des problèmes moi ???
Si c'est du mode sans échec dont tu veux parler, ben je pense pas que ce soit lié !!! Mais peut être me trompe-je !
Quoiqu'il en soit thanks again ;-)

Voilà la dernière analyse hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 19:41:41, on 30/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\system32\spoolsorf.exe
C:\WINNT\system32\scrsave.scr
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AIM\aim.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\Run: [MS Screen Saver] scrsave.scr
O4 - HKLM\..\RunServices: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\RunServices: [MS Screen Saver] scrsave.scr
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - HKCU\..\Run: [MS Screen Saver] scrsave.scr
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe

PS. Je ne suis pas devant le PC (infecté) là, je fais tout ça par "messagerie" interposée et "vnc", donc pour toute manip avec reboot, je n'ai pas accés aux physiquement à la machina. Z'@+...che.

JP : Zen, my Nuggets ! ;-)
Le savoir n'est bon que s'il est partagé. 

Salut

ah ok, je savais pas que tu passais par vnc

2 petits nouveaux dans le hijack!
spoolsorf.exe et scrsave.scr

bon, vu que tu ne peux pas demarrer en sans echec:

si possible faudrait faire la manip hors connection....


Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider


Vérifier si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"
spoolsorf.exe
scrsave.scr

lance hijackthis, et coche et fixe

O4 - HKLM\..\Run: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\Run: [MS Screen Saver] scrsave.scr
O4 - HKLM\..\RunServices: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\RunServices: [MS Screen Saver] scrsave.scr
O4 - HKCU\..\Run: [MS Screen Saver] scrsave.scr

recherche et supprime:

C:\WINNT\system32\spoolsorf.exe
C:\WINNT\system32\scrsave.scr

redemarre le pc et reposte un hijack

a+