[virus-trojan] Backdoor.Trojan mscom32.dll [Résolu]

Fares - Dernière réponse le 25 févr. 2006 à 23:33

bonjours
j'ai norton antivirus qui me sort :

"Le fichier C:\WINDOWS\system32\mscom32.dll est infecté par le virus Backdoor.Trojan." echec de supression

je n'arrive pas a le suprimer en manuel meme en passent en mode sans echec et je n'est meme pas un lecteur diskett pour demarer sous dos. j'ai essayer avast antivirus, ad ware et spy bot rien a faire ils le detecte meme pas

SVP une solution : se trojan me pourri la vie dés que je me connecte sur internet j'ai une page de pub tous les 30 seconde

merci

[virus-trojan] Backdoor.Trojan mscom32.dll »

Suggestions

[virus-trojan] Backdoor.Trojan mscom32.dll
Virus msn : Backdoor trojan... » Forum
Irc trojan_backdoor trojan... &co » Forum
TROJAN BACKDOOR, TROJAN GENERIC » Forum
Virus backdoor trojan child.dll » Forum
Probleme Virus/trojan/backdoor (Résolu) » Forum

Plus

Réponse

-1

boulepate 3Messages postés 19 août 2005Date d'inscription 23 févr. 2006 à 16:33

Salut,

télécharge hijackthis:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Installe le dans son propre dossier:
Par exemple C:\hijackthis
Lance le, clique sur "do a system scan and save logfile"
Puis copie et colle le rapport ici.

A++

Ajouter un commentaire - Site web

Réponse

Fares 24 févr. 2006 à 13:20

bonjours,
voila le logfile

Logfile of HijackThis v1.99.1
Scan saved at 13:16:17, on 24/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Fares\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe
O4 - HKCU\..\Run: [order_Shell] C:\Documents and Settings\Med Fares\order_fkpu.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\ThinkPad\PkgMgr\\PkgMgr.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\lvjm0911e.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

merci

Ajouter un commentaire

boulepate- 24 févr. 2006 à 20:19

Salut,

Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKLM\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe /s
O4 - HKCU\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe
O4 - HKCU\..\Run: [order_Shell] C:\Documents and Settings\Med Fares\order_fkpu.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

cliques sur demarrer, rechercher, cherches et supprimes ce fichier:

svwhost.exe

cliques sur poste de travail?c:, documents and settings, supprimes ce dossier si tu ne connais pas.

Med Fares

puis fais ceci:

¤Telecharge et installe ceci, dans la colonne de gauche clique sur "erreurs" coche toute les cases, puis clique en bas sur "chercher des erreurs" une fois finit, clique sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs

CCleaner:(à telecharger à côté de la fléche verte en haut à droite)
http://www.filehippo.com/download_ccleaner/

¤Relance Ccleaner ,vas dans l'onglet "nettoyeur" present sur la gauche, decoche la derniere case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage"

Puis scan ton pc avec le logiciel donné par Aranjuez que je salut au passage, une fois que c'est fait colle un nouveau rapport hijackthis.

A++

Réponse

-1

aranjuez31 8161Messages postés 7 novembre 2005Date d'inscription 24 févr. 2006 à 13:58

bjr
teléch-instal-scan avec
ewido (dowload)
http://www.ewido.net/fr/download/
COLLE le rapport

Ajouter un commentaire - Site web

Réponse

Fares 25 févr. 2006 à 21:56

salut
je suis desoler boulepate mais je ne trouve pas le fichier svwhost.exe parcontre je trouve un ficher backup svwhost.exe.bak et un autre fichier SVWHOST.EXE-040F0AC5.pf...
j ai une autre question aussi: est ce que vous me demander de suprimer mon dossier dans le dossier documents and settings??

bon voila le rapport de ewindo

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 21:52:10, 25/02/2006
+ Somme de contrôle: 6EFEDF44

+ Résultats du scan:

