Les Allergies
Alimentaires
Posez votre question Signaler

[Virus] L2Me, Serwab mais hijack impossible!

Suhji - Dernière réponse le 3 oct. 2006 à 14:23
Bonjour
infecté par look2me et serwab essentiellement, mais mon souci c :
- impossible d'aller au bout d'un scan avec hijackthis : message d'erreur windows "la mémoire de ne peut etre read"
- impossible d'aller au bout d'un l2mremover, écran bleu et vidage de la mémoire physique ...
...et meme en mode sans echec
si qqun a une idée , ou pourrait me filer qques conseils pour enfin arriver a générer un log hijack entier ;
merci a celui ou celle ci ki pourra me filer un tit coup d'pouce ;-)
Lire la suite 

[Virus] L2Me, Serwab mais hijack impossible »

6 réponses
Réponse
+0
moins plus
boulepate62 23346Messages postés 14 mars 2006Date d'inscription 4 avril 2012Dernière intervention 29 sept. 2006 à 22:54
Salut,

essai de faire ça

Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

décompresse SmitfraudFix
Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Suhji 3Messages postés 29 septembre 2006Date d'inscription 2 oct. 2006 à 09:55
salut

merci pr le conseil

ici mon hijackthis que finalement j'ai reussi a générer (je se pas si il est bien complet par c/), et le log smitfraudfix.

Je pense qu'il reste plus grand chose à part look2Me, mais rien n'y fé pour l'enlever.

J'remercie d'avance celui qui s'attardera sur mon cas :-))


SuhJi

LOG SMITFRAUDFIX :
==============

SmitFraudFix v2.102

Rapport fait à 9:48:52,42, lun. 02/10/2006
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\serwab\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


LOG HIJACKTHIS
===========

Logfile of HijackThis v1.99.1
Scan saved at 09:50:15, on 02/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boursorama.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.105:6588
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName


F2 - REG:system.ini: UserInit


O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Program Files\VSToolbar\VSToolBar.dll (file missing)
O4 - HKLM\..\Run: [MSConfig] C:\msconfig.exe /auto
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O15 - Trusted Zone: http://www.boursorama.com
O15 - Trusted Zone: http://www.filnet.fr
O15 - Trusted Zone: http://*.gmail.com
O15 - Trusted Zone: http://ag.proxinvest.com
O15 - Trusted Zone: http://www.proxinvest.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = PROXINVEST.PROXINVEST.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = PROXINVEST.PROXINVEST.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = PROXINVEST.PROXINVEST.com
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
boulepate62 23346Messages postés 14 mars 2006Date d'inscription 4 avril 2012Dernière intervention 2 oct. 2006 à 19:53
Salut,

ok, c'est bon tu peux jeter SmitFraudFix


Installe un anti-virus et un pare-feu car tu vas pas aller loin comme ça

Avast: (anti-virus gratuit en français!)
Avast

Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutorial: pour configurer et comprendre l'utilisation de Kerio
http://kerio.probb.fr/index.htm


Clic poste de travail, C:, program files et supprime ce dossier:

VSToolbar

**Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement


Fait ce scan anti-virus en ligne avec Internet Explorer
Une fois qu'il a terminé colle le rapport ici stp

http://www.bitdefender.com/scan8/ie.html


Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Suhji 3Messages postés 29 septembre 2006Date d'inscription 3 oct. 2006 à 12:09
salut

Ca a vraiment l'air d'aller bp mieux. Ewido a quand meme redétecté au démarrage le L2me et ne peut tjrs pas le supprimer. Bon des fenetres firefox continuent a s'ouvrir un peu de tps en tps.

Mais il y a eu pas mal de progres, merci bp!

SuhJi

Voici le rapport bitdefender :

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EABW6N1T\WinAntiVirusPro2006FreeInstall_fr[1].cab=>UWA6PV_0001_N91M2107NetInstaller.exe
Infected with: Trojan.Downloader.Winfixer.O

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EABW6N1T\WinAntiVirusPro2006FreeInstall_fr[1].cab=>UWA6PV_0001_N91M2107NetInstaller.exe
Disinfection failed

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EABW6N1T\WinAntiVirusPro2006FreeInstall_fr[1].cab=>UWA6PV_0001_N91M2107NetInstaller.exe
Deleted

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EABW6N1T\WinAntiVirusPro2006FreeInstall_fr[1].cab
Update failed

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\XWFM76CG\WinAntiVirusPro2006FreeInstall_fr[1].exe
Infected with: Trojan.Downloader.Winfixer.O

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\XWFM76CG\WinAntiVirusPro2006FreeInstall_fr[1].exe
Disinfection failed

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\XWFM76CG\WinAntiVirusPro2006FreeInstall_fr[1].exe
Deleted

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KFO3SPEL\ctxad-314[1].0000=>(NSIS o)=>zlib_nsis0001
Infected with: Trojan.Clspring.126976.DLL

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KFO3SPEL\ctxad-314[1].0000=>(NSIS o)=>zlib_nsis0001
Disinfection failed

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KFO3SPEL\ctxad-314[1].0000=>(NSIS o)=>zlib_nsis0001
Deleted

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KFO3SPEL\ctxad-314[1].0000=>(NSIS o)
Update failed

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KPAD6FEV\prompt_ie_win[1].js
Infected with: Trojan.Jsdownl.B

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KPAD6FEV\prompt_ie_win[1].js
Disinfection failed

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KPAD6FEV\prompt_ie_win[1].js
Deleted

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KPAD6FEV\prompt_ie_win[2].js
Infected with: Trojan.Jsdownl.B

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KPAD6FEV\prompt_ie_win[2].js
Disinfection failed

C:\Documents and Settings\PROXINVEST\IWAM_DDZNMJ0J\Local Settings\Temporary Internet Files\Content.IE5\KPAD6FEV\prompt_ie_win[2].js
Deleted

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filB0306939.dat=>(gzip)
Infected with: Trojan.Downloader.Tukpat.A

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filB0306939.dat=>(gzip)
Disinfection failed

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filB0306939.dat=>(gzip)
Deleted

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filB0306939.dat
Update failed

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filBF2A0990.dat=>(gzip)
Infected with: Trojan.Downloader.Tukpat.A

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filBF2A0990.dat=>(gzip)
Disinfection failed

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filBF2A0990.dat=>(gzip)
Deleted

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filBF2A0990.dat
Update failed

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filC04E04D1.dat=>(gzip)
Infected with: Trojan.Downloader.Tukpat.A

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filC04E04D1.dat=>(gzip)
Disinfection failed

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filC04E04D1.dat=>(gzip)
Deleted

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filC04E04D1.dat
Update failed

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filDDDDF9E4.dat=>(gzip)
Infected with: Trojan.Downloader.Tukpat.A

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filDDDDF9E4.dat=>(gzip)
Disinfection failed

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filDDDDF9E4.dat=>(gzip)
Deleted

C:\Program Files\ewido anti-spyware 4.0\Quarantine\filDDDDF9E4.dat
Update failed

C:\WINNT\syste32.exe
Infected with: Dropped:Trojan.Downloader.Tukpat.A

C:\WINNT\syste32.exe
Disinfection failed

C:\WINNT\syste32.exe
Deleted

C:\WINNT\system32\byxwvtq.dll
Infected with: DeepScan:Generic.Malware.SYddldg.04597972

C:\WINNT\system32\byxwvtq.dll
Disinfection failed

C:\WINNT\system32\byxwvtq.dll
Deleted

C:\WINNT\system32\eq
Infected with: Generic.Botget.821D8D4C

C:\WINNT\system32\eq
Deleted

C:\WINNT\system32\gebbbaa.dll
Infected with: DeepScan:Generic.Malware.SYddldg.04597972

C:\WINNT\system32\gebbbaa.dll
Disinfection failed

C:\WINNT\system32\gebbbaa.dll
Deleted

C:\WINNT\system32\ii
Infected with: Generic.Botget.6DED5B8F

C:\WINNT\system32\ii
Deleted

C:\WINNT\system32\khfdbcb.dll
Infected with: DeepScan:Generic.Malware.SYddldg.04597972

C:\WINNT\system32\khfdbcb.dll
Disinfection failed

C:\WINNT\system32\khfdbcb.dll
Delete failed

C:\WINNT\system32\serv32.exe
Infected with: Dropped:Trojan.Downloader.Tukpat.A

C:\WINNT\system32\serv32.exe
Disinfection failed

C:\WINNT\system32\serv32.exe
Deleted

C:\WINNT\system32\service32.exe
Infected with: Dropped:Trojan.Downloader.Tukpat.A

C:\WINNT\system32\service32.exe
Disinfection failed

C:\WINNT\system32\service32.exe
Deleted

C:\WINNT\system32\tt
Infected with: Generic.Botget.C45A6DD7

C:\WINNT\system32\tt
Deleted

C:\WINNT\system32\vtuuvvs.dll
Infected with: DeepScan:Generic.Malware.SYddldg.04597972

C:\WINNT\system32\vtuuvvs.dll
Disinfection failed

C:\WINNT\system32\vtuuvvs.dll
Deleted

C:\WINNT\system32\wvusttt.dll
Infected with: DeepScan:Generic.Malware.SYddldg.04597972

C:\WINNT\system32\wvusttt.dll
Disinfection failed

C:\WINNT\system32\wvusttt.dll
Deleted

D:\Program Files\filnet\poubelle\ii
Infected with: Generic.Botget.75006912

D:\Program Files\filnet\poubelle\ii
Deleted

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
boulepate62 23346Messages postés 14 mars 2006Date d'inscription 4 avril 2012Dernière intervention 3 oct. 2006 à 14:22
Salut,

il faut que tu fasses ça:

¤Telecharges et installes ceci:
CCleaner:
Ccleaner


Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec)


Lances Ccleaner puis dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"


redémarre normalement et remets un rapport hijackthis stp

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Qc001 257Messages postés 11 février 2006Date d'inscription 3 oct. 2006 à 14:23
Salut Boulepate62,

On dirait bien un autre Vundo qui se cache...

@+

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « [Virus] L2Me, Serwab mais hijack impossible! » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?