Virus? sablier bloqué et icône inactif
Fermé
hervéLille
-
7 août 2005 à 00:15
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 11 août 2005 à 19:25
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 11 août 2005 à 19:25
A voir également:
- Virus? sablier bloqué et icône inactif
- Uptobox bloqué - Guide
- Code puk bloqué - Guide
- Comment savoir si on est bloqué sur messenger - Guide
- Pavé tactile bloqué - Guide
- Compte gmail bloqué - Guide
22 réponses
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
7 août 2005 à 00:30
7 août 2005 à 00:30
salut
je vois que tu parle de smitfraud
si tu peut telecharge ceci
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le
redemarre en sans echec
relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport
redemarre
et completer a la fin par hijack
je vois que tu parle de smitfraud
si tu peut telecharge ceci
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le
redemarre en sans echec
relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport
redemarre
et completer a la fin par hijack
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
7 août 2005 à 10:21
7 août 2005 à 10:21
hijack fait le en mode normal sinon c est pas bon
As-tu vu ma remarque suivante pour smitfraud :
Il me semble très important de préciser que le bloc notes ne reprend pas cette phrase manquante généré par smitfraud
après c:\WINNT\system32\LogFiles :
Le chemin d'accès spécifié est introuvable
C'est peut-être la cause du sablier bloqué?
Voici le rapport en mode normal :
Logfile of HijackThis v1.99.1
Scan saved at 11:02:09, on 07/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\taskmgr.exe
C:\Hervé\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [QCTRAY] C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINNT\System32\QCONSVC.EXE
Merci pour ton aide
Il me semble très important de préciser que le bloc notes ne reprend pas cette phrase manquante généré par smitfraud
après c:\WINNT\system32\LogFiles :
Le chemin d'accès spécifié est introuvable
C'est peut-être la cause du sablier bloqué?
Voici le rapport en mode normal :
Logfile of HijackThis v1.99.1
Scan saved at 11:02:09, on 07/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\taskmgr.exe
C:\Hervé\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [QCTRAY] C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINNT\System32\QCONSVC.EXE
Merci pour ton aide
J'ai effectivement posté mon problème sur plusieurs site sur conseil trouvé sur d'autres sites.
Je ne savais pas que ce n'étais pas apprécié et j'en suis sincèrement désolé.
Je pense que cela permet d'avancer plus vite et de faire profiter tout le monde des solutions.
Bien entendu, je ferais part de la solution (si il y en a une) sur chaque site ou j'ai soulevé le problème.
Je pense que le partage du savoir fait avancer le niveau de connaissances de chacun.
Accepte mes excuses si malgré cela tu n'accepte pas ma position.
Je respecte ton point de vue et je t'en voudrais pas pour autant si tu laisse tomber mon problème.
Je ne savais pas que ce n'étais pas apprécié et j'en suis sincèrement désolé.
Je pense que cela permet d'avancer plus vite et de faire profiter tout le monde des solutions.
Bien entendu, je ferais part de la solution (si il y en a une) sur chaque site ou j'ai soulevé le problème.
Je pense que le partage du savoir fait avancer le niveau de connaissances de chacun.
Accepte mes excuses si malgré cela tu n'accepte pas ma position.
Je respecte ton point de vue et je t'en voudrais pas pour autant si tu laisse tomber mon problème.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
7 août 2005 à 20:19
7 août 2005 à 20:19
pas grave je regarde ton log et je revient
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
7 août 2005 à 20:28
7 août 2005 à 20:28
je vois rien sur ton log
a part que tu as du ma affee du avg et du kaspery
desactive les de facon a ne garder qu un anti virus et pare feu
ensuite fait ceci pour voir
Télécharge ceci SilentRunners.
http://www.silentrunners.org/Silent%20Runners.vbs
Lance-le
Copie/colle-le rapport ici
a part que tu as du ma affee du avg et du kaspery
desactive les de facon a ne garder qu un anti virus et pare feu
ensuite fait ceci pour voir
Télécharge ceci SilentRunners.
http://www.silentrunners.org/Silent%20Runners.vbs
Lance-le
Copie/colle-le rapport ici
Ok
Pour l'instant j'ai démarré sous administrateur en mode normal. Tous les icônes sont présents mais il reste le problème du sablier bloqué. J'ai pu lancé avg 7.0 et il m'a trouvé le trojan Itsbar. Mais je pense que je dois désactiver la restauration du système afin que l'éradication soit prise en compte. Je compte la désactiver en lançant la console MMC. Qu'en penses tu ?
Si le problème persiste, je poursuis avec ta manipulation.
J'attends ton avis avant de poursuivre.
Pour l'instant j'ai démarré sous administrateur en mode normal. Tous les icônes sont présents mais il reste le problème du sablier bloqué. J'ai pu lancé avg 7.0 et il m'a trouvé le trojan Itsbar. Mais je pense que je dois désactiver la restauration du système afin que l'éradication soit prise en compte. Je compte la désactiver en lançant la console MMC. Qu'en penses tu ?
Si le problème persiste, je poursuis avec ta manipulation.
J'attends ton avis avant de poursuivre.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
7 août 2005 à 21:01
7 août 2005 à 21:01
ou trouve t il se trojan son emplacement
oui pour la restauration et fait la suite stp
oui pour la restauration et fait la suite stp
Désolé j'ai mis beaucoup de temps mais j'ai eu des problèmes.
J'ai désinstallé Kaspersky.
Le trojan se trouve dans :
c:documents and settings\default user\local settings\temporary internet files\contents.IE5\YH6W3CWH\cxtpls_loader[1]exe
et
c:documents and settings\td\local settings\temporary internet files\contents.IE5\01YFSPIF\cxtpls_loader[1]exe
Je n'ai pas pu utiliser la console MMC. Quand on fait ajouter puis terminer elle bloque à ce niveau (pas de réponse).
Pour silent runners, je le lance à partir de ma clé usb, il travaille puis'enregistre un fichier sur ma clé mais je perds le fichier quand j'enlève la clé car je ne peux pas cliquer sur l'icône arréter dans la barre de tâche. (idem si je ferme l'ordinateur avant d'enlever ma clé. Il faut que j'arrive à trouver le programme qui gère la déconnexxion de la clé. Je n'ai qu'un lecteur de disquettes sur un des 2 PC (sinon j'aurai pu utiliser cette solution).
En attendant que je trouve, si tu as une idée.
Dés que j'ai trouvé je te poste le rapport.
merci pour ta patience
J'ai désinstallé Kaspersky.
Le trojan se trouve dans :
c:documents and settings\default user\local settings\temporary internet files\contents.IE5\YH6W3CWH\cxtpls_loader[1]exe
et
c:documents and settings\td\local settings\temporary internet files\contents.IE5\01YFSPIF\cxtpls_loader[1]exe
Je n'ai pas pu utiliser la console MMC. Quand on fait ajouter puis terminer elle bloque à ce niveau (pas de réponse).
Pour silent runners, je le lance à partir de ma clé usb, il travaille puis'enregistre un fichier sur ma clé mais je perds le fichier quand j'enlève la clé car je ne peux pas cliquer sur l'icône arréter dans la barre de tâche. (idem si je ferme l'ordinateur avant d'enlever ma clé. Il faut que j'arrive à trouver le programme qui gère la déconnexxion de la clé. Je n'ai qu'un lecteur de disquettes sur un des 2 PC (sinon j'aurai pu utiliser cette solution).
En attendant que je trouve, si tu as une idée.
Dés que j'ai trouvé je te poste le rapport.
merci pour ta patience
C'est bon voici le rapport :
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UC_SMB" = (empty string)
"TrackPointSrv" = "tp4serv.exe" ["IBM Corporation"]
"TPTRAY" = "C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" ["IBM Corp."]
"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"TP4EX" = "tp4ex.exe" ["IBM Corporation"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"StorageGuard" = ""C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r" [file not found]
"QCTRAY" = "C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe" [null data]
"PRPCMonitor" = "PRPCUI.exe" ["Intel Corporation"]
"PestPatrol Control Center" = "C:\Program Files\PestPatrol\PPControl.exe" [null data]
"NeroCheck" = "C:\WINNT\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Program Files\Ahead\InCD\InCD.exe" [null data]
"dla" = "C:\WINNT\system32\dla\tfswctrl.exe" ["VERITAS Software, Inc."]
"CSScheduleCheck" = "C:\CFGSAFE\SCHWIZEX.EXE -CHECK" ["imagine LAN, Inc."]
"ConfigSafe" = "C:\CFGSAFE\NTFSCLUP.EXE" ["imagine LAN, Inc."]
"BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"adiras" = "adiras.exe" [file not found]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\dla\tfswshx.dll" ["VERITAS Software, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Séparateur du Classeur Microsoft Office"
-> {CLSID}\InProcServer32\(Default) = "C:\MSOffice\Office\explode.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office\olkfstub.dll" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{1DD7CBED-2F05-11D3-A521-00400514C916}" = "ˆ*ƒ" (unwriteable string)
-> {CLSID}\InProcServer32\(Default) = "C:\CFGSAFE\CSHOOK.DLL" ["imagine LAN, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "(Aucun)" [file not found]
Startup items in "Administrateur" & "All Users" startup folders:
----------------------------------------------------------------
C:\Documents and Settings\Administrateur.FDESPRES\Menu Démarrer\Programmes\Démarrage
"MS Office - Démarrage accéléré" -> shortcut to: "C:\MSOffice\Office\FASTBOOT.EXE" [null data]
"Gestionnaire Microsoft Office" -> shortcut to: "C:\MSOffice\Office\MSOFFICE.EXE" [MS]
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]
Enabled Scheduled Tasks:
------------------------
"BMMTask" -> launches: "C:\PROGRA~1\ThinkPad\UTILIT~1\Bmmtask.exe" [null data]
"Image planifiée" -> launches: "C:\CFGSAFE\SCHWIZEX.EXE -SNAP" ["imagine LAN, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\ = "SideFind" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SideFind\sidefind.dll" [file not found]
Miscellaneous IE Hijack Points
------------------------------
C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
AVSync Manager, AvSynMgr, ""C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe"" ["Network Associates, Inc."]
HID Input Service, HidServ, "C:\WINNT\system32\hidserv.exe" [MS]
IBM PM Service, IBMPMSVC, "C:\WINNT\System32\ibmpmsvc.exe" [null data]
McShield, McShield, ""C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe"" ["Network Associates, Inc."]
QCONSVC, QCONSVC, "System32\QCONSVC.EXE" [null data]
Système d'événements de COM+, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 110 seconds, including 18 seconds for message boxes)
A plus tard
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UC_SMB" = (empty string)
"TrackPointSrv" = "tp4serv.exe" ["IBM Corporation"]
"TPTRAY" = "C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" ["IBM Corp."]
"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"TP4EX" = "tp4ex.exe" ["IBM Corporation"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"StorageGuard" = ""C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r" [file not found]
"QCTRAY" = "C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe" [null data]
"PRPCMonitor" = "PRPCUI.exe" ["Intel Corporation"]
"PestPatrol Control Center" = "C:\Program Files\PestPatrol\PPControl.exe" [null data]
"NeroCheck" = "C:\WINNT\System32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Program Files\Ahead\InCD\InCD.exe" [null data]
"dla" = "C:\WINNT\system32\dla\tfswctrl.exe" ["VERITAS Software, Inc."]
"CSScheduleCheck" = "C:\CFGSAFE\SCHWIZEX.EXE -CHECK" ["imagine LAN, Inc."]
"ConfigSafe" = "C:\CFGSAFE\NTFSCLUP.EXE" ["imagine LAN, Inc."]
"BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"adiras" = "adiras.exe" [file not found]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\dla\tfswshx.dll" ["VERITAS Software, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Séparateur du Classeur Microsoft Office"
-> {CLSID}\InProcServer32\(Default) = "C:\MSOffice\Office\explode.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office\olkfstub.dll" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{1DD7CBED-2F05-11D3-A521-00400514C916}" = "ˆ*ƒ" (unwriteable string)
-> {CLSID}\InProcServer32\(Default) = "C:\CFGSAFE\CSHOOK.DLL" ["imagine LAN, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "(Aucun)" [file not found]
Startup items in "Administrateur" & "All Users" startup folders:
----------------------------------------------------------------
C:\Documents and Settings\Administrateur.FDESPRES\Menu Démarrer\Programmes\Démarrage
"MS Office - Démarrage accéléré" -> shortcut to: "C:\MSOffice\Office\FASTBOOT.EXE" [null data]
"Gestionnaire Microsoft Office" -> shortcut to: "C:\MSOffice\Office\MSOFFICE.EXE" [MS]
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]
Enabled Scheduled Tasks:
------------------------
"BMMTask" -> launches: "C:\PROGRA~1\ThinkPad\UTILIT~1\Bmmtask.exe" [null data]
"Image planifiée" -> launches: "C:\CFGSAFE\SCHWIZEX.EXE -SNAP" ["imagine LAN, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\ = "SideFind" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SideFind\sidefind.dll" [file not found]
Miscellaneous IE Hijack Points
------------------------------
C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]
AVSync Manager, AvSynMgr, ""C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe"" ["Network Associates, Inc."]
HID Input Service, HidServ, "C:\WINNT\system32\hidserv.exe" [MS]
IBM PM Service, IBMPMSVC, "C:\WINNT\System32\ibmpmsvc.exe" [null data]
McShield, McShield, ""C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe"" ["Network Associates, Inc."]
QCONSVC, QCONSVC, "System32\QCONSVC.EXE" [null data]
Système d'événements de COM+, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 110 seconds, including 18 seconds for message boxes)
A plus tard
Utilisateur anonyme
8 août 2005 à 21:02
8 août 2005 à 21:02
salut
je crois que balltrap n'est pas la aujourd'hui (cause deplacement boulot)
ton silentrunners est ok
est ce que les deux fichiers detectés sont toujours là ?
c:documents and settings\default user\local settings\temporary internet files\contents.IE5\YH6W3CWH\cxtpls_loader[1]exe
et
c:documents and settings\td\local settings\temporary internet files\contents.IE5\01YFSPIF\cxtpls_loader[1]exe
a+
je crois que balltrap n'est pas la aujourd'hui (cause deplacement boulot)
ton silentrunners est ok
est ce que les deux fichiers detectés sont toujours là ?
c:documents and settings\default user\local settings\temporary internet files\contents.IE5\YH6W3CWH\cxtpls_loader[1]exe
et
c:documents and settings\td\local settings\temporary internet files\contents.IE5\01YFSPIF\cxtpls_loader[1]exe
a+
Mon silentrunner est ok malgré les deux infection warning ci-dessous ? :
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{1DD7CBED-2F05-11D3-A521-00400514C916}" = "ˆ*ƒ" (unwriteable string)
-> {CLSID}\InProcServer32\(Default) = "C:\CFGSAFE\CSHOOK.DLL" ["imagine LAN, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
AVG a effacé les deux fichiers trojan.
J'ai regéné un rapport Hijack This et Silent Runners en mode normal et sous administrateur :
Logfile of HijackThis v1.99.1
Scan saved at 22:56:03, on 08/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\System32\tp4serv.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\System32\taskmgr.exe
C:\Hervé\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [QCTRAY] C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINNT\System32\QCONSVC.EXE
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UC_SMB" = (empty string)
"TrackPointSrv" = "tp4serv.exe" ["IBM Corporation"]
"TPTRAY" = "C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" ["IBM Corp."]
"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"TP4EX" = "tp4ex.exe" ["IBM Corporation"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"StorageGuard" = ""C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r" [file not found]
"QCTRAY" = "C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe" [null data]
"PRPCMonitor" = "PRPCUI.exe" ["Intel Corporation"]
"dla" = "C:\WINNT\system32\dla\tfswctrl.exe" ["VERITAS Software, Inc."]
"CSScheduleCheck" = "C:\CFGSAFE\SCHWIZEX.EXE -CHECK" ["imagine LAN, Inc."]
"ConfigSafe" = "C:\CFGSAFE\NTFSCLUP.EXE" ["imagine LAN, Inc."]
"BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"adiras" = "adiras.exe" [file not found]
"tcactive" = "C:\Program Files\The Cleaner\tca.exe" ["MooSoft Development"]
"tcmonitor" = "C:\Program Files\The Cleaner\tcm.exe" ["MooSoft Development"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\dla\tfswshx.dll" ["VERITAS Software, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Séparateur du Classeur Microsoft Office"
-> {CLSID}\InProcServer32\(Default) = "C:\MSOffice\Office\explode.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office\olkfstub.dll" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" [file not found]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" [file not found]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\a2\A2CONT~1.DLL" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{1DD7CBED-2F05-11D3-A521-00400514C916}" = "ˆ*ƒ" (unwriteable string)
-> {CLSID}\InProcServer32\(Default) = "C:\CFGSAFE\CSHOOK.DLL" ["imagine LAN, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" [file not found]
TheCleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\a2\A2CONT~1.DLL" [file not found]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" [file not found]
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "(Aucun)" [file not found]
Enabled Scheduled Tasks:
------------------------
"BMMTask" -> launches: "C:\PROGRA~1\ThinkPad\UTILIT~1\Bmmtask.exe" [null data]
"Image planifiée" -> launches: "C:\CFGSAFE\SCHWIZEX.EXE -SNAP" ["imagine LAN, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\ = "SideFind" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SideFind\sidefind.dll" [file not found]
Miscellaneous IE Hijack Points
------------------------------
C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
HID Input Service, HidServ, "C:\WINNT\system32\hidserv.exe" [MS]
IBM PM Service, IBMPMSVC, "C:\WINNT\System32\ibmpmsvc.exe" [null data]
QCONSVC, QCONSVC, "System32\QCONSVC.EXE" [null data]
Système d'événements de COM+, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 24 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 7 seconds.
---------- (total run time: 73 seconds)
Sont-ils correctes ?
Faut-il lancer ces rapports sous le nom d'utilisateur habituel (TD).
A défaut que dois je faire ?
merci d'avance pour vos réponses,
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{1DD7CBED-2F05-11D3-A521-00400514C916}" = "ˆ*ƒ" (unwriteable string)
-> {CLSID}\InProcServer32\(Default) = "C:\CFGSAFE\CSHOOK.DLL" ["imagine LAN, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
AVG a effacé les deux fichiers trojan.
J'ai regéné un rapport Hijack This et Silent Runners en mode normal et sous administrateur :
Logfile of HijackThis v1.99.1
Scan saved at 22:56:03, on 08/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\System32\tp4serv.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\System32\taskmgr.exe
C:\Hervé\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [QCTRAY] C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK
O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINNT\System32\QCONSVC.EXE
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UC_SMB" = (empty string)
"TrackPointSrv" = "tp4serv.exe" ["IBM Corporation"]
"TPTRAY" = "C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" ["IBM Corp."]
"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]
"TP4EX" = "tp4ex.exe" ["IBM Corporation"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"StorageGuard" = ""C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r" [file not found]
"QCTRAY" = "C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe" [null data]
"PRPCMonitor" = "PRPCUI.exe" ["Intel Corporation"]
"dla" = "C:\WINNT\system32\dla\tfswctrl.exe" ["VERITAS Software, Inc."]
"CSScheduleCheck" = "C:\CFGSAFE\SCHWIZEX.EXE -CHECK" ["imagine LAN, Inc."]
"ConfigSafe" = "C:\CFGSAFE\NTFSCLUP.EXE" ["imagine LAN, Inc."]
"BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"adiras" = "adiras.exe" [file not found]
"tcactive" = "C:\Program Files\The Cleaner\tca.exe" ["MooSoft Development"]
"tcmonitor" = "C:\Program Files\The Cleaner\tcm.exe" ["MooSoft Development"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\dla\tfswshx.dll" ["VERITAS Software, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Séparateur du Classeur Microsoft Office"
-> {CLSID}\InProcServer32\(Default) = "C:\MSOffice\Office\explode.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office\olkfstub.dll" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" [file not found]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" [file not found]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\a2\A2CONT~1.DLL" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{1DD7CBED-2F05-11D3-A521-00400514C916}" = "ˆ*ƒ" (unwriteable string)
-> {CLSID}\InProcServer32\(Default) = "C:\CFGSAFE\CSHOOK.DLL" ["imagine LAN, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! nwprovau\DLLName = "nwprovau.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" [file not found]
TheCleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\a2\A2CONT~1.DLL" [file not found]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" [file not found]
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\The Cleaner\tcshellex.dll" ["MooSoft Development"]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "(Aucun)" [file not found]
Enabled Scheduled Tasks:
------------------------
"BMMTask" -> launches: "C:\PROGRA~1\ThinkPad\UTILIT~1\Bmmtask.exe" [null data]
"Image planifiée" -> launches: "C:\CFGSAFE\SCHWIZEX.EXE -SNAP" ["imagine LAN, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\ = "SideFind" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SideFind\sidefind.dll" [file not found]
Miscellaneous IE Hijack Points
------------------------------
C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 2 lines
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
HID Input Service, HidServ, "C:\WINNT\system32\hidserv.exe" [MS]
IBM PM Service, IBMPMSVC, "C:\WINNT\System32\ibmpmsvc.exe" [null data]
QCONSVC, QCONSVC, "System32\QCONSVC.EXE" [null data]
Système d'événements de COM+, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 24 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 7 seconds.
---------- (total run time: 73 seconds)
Sont-ils correctes ?
Faut-il lancer ces rapports sous le nom d'utilisateur habituel (TD).
A défaut que dois je faire ?
merci d'avance pour vos réponses,
Utilisateur anonyme
8 août 2005 à 23:47
8 août 2005 à 23:47
Salut
c'est pas parce qu'il y à marqué infection warning que c'est forcement mauvais
nwprovau.dll
http://castlecops.com/o20list-16.html
fichier signé microsoft
ConfigSafe Install Guard
fichier signé par imagine LAN, Inc
par contre j'avais pas vu ceci à la 1ere lecture
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\ = "SideFind" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SideFind\sidefind.dll" [file not found]
C:\Program Files\SideFind <- a supprimer
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453088285
a+
c'est pas parce qu'il y à marqué infection warning que c'est forcement mauvais
nwprovau.dll
http://castlecops.com/o20list-16.html
fichier signé microsoft
ConfigSafe Install Guard
fichier signé par imagine LAN, Inc
par contre j'avais pas vu ceci à la 1ere lecture
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{8CBA1B49-8144-4721-A7B1-64C578C9EED7}\ = "SideFind" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SideFind\sidefind.dll" [file not found]
C:\Program Files\SideFind <- a supprimer
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453088285
a+
Bonsoir,
Merci pour tes précisions, je pensais que tu n'avais pas vu ces éléments dans la masse des demandes à traiter.
J'ai effectué le nécessaire pour sidefind mais mon problème reste entier.
Que faire ? Est-il possible qu'il reste une trace des trojan Itsbar et Smitfraud sur le PC.
Faut-il tenter une réparation des fichiers système et comment faire?
A+
Merci pour tes précisions, je pensais que tu n'avais pas vu ces éléments dans la masse des demandes à traiter.
J'ai effectué le nécessaire pour sidefind mais mon problème reste entier.
Que faire ? Est-il possible qu'il reste une trace des trojan Itsbar et Smitfraud sur le PC.
Faut-il tenter une réparation des fichiers système et comment faire?
A+
Utilisateur anonyme
10 août 2005 à 22:13
10 août 2005 à 22:13
pour voir s'il reste des traces de smitfraud, telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
a+
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
a+
Je précise que j'ai généré le rapport en mode sans échec et après avoir tuer le processus explorer exe.
Le voici :
SmitFraudFix v1.5
Rapport fait à 22:23:37,21 le mer. 10/08/2005
Executé à partir de C:\Herv‚\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
C:\WINNT\system32\oleext.dll PRESENT !
C:\WINNT\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur.FDESPRES\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\WINNT\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C s'appelle IBM_PRELOAD
Le num‚ro de s‚rie du volume est 2B2D-15D1
R‚pertoire de C:\WINNT\system32
30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets
R‚pertoire de C:\WINNT\system32\dllcache
30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets
R‚pertoire de C:\WINNT\$NtUninstallSP2SRP1$
07/05/2001 17:00 472ÿ848 wininet.dll
1 fichier(s) 472ÿ848 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Merci pour son analyse,
Le voici :
SmitFraudFix v1.5
Rapport fait à 22:23:37,21 le mer. 10/08/2005
Executé à partir de C:\Herv‚\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
C:\WINNT\system32\oleext.dll PRESENT !
C:\WINNT\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Administrateur.FDESPRES\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
C:\WINNT\system32\wininet.dll infecté !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
Le volume dans le lecteur C s'appelle IBM_PRELOAD
Le num‚ro de s‚rie du volume est 2B2D-15D1
R‚pertoire de C:\WINNT\system32
30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets
R‚pertoire de C:\WINNT\system32\dllcache
30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets
R‚pertoire de C:\WINNT\$NtUninstallSP2SRP1$
07/05/2001 17:00 472ÿ848 wininet.dll
1 fichier(s) 472ÿ848 octets
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Merci pour son analyse,
Utilisateur anonyme
10 août 2005 à 22:41
10 août 2005 à 22:41
smitfraud est bien là, et en plus le fichier systeme wininet et infecté
relance le et choisis l'option 2, accepte le nettoyage
une fois fais sauvegarde le rapport, un reboot est necessaire pour finir la desinfection
une fois fait, poste le rapport
relance le et choisis l'option 2, accepte le nettoyage
une fois fais sauvegarde le rapport, un reboot est necessaire pour finir la desinfection
une fois fait, poste le rapport
MIRACLE !!!!!!
J'ai enfin accés au menu démarrer et plus de sablier.
Le fichier wininet a été réparé grâce à une copie dans le backup.
Voici le rapport :
SmitFraudFix v1.5
Rapport fait à 22:53:46,76 le mer. 10/08/2005
Executé à partir de C:\Herv‚\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Problème suppression C:\WINNT\system32\oleext.dll
C:\WINNT\system32\wppp.html supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll
C:\WINNT\system32\wininet.dll infecté !
Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C s'appelle IBM_PRELOAD
Le num‚ro de s‚rie du volume est 2B2D-15D1
R‚pertoire de C:\WINNT\system32
30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets
R‚pertoire de C:\WINNT\system32\dllcache
30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets
R‚pertoire de C:\WINNT\$NtUninstallSP2SRP1$
07/05/2001 17:00 472ÿ848 wininet.dll
1 fichier(s) 472ÿ848 octets
Fichier trouvé : C:\WINNT\system32\dllcache\wininet.dll
Version System : 6.0.2800.1106
Version BackUp : 6.0.2800.1106
Remplacement wininet.dll (reboot necessaire)
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Je te remercie énormément pour ce dépannage.
Je suppose qu'il reste une série de vérifications à faire.
Et enfin, si je peux avoir tes conseils pour blinder cette ordinateur pour ne plus avoir de problème.
Merci d'avance,
J'ai enfin accés au menu démarrer et plus de sablier.
Le fichier wininet a été réparé grâce à une copie dans le backup.
Voici le rapport :
SmitFraudFix v1.5
Rapport fait à 22:53:46,76 le mer. 10/08/2005
Executé à partir de C:\Herv‚\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Problème suppression C:\WINNT\system32\oleext.dll
C:\WINNT\system32\wppp.html supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll
C:\WINNT\system32\wininet.dll infecté !
Recherche d'une copie de secours (backup) de wininet.dll...
Le volume dans le lecteur C s'appelle IBM_PRELOAD
Le num‚ro de s‚rie du volume est 2B2D-15D1
R‚pertoire de C:\WINNT\system32
30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets
R‚pertoire de C:\WINNT\system32\dllcache
30/08/2002 18:24 590ÿ336 wininet.dll
1 fichier(s) 590ÿ336 octets
R‚pertoire de C:\WINNT\$NtUninstallSP2SRP1$
07/05/2001 17:00 472ÿ848 wininet.dll
1 fichier(s) 472ÿ848 octets
Fichier trouvé : C:\WINNT\system32\dllcache\wininet.dll
Version System : 6.0.2800.1106
Version BackUp : 6.0.2800.1106
Remplacement wininet.dll (reboot necessaire)
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Je te remercie énormément pour ce dépannage.
Je suppose qu'il reste une série de vérifications à faire.
Et enfin, si je peux avoir tes conseils pour blinder cette ordinateur pour ne plus avoir de problème.
Merci d'avance,
Utilisateur anonyme
10 août 2005 à 23:10
10 août 2005 à 23:10
tu as bien fais de mentionné smitfraud, sinon impossible de faire le rapprochement.
tu as plusieurs av d'installés ?
je vois avg et kaspersky, mais aucun d'entre eux n'a l'air de tourner ?
a+
tu as plusieurs av d'installés ?
je vois avg et kaspersky, mais aucun d'entre eux n'a l'air de tourner ?
a+
Pour l'instant j'ai désinstallé tous les antivirus. C'était des versions d'essai pour tenter de résoudre le problème.
Je vais installé Bit defender que j'avais acheté car il a été évalué le meilleur dans l'ordinateur individuel de mai 2005.
Comme antispyware, je compte acheter CounterSpy 1.0 noté 2ème dans le même n° de l'OI.
Qu'en penses tu ?
est-ce suffisant ?
Je vais installé Bit defender que j'avais acheté car il a été évalué le meilleur dans l'ordinateur individuel de mai 2005.
Comme antispyware, je compte acheter CounterSpy 1.0 noté 2ème dans le même n° de l'OI.
Qu'en penses tu ?
est-ce suffisant ?
Utilisateur anonyme
10 août 2005 à 23:36
10 août 2005 à 23:36
ok
bitdef est tres bien, bon choix
arrete et desactive ces 2 services via msconfig, si tu n'as plus avg
AVG7 Alert Manager Server
AVG7 Update Service
a+
bitdef est tres bien, bon choix
arrete et desactive ces 2 services via msconfig, si tu n'as plus avg
AVG7 Alert Manager Server
AVG7 Update Service
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
11 août 2005 à 15:09
11 août 2005 à 15:09
la je comprend pas il me semble que je t est fait passer le fix au debut et il na rien trouver?????????
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
11 août 2005 à 17:08
11 août 2005 à 17:08
Salut
Le Fix du début est en version 1.2
La version 1.3 met a jour le fichier wininet.dll infecté par oleext.dll.
La version 1.6 de ce matin ajoute tool2.exe à la longue liste des fichiers responsable des DesktopHijack...
a+
Le Fix du début est en version 1.2
La version 1.3 met a jour le fichier wininet.dll infecté par oleext.dll.
La version 1.6 de ce matin ajoute tool2.exe à la longue liste des fichiers responsable des DesktopHijack...
a+
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
11 août 2005 à 17:56
11 août 2005 à 17:56
oki c est difficile de suivre quand ont est absent d un pc la semaine lol
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
10
11 août 2005 à 18:13
11 août 2005 à 18:13
oui, je te l'accorde en plus ca évolue rapidement...
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
11 août 2005 à 18:15
11 août 2005 à 18:15
lol
Bonjour à tous,
On a eu la chance que j'ai eu un pressentiment en me disant qu'il devait rester quelque chose de ce maudit virus ce qui a permis de m'en débarrasser avec une version plus récente de smifraud.
En tout cas encore un grand merci à touc te votre équipe et j'espère que Balltrap ne m'en veut pas. Cc'était également primordial pour moi de récupérer ces données au plus vite. Malheusement, il m'a fallu ce problème pour sauvegarder mes données (mais bon avec un métier de fou, on a le temps de rien!)
Je désire informer les internautes sur les sites à qui j'ai posé mon soucis en leur communicant votre adresse. Cela pose t-il problème?
D'autre part, j'en profite pour vous poser deux questions (à moins que vous préfériez que je la pose dans une autre catégorie).
1)La machine nettoyée fonctionne avec W2Kpro versions 5.0 n°2195 SP2. Ou puis je trouver une mise à jour à télécharger sur un autre PC pour l'installer via ma clé USB.(ce qui évite de me connecter à Internet tant que je n'ai pas sécurisé ce PC)
2)Comment forcer un point de restauration sur Windows XP SP2.
(autre PC)
Je suis allé sur démarrer panneau de config- perf et maintenance -système- restauration système mais il n'y a pas de case créer un point de restauration.C'est un PC sur lequel je souhaite installer Zeb protect.
Merci d'avance et à +,
On a eu la chance que j'ai eu un pressentiment en me disant qu'il devait rester quelque chose de ce maudit virus ce qui a permis de m'en débarrasser avec une version plus récente de smifraud.
En tout cas encore un grand merci à touc te votre équipe et j'espère que Balltrap ne m'en veut pas. Cc'était également primordial pour moi de récupérer ces données au plus vite. Malheusement, il m'a fallu ce problème pour sauvegarder mes données (mais bon avec un métier de fou, on a le temps de rien!)
Je désire informer les internautes sur les sites à qui j'ai posé mon soucis en leur communicant votre adresse. Cela pose t-il problème?
D'autre part, j'en profite pour vous poser deux questions (à moins que vous préfériez que je la pose dans une autre catégorie).
1)La machine nettoyée fonctionne avec W2Kpro versions 5.0 n°2195 SP2. Ou puis je trouver une mise à jour à télécharger sur un autre PC pour l'installer via ma clé USB.(ce qui évite de me connecter à Internet tant que je n'ai pas sécurisé ce PC)
2)Comment forcer un point de restauration sur Windows XP SP2.
(autre PC)
Je suis allé sur démarrer panneau de config- perf et maintenance -système- restauration système mais il n'y a pas de case créer un point de restauration.C'est un PC sur lequel je souhaite installer Zeb protect.
Merci d'avance et à +,
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
11 août 2005 à 18:53
11 août 2005 à 18:53
je t en veut pas du tous
tu peut donner le lien sur les autres forum pas de soucis
pour se qui est de la restau sous 2000 elle n exixte pas je crois
tu peut donner le lien sur les autres forum pas de soucis
pour se qui est de la restau sous 2000 elle n exixte pas je crois
7 août 2005 à 10:18
Voici le rapport de smitfraud et HijackThis.
SmitFraudFix v1.2
Rapport fait à 10:00:19,96 le dim. 07/08/2005
Executé à partir de C:\Herv‚\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\td\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Il me semble trés important de te préci
ser que le bloc notes ne reprend pas cette phrase manquante généré par smitfraud
après c:\WINNT\system32\LogFiles :
Le chemin d'accés spécifié est introuvable.
Rapport de Hijack (démarrage en mode sans échec puisque j'ai également le problème dans ce mode) :
Logfile of HijackThis v1.99.1
Scan saved at 23:55:35, on 06/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Hervé\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [MSConfig] E:\Outils pr combattre smitfraud\2kmsconfig.exe /auto
O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\td\LOCALS~1\Temp\delus.exe
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
Merci pour ton aide,