[1380] C:\WINDOWS\system32\ciiconfg.dll -> Adware.Look2Me : Erreur durant le nettoyage
[968] VM_2AA00000 -> Logger.Banker.asv : Erreur durant le nettoyage
[1032] C:\WINDOWS\System32\mscom32.dll -> Logger.Agent.fr : Erreur durant le nettoyage
[2040] VM_2AA00000 -> Logger.Banker.asv : Erreur durant le nettoyage
[1092] C:\WINDOWS\System32\mscom32.dll -> Logger.Agent.fr : Erreur durant le nettoyage
[1628] VM_2AA00000 -> Logger.Banker.asv : Erreur durant le nettoyage
[1700] VM_2AA00000 -> Logger.Banker.asv : Erreur durant le nettoyage
[1728] VM_2AA00000 -> Logger.Banker.asv : Erreur durant le nettoyage
[2500] C:\WINDOWS\System32\mscom32.dll -> Logger.Agent.fr : Erreur durant le nettoyage
C:\Documents and Settings\Med Fares\Cookies\med fares@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Med Fares\order_fkpu.exe -> Logger.Banker.asv : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.eu : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0017714.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0017715.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0017716.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0017725.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0017726.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0017732.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0017776.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0019216.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0019233.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0019236.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0019343.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0019348.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP69\A0019351.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP70\A0019355.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP70\A0019360.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP71\A0019499.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP71\A0019503.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP71\A0019506.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP71\A0019518.sys -> Backdoor.Agent.ub : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP72\A0019553.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP72\A0019557.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP72\A0019559.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP73\A0019576.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP73\A0019582.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP73\A0019602.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP73\A0019607.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP73\A0019609.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP75\A0019652.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP75\A0019658.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP76\A0019690.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP76\A0019696.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP76\A0019698.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP76\A0019702.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP76\A0019706.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP77\A0019845.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP77\A0019851.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP77\A0019861.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP77\A0019866.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP77\A0019874.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP78\A0019882.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP78\A0019886.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP78\A0019890.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP78\A0019895.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\System Volume Information\_restore{CB1419E9-673B-468C-8409-644A5E6A695D}\RP78\A0019897.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system\svwhost.dll -> Trojan.Agent.nw : Nettoyer et sauvegarder
C:\WINDOWS\system\svwhost.exe -> Backdoor.Agent.qr : Nettoyer et sauvegarder
C:\WINDOWS\system32\cumctl32.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\drvvox.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\dtgest.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\dynput.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\e002lado1d0c.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\kuuser.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\mgvideo.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\mhrecr40.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\mpcsvc.exe -> Logger.Small.dp : Nettoyer et sauvegarder
C:\WINDOWS\system32\mpglibnt.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\mxftedit.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\p68qlgl516q.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\paytime.exe -> Hijacker.StartPage.adi : Nettoyer et sauvegarder
C:\WINDOWS\system32\qvv.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\SbnTPAPI.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\wgd_ci.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\wqaueng1.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__mscom32.dll -> Logger.Agent.fr : Nettoyer et sauvegarder
C:\winstall.exe -> Not-A-Virus.Hoax.Win32.Renos.az : Nettoyer et sauvegarder

::Fin du rapport

et celui de hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 21:53:48, on 25/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Fares\Hijackthis\HijackThis.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\SecuritySuite.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\ThinkPad\PkgMgr\\PkgMgr.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\lvjm0911e.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

encors merci

Ajouter un commentaire

boulepate- 25 févr. 2006 à 22:01

Salut Fares,

J'ai fait des fautes de frappes..

cliques sur poste de travail, C:, documents and settings, supprimes ce dossier si tu ne connais pas.

Med Fares

¤Télécharge l2mfix ici:
http://www.downloads.subratam.org/l2mfix.exe
double clique sur l2mfix.exe pour lancer l'extraction.
dans le dossier l2mfix, double clique sur l2mfix.bat et choisis l'option 1 et valide avec la touche entrée
il va te generer un rapport
Copie et colle le resultat ici s'il te plait.

A++

fares - 25 févr. 2006 à 23:03

Réponse

Fares 25 févr. 2006 à 22:34

salut
voila le rapport

L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\lvjm0911e.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{FA2B831E-42EF-828D-3F44-8005C8B6D4A0}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}"=""
"{55995E85-5698-4A22-98B1-449985DD7323}"=""
"{472083B0-C522-11CF-8763-00608CC02F24}"="avast"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}\InprocServer32]
@="C:\\WINDOWS\\system32\\ciiconfg.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}\InprocServer32]
@="C:\\WINDOWS\\system32\\mxftedit.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
ciiconfg.dll Fri 24 Feb 2006 13:06:54 ..S.R 236 770 231,22 K
dfxg11.dll Mon 2 Jan 2006 21:19:32 A.... 626 688 612,00 K
irj0l5~1.dll Fri 24 Feb 2006 13:06:54 ..S.R 233 755 228,27 K
lvjm09~1.dll Fri 24 Feb 2006 13:02:38 ..S.R 236 770 231,22 K
s32evnt1.dll Tue 3 Jan 2006 15:31:44 A.... 91 904 89,75 K
sirenacm.dll Wed 14 Dec 2005 9:24:42 A.... 118 784 116,00 K
__dele~1.dll Fri 3 Feb 2006 13:23:24 ..... 11 776 11,50 K

7 items found: 7 files (3 H/S), 0 directories.
Total of file sizes: 1 556 447 bytes 1,48 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Le volume dans le lecteur C s'appelle BenCheikh
Le num‚ro de s‚rie du volume est 6C50-9B2D

R‚pertoire de C:\WINDOWS\System32

24/02/2006 13:06 236ÿ770 ciiconfg.dll
24/02/2006 13:06 233ÿ755 irj0l51m1.dll
24/02/2006 13:02 236ÿ770 lvjm0911e.dll
22/02/2006 12:17 <REP> dllcache
02/01/2006 13:57 3ÿ140 KGyGaAvL.sys
02/01/2006 13:54 56 437B14DA7F.sys
30/12/2005 23:34 32 {62D356BE-96ED-452F-8257-CC8AEF7D5AFC}.dat
25/02/2003 19:06 <REP> Microsoft
6 fichier(s) 710ÿ523 octets
2 R‚p(s) 7ÿ473ÿ225ÿ728 octets libres

par contre je compren pas encors vous me demander de suprimer le dossier med fares? mais c'est celui que j utilise pour mon windows
merci

Ajouter un commentaire

boulepate- 25 févr. 2006 à 22:36

Ah bon tu as installé windows dans ce dossier ô_O pas grave du moment que tu sais ce que c'est laisses le :-)

Revenons à nos virus.. .

Relances l2mfix.bat et sélectionne l'option 2
L'ordi va redémarrer automatiquement sinon fais le de toi même
Recopie le rapport et colle le ici (il devrait etre sur le bureau)

Ensuite, relance HijackThis et colle le rapport ici

Réponse

fares 25 févr. 2006 à 22:56

salut

L2mfix 010406
Creating Account.
La commande s'est termin‚e correctement.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 616 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 700 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1376 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1548 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administrateurs ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
Deleting: C:\WINDOWS\system32\i4060edseh060.dll
Successfully Deleted: C:\WINDOWS\system32\i4060edseh060.dll
Deleting: C:\WINDOWS\system32\irj0l51m1.dll
Successfully Deleted: C:\WINDOWS\system32\irj0l51m1.dll
Deleting: C:\WINDOWS\system32\pupusb.dll
Successfully Deleted: C:\WINDOWS\system32\pupusb.dll

msg11?.dll
0 fichier(s) copi‚(s).
Desktop.ini sucessfully removed

Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\URL]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\irj0l51m1.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

The following are the files found:
****************************************************************************
C:\WINDOWS\system32\i4060edseh060.dll
C:\WINDOWS\system32\irj0l51m1.dll
C:\WINDOWS\system32\pupusb.dll

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}\InprocServer32]
@="C:\\WINDOWS\\system32\\pupusb.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}\InprocServer32]
@="C:\\WINDOWS\\system32\\mxftedit.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}"=-
"{55995E85-5698-4A22-98B1-449985DD7323}"=-
[-HKEY_CLASSES_ROOT\CLSID\{B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF}]
[-HKEY_CLASSES_ROOT\CLSID\{55995E85-5698-4A22-98B1-449985DD7323}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/i4060edseh060.dll (164 bytes security) (deflated 6%)
adding: dlls/irj0l51m1.dll (164 bytes security) (deflated 4%)
adding: dlls/pupusb.dll (164 bytes security) (deflated 4%)
adding: backregs/55995E85-5698-4A22-98B1-449985DD7323.reg (212 bytes security) (deflated 70%)
adding: backregs/B5F8B9C3-5F94-4D28-A42A-F8474C58DEEF.reg (212 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 87%)
adding: backregs/shell.reg (164 bytes security) (deflated 49%)

et le raport hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:53:42, on 25/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Fares\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\ThinkPad\PkgMgr\\PkgMgr.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\irj0l51m1.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

Ajouter un commentaire

Afficher les 5 commentaires

Fares - 25 févr. 2006 à 23:09

resalut

au fait j ai pas insateller windows dans med fares mais c'est mon dossier de "documents and settings" je peux pas l effacer y a mes doc (dans mes document) qui partirent avec lui

autre chose comment vous faite pour dégager le probleme dans ces rapport, respect ;)

pour les mise a jours je croi pas que sa sert a autre chose qu a me bourré le disque dur (j ai seulement 30 Go sniff)

encors merci beaucoup

boulepate- 25 févr. 2006 à 23:12

A toi de voir si tu veux installer les mises à jours ou pas, tu es libre de faire ce qui te semble le mieux pour toi..mais ça sert quand même à quelque chose les mises à jour ;-)

En cherchant dans le forum tu trouvera des liens pour interpreter des rapport hijackthis et dans quelques temps tu sera en faire autant :-)

Allez, bonne soirée ;-)

A++

fares - 25 févr. 2006 à 23:16

merci pour le tuyau
et encors merci beaucoup beaucoup et bonne soiré a vous aussi

boulepate› boulepate - 25 févr. 2006 à 23:33

De rien, bonne soirée à toi aussi ;-)

A++

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

[virus-trojan] Backdoor.Trojan mscom32.dll [Résolu]

[virus-trojan] Backdoor.Trojan mscom32.dll »

Passage au tout numérique : quel coût pour les particuliers ?