High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

Virus Win32:Trojan-gen. {Other}

Dernière réponse le 27 fév 2009 à 13:08:47 Lalie, le 1 aoû 2005 à 18:49:22 
 Signaler ce message aux modérateurs

Bonjour,

Avast reconnait ce virus en tant que Win32:Trojan-gen. {Other} qui infecte msdirectx.sys dans c:/Documents and setting/utilisateur mais n'arrive pas à le supprimer. Je n'arrive plus à accéder au mode sans echec. Grand merci à ceux qui peuvent me donner la solution.
Voici le log de Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 08:02:19, on 05/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\System32\mmsvc32.exe
C:\WINDOWS\System32\spools.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\etb\pokapoka62.exe
D:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\UnHackMe\hackmon.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [UnHackMe Monitor] D:\Program Files\UnHackMe\hackmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

D'avance merci ! Lalie

Configuration: AMD Athlon XP 2800+ , 2.25 GHz, 256 Mo RAM, Windows XP Pro SP1

Posez votre question Répondre

1

Lalie, le 2 aoû 2005 à 20:46:03

Bonsoir,

C'est juste pour remonter ce message car je n'ai pas toujours de réponse.

Merci. Lalie

   
Répondre à Lalie

2

moe31, le 2 aoû 2005 à 20:48:53

Salut lalie

reposte un hijack pour voir

a++

   
Répondre à moe31

3

Lalie, le 2 aoû 2005 à 20:52:53
  • +2

Merci moe31. Voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 08:02:19, on 05/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\System32\mmsvc32.exe
C:\WINDOWS\System32\spools.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\etb\pokapoka62.exe
D:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\UnHackMe\hackmon.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [UnHackMe Monitor] D:\Program Files\UnHackMe\hackmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

   
Répondre à Lalie

4

moe31, le 2 aoû 2005 à 21:02:04

Salut

il ya pas mal de chose à supprimer, entre autre ces vers:

W32/Nanpy-A
http://www.sophos.fr/virusinfo/analyses/w32nanpya.html

W32/Kassbot-C
http://www.sophos.fr/virusinfo/analyses/w32rbotld.html

W32/Rbot-YC
http://www.sophos.com/virusinfo/analyses/w32rbotyc.html


est ce que tu peux me dire le nom de tous les fichiers qui ce trouvent dans ce dossier C:\WINDOWS\etb

ensuite je te donne la manip pour le nettoyage

a+

   
Répondre à moe31

5

Lalie, le 2 aoû 2005 à 21:24:33

Salut moe31 et chapeau pour ta rapidité.

Ce dossier est introuvable :
- J'ai coché "Afficher les dossier cachés" et "Afficher les dossiers système" de l'onglet "Affichage"
- J'ai fait une recherche avancée du menu "démarrer".

Merci pour ta précieuse aide. Lalie

   
Répondre à Lalie

6

moe31, le 2 aoû 2005 à 21:29:19
  • +1

C'est bizarre ca car il apparait dans la liste des processus actifs

tu peux lancer une recherche sur pokapoka62.exe
et me dire ou il se trouve ?

à tout de suite

   
Répondre à moe31

7

Lalie, le 2 aoû 2005 à 21:35:40

Je ne trouve non plus ce fichier

   
Répondre à Lalie

8

moe31, le 2 aoû 2005 à 21:46:16
  • +2

Bon, on va faire autrement:

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip

Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache d'Internet Explorer et supprime les cookies:

* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe

valider en cliquant sur [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

ensuite:

demarrer > executer
tape ou copie et colle ce qui est en gras ci-dessous :

sc delete msdirectx

valide

Puis
- Double-clic sur KillBox.exe
(sert toi de l'aide si tu as du mal pour cette manip)
- clic sur tool > puis sur delete temp files
- ouvre le bloc notes et copie la liste en gras ci-dessous
- Selectionne "Delete on Reboot"
- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
- clic sur le rond rouge
- une fenetre va apparaitre pour confirmation clic sur OUI
- une seconde fenetre te demande si tu veux redemarrer clic sur OUI

liste

C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\etb\pokapoka62.exe
C:\WINDOWS\System32\mmsvc32.exe
C:\WINDOWS\System32\spools.exe

le pc devrais redemarrer tout seul, si tu recois un message d'erreur de killbox, redemarre manellement le pc

ensuite supprime msdirectx.sys et reposte un hijack

a+

   
Répondre à moe31

9

Lalie, le 2 aoû 2005 à 23:14:29

Me revoici moe31.

D'abord, je n'ai pas pu accéder au mode sans echec. Les touches de défilement sont bloquées sur le mode normal. Toutes les manipulations étaient donc en mode normal. L'ordinateur se stabilise un peu. Voici le dernier log :

Logfile of HijackThis v1.99.1
Scan saved at 13:12:28, on 06/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\VTTimer.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\etb\pokapoka62.exe
D:\Program Files\UnHackMe\hackmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\andrianaly\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] D:\Program Files\UnHackMe\hackmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.tren­dmicro.com/housecall/xscan53.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe

   
Répondre à Lalie

10

moe31, le 3 aoû 2005 à 16:50:49

Salut lalie

Pour le mode sans echec, essaye d'appuyer sur la touche [verr num], juste avannt de faire defiler les options, on sait jamais..

Ce fichier est toujours là:
C:\WINDOWS\etb\pokapoka62.exe

ouvre le gestionnaire des taches ctrl+alt+suppr et termine le.

lance hijackthis et coche la cade devant la ligne:
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe

valide avec fix checked

lance killbox
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\etb\pokapoka62.exe

- clic sur le rond rouge
- une fenetre va apparaitre pour confirmation clic sur YES
- une seconde fenetre te demande si tu veux redemarrer clic sur YES

Laisse le pc redemarrer et après reposte un log hijackthis.

Fais aussi un scan av ici:
http://www.bitdefender.com/scan/licence.php

a+

   
Répondre à moe31

11

Lalie, le 3 aoû 2005 à 18:51:25

Bonsoir moe31,

Je vais faire ces manips mais je tiens à t'informer :
1) Effectivement, le repertoire etb existe (je l'ai vu sous DOS). Sur quelle adresse je peux t'envoyer la copie d'écran de son contenu ?

2) L'astuce sur le mode sans échec ne marche pas.

A toi et encore merci. Lalie

   
Répondre à Lalie

12

moe31, le 3 aoû 2005 à 18:56:33

Salut

j'ai lu sur un autre post que ce dossier n'était visible qu'en mode sans echec

une autre methode pour demarrer en sans echec:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf­/4f60eedf1156c8068525695b005ca288/49800f30cb84035fc1256b8700­490942?OpenDocument

tu peux mettre ta copie d'ecran ici:
http://www.cjoint.com/

a+

   
Répondre à moe31

13

Lalie, le 3 aoû 2005 à 19:04:20
   
Répondre à Lalie

14

moe31, le 3 aoû 2005 à 19:06:38
  • +4

Essaye de supprimer sous dos C:\WINDOWS\etb

   
Répondre à moe31

15

Lalie, le 3 aoû 2005 à 20:09:49

Juste un feedback, cela peut aider les autres :
- le fichier pokapoka62.exe n'est pas visible même en mode sans echec ou MSDOS, c'est uniquement le dossier etb qui est visible;
- l'astuce de Symantec pour redémarrer l'ordinateur en mode sans échec quand les touches de défilement font défaut fonctionne très bien.
J'attend le résultat du scan avec Bitdefender avant de reposter ici le fichier log. @+ et encore merci !

   
Répondre à Lalie

16

moe31, le 3 aoû 2005 à 20:24:07

Merci pour l'info, d'autant qu'il commence à apparaitre de plus en plus sur certains hijack

tu as pu supprimer le dossier ?

n'oublie pas de cocher et fixer cette ligne dans hijack:
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe

tiens nous au courant

   
Répondre à moe31

17

Lalie, le 3 aoû 2005 à 21:28:39

Voici le log après passage de Bitdefender (trouvé : behaveslike:trojan.downloader), de Avast (trouvés : win32:nanspy, win32sdbot) et de Ad Aware (une cinquantaine de pourritures)

Logfile of HijackThis v1.99.1
Scan saved at 23:07:42, on 03/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\VTTimer.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Firefox\firefox.exe
C:\Documents and Settings\andrianaly\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.tren­dmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0­B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{D673A968-3430-4334-88C0-3­23C9C0C27AE}: NameServer = 193.251.141.253,80.15.245.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0­B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{058D8408-4E46-404D-AFDD-0­B2C52FCFF76}: NameServer = 193.251.141.253,80.15.245.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe

Par contre : plusieurs fenêtres de pub apparaissent successivement m'invitant à visiter : wupdate.net, winregedit.com et regmasters.com . Merci de vos conseils !

   
Répondre à Lalie

18

moe31, le 3 aoû 2005 à 21:31:38

Telecharge Silentrunners
http://www.silentrunners.org/Silent%20Runners.vbs

lance le et poste le rapport

   
Répondre à moe31

19

lalie, le 3 aoû 2005 à 21:44:35

Rapport Silentrunner :

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NWEReboot" = (empty string)
"avast!" = "D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "D:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "andrianaly" & "All Users" startup folders:
------------------------------------------------------------

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Microsoft Office" -> shortcut to: "D:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""D:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
Machine Debug Manager, MDM, ""C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 42 seconds, including 18 seconds for message boxes)

   
Répondre à lalie
40 réponses 12 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide