Multiples infections sur ce PC
on commence,
suis bien les consignes dans l'ordre et poste les rapports comme demandé
Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://download.bleepingcomputer.com/lonny/Fixwareout.exe
http://downloads.subratam.org/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HijackThis
Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Clique deux fois sur OK, et redémarre l'ordinateur.

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.zip pour télécharger navilog1
Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Télécharge BTFix de bibi26
http://www.bibi26.power-heberg.com/logiciels/BTFix.zip
Dé zippe l'archive sur ton Bureau (clic droit/extraire…)
Ouvre le dossier BTFix
Double clique sur BTFix.exe
Clique sur Rechercher
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse
poste les rapport obtenus et un nouveau rapport hijack this

tout vient à point à qui sait attendre
pas de demande par MP svp

Ca donne ça, si je ne me suis pas plantée.
Très à point ta citation papyber ;p

Username "patricia rom‚" - 15/02/2008 16:50:11 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"nwiz"="nwiz.exe /installquiet"
"PmProxy"="C:\\Program Files\\Analog Devices\\SoundMAX\\PmProxy.exe"
"00THotkey"="C:\\WINDOWS\\System32\\00THotkey.exe"
"000StTHK"="000StTHK.exe"
"Tpwrtray"="TPWRTRAY.EXE"
"TMESBS.EXE"="C:\\Program Files\\TOSHIBA\\TME3\\TMESBS32.EXE /Client"
"TFncKy"="C:\\Program Files\\Toshiba\\Commandes TOSHIBA\\TFncKy.exe /Type 28"
"TFNF5"="TFNF5.exe"
"TouchED"="C:\\Program Files\\TOSHIBA\\TouchED\\TouchED.Exe"
"Microsoft Works Update Detection"="C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"AdslTaskBar"="rundll32.exe stmctrl.dll,TaskBar"
"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"ezShieldProtector for Px"="C:\\WINDOWS\\System32\\ezSP_Px.exe"
"Drag'n Drop CD"="C:\\Program Files\\Drag'n Drop CD\\BinFiles\\DragDrop.exe /StartUp"
"Support Dog"="C:\\PROGRA~1\\DEFYFI~1\\holedumbcoal.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"SSBkgdUpdate"="\"C:\\Program Files\\Fichiers communs\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Program Files\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Program Files\\ScanSoft\\PaperPort\\IndexSearch.exe"
"BrMfcWnd"="C:\\Program Files\\Brother\\Brmfcmon\\BrMfcWnd.exe /AUTORUN"
"SetDefPrt"="C:\\Program Files\\Brother\\Brmfl06a\\BrStDvPt.exe"
"ControlCenter3"="C:\\Program Files\\Brother\\ControlCenter3\\brctrcen.exe /autorun"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"AVP"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe\""
"RegistrySmart"="\"C:\\Program Files\\RegistrySmart\\RegistrySmart.exe\" -boot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MoneyAgent"="\"C:\\Program Files\\Microsoft Money\\System\\mnyexpr.exe\""
"HXIUL.EXE"="C:\\Program Files\\Alset\\HelpExpress\\patricia romé\\HXIUL.EXE"
"HELPEXP.EXE"="C:\\Program Files\\Alset\\HelpExpress\\patricia romé\\Client\\HelpExp.exe"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"CTSyncU.exe"="\"C:\\Program Files\\Creative\\Sync Manager Unicode\\CTSyncU.exe\""
"qwiluhsna"="c:\\documents and settings\\patricia romé\\local settings\\application data\\qwiluhsna.exe qwiluhsna"
"orouwjbc"="c:\\documents and settings\\patricia romé\\local settings\\application data\\orouwjbc.exe orouwjbc"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~



----------------------
----------------------------
----------------------------------
---------------------------------------

ANALYSE BTFIX

BTFix 1.075 (par bibi26) - 15/02/2008 17:01:31 - Analyse
Lancé depuis C:\fixwareout\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

- C:\WINDOWS\smdat32m.sys
- C:\WINDOWS\Fonts\acrsecI.fon
- C:\WINDOWS\Fonts\acrsecB.fon
- C:\WINDOWS\Fonts\acrsec.fon
- C:\Program Files\Dynamic Toolbar\
- C:\Program Files\RXToolBar\
- C:\Program Files\Need2Find\

---> Analyse terminée

il me faut le rapport navilog

Ouvre BTFix.
Clique sur Nettoyer
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

tout vient à point à qui sait attendre
pas de demande par MP svp

Il manquait peut etre ça?
Je l ai fait à la fin (fallait bien que je me plante quelque part) c est grave ?

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : FAT32

Executé en mode normal

*** Recherche Programmes installés ***


WebMediaPlayer


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\patricia romé\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\patricia romé\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\patricia romé\MENUD?~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

...\WebMediaPlayer trouvé !

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\patricia romé\locals~1\applic~1" *

Fichiers trouvés :

orouwjbc.exe trouvé !
orouwjbc.dat trouvé !
orouwjbc_nav.dat trouvé !
orouwjbc_navps.dat trouvé !
qgehvesyv.exe trouvé !
qgehvesyv.dat trouvé !
qgehvesyv_nav.dat trouvé !
qgehvesyv_navps.dat trouvé !



*** Recherche fichiers ***


C:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk trouvé !
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\patricia romé\locals~1\applic~1" :

orouwjbc.dat trouvé !
qgehvesyv_nav.dat trouvé !
orouwjbc_nav.dat trouvé !
qgehvesyv_navps.dat trouvé !
orouwjbc_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 15/02/2008 à 17:11:21,42 ***

Nettoyage btfix


BTFix 1.075 (par bibi26) - 15/02/2008 17:13:50 - Nettoyage - Mode normal
Lancé depuis C:\fixwareout\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés (Première passe)

- Fichiers temporaires effacés
- C:\WINDOWS\smdat32m.sys
- C:\WINDOWS\Fonts\acrsecI.fon
- C:\WINDOWS\Fonts\acrsecB.fon
- C:\WINDOWS\Fonts\acrsec.fon
- C:\Program Files\Dynamic Toolbar\REALBAR\Cache\
- C:\Program Files\Dynamic Toolbar\REALBAR\
- C:\Program Files\Dynamic Toolbar\
- C:\Program Files\RXToolBar\graphics\
- C:\Program Files\RXToolBar\HTML\
- C:\Program Files\RXToolBar\Cache\
- C:\Program Files\RXToolBar\
- C:\Program Files\Need2Find\bar\1.bin\
- C:\Program Files\Need2Find\bar\Cache\
- C:\Program Files\Need2Find\bar\Settings\
- C:\Program Files\Need2Find\bar\History\
- C:\Program Files\Need2Find\bar\
- C:\Program Files\Need2Find\

---> Nettoyage terminé

Comme tu vois il y avait du monde!!
on continue
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc note va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc note. Ton bureau va réapparaître

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau.
Démarrer > Panneau de configuration > Options Internet
Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

> Supprime-les
poste le rapport obtenu et un rapport hijack this
tout vient à point à qui sait attendre
pas de demande par MP svp

J ai toujours le cri de cochon du hox à l ouverture (win32.Zlob.hox)...





Clean Navipromo version 3.4.5 commencé le 15/02/2008 à 17:23:00,86

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : FAT32

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

C:\WINDOWS\prefetch\orouwjbc*.pf trouvé !
Copie C:\WINDOWS\prefetch\orouwjbc*.pf réalisée avec succès !
C:\WINDOWS\prefetch\orouwjbc*.pf supprimé !


* Suppression dans "C:\Documents and Settings\patricia romé\locals~1\applic~1" *

orouwjbc.exe trouvé !
Copie orouwjbc.exe réalisée avec succès !
orouwjbc.exe supprimé !

orouwjbc.dat trouvé !
Copie orouwjbc.dat réalisée avec succès !
orouwjbc.dat supprimé !

orouwjbc_nav.dat trouvé !
Copie orouwjbc_nav.dat réalisée avec succès !
orouwjbc_nav.dat supprimé !

orouwjbc_navps.dat trouvé !
Copie orouwjbc_navps.dat réalisée avec succès !
orouwjbc_navps.dat supprimé !

qgehvesyv.exe trouvé !
Copie qgehvesyv.exe réalisée avec succès !
qgehvesyv.exe supprimé !

qgehvesyv.dat trouvé !
Copie qgehvesyv.dat réalisée avec succès !
qgehvesyv.dat supprimé !

qgehvesyv_nav.dat trouvé !
Copie qgehvesyv_nav.dat réalisée avec succès !
qgehvesyv_nav.dat supprimé !

qgehvesyv_navps.dat trouvé !
Copie qgehvesyv_navps.dat réalisée avec succès !
qgehvesyv_navps.dat supprimé !



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\patricia romé\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\patricia romé\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\patricia romé\MENUD?~1\PROGRA~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

...\WebMediaPlayer ...suppression...
...\WebMediaPlayer !!ERREUR SUPPRESSION!!



*** Suppression fichiers ***

C:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\patricia rom‚\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\patricia romé\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 15/02/2008 à 17:27:03,11 ***

Télécharge OAD ( par !aur3n7) http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : WebMediaPlayer
- Type de recherche : sélectionne l'option 6 puis valide [entrée]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient

tout vient à point à qui sait attendre
pas de demande par MP svp

Si j avais su j aurais pris trois jours de rtt (cause= dévirusage)...

15/02/2008 ---- 17:48:19,62

----------------------------------
§§§§§§ [WebMediaPlayer] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\WebMedi­aPlayer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\WebMedi­aPlayer\DEBUG]

[HKEY_USERS\S-1-5-21-775078823-193636458-3332427311-1005\Sof­tware\WebMediaPlayer]

[HKEY_USERS\S-1-5-21-775078823-193636458-3332427311-1005\Sof­tware\WebMediaPlayer]
@="C:\\Program Files\\WebMediaPlayer"

*******************
[Fichier]
*******************

c:\Documents and Settings\All Users\Menu D‚marrer\Programmes\WebMediaPlayer
c:\Documents and Settings\All Users\Menu D‚marrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk
c:\Program Files\WebMediaPlayer
c:\Program Files\WebMediaPlayer\WebMediaPlayer.exe


*********************
[Même date]
*********************

[25/09/2007 ] --- REP ---> C:\Program Files\Mozilla Firefox
[25/09/2007 ] --- REP ---> C:\Program Files\WebMediaPlayer
[R‚pertoire ] --- REP ---> C:\Program Files\Files



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

Démarrer/executer/
tape regedit
ensuite tu suis l'arborescence
HKEY_LOCAL_MACHINE
puis
SOFTWARE
puis
Microsoft
puis
ESENT
puis
Process
puis WebMediaPlayer et là clic droit sur Webmedia player / supprimer

pareil avec celle ci
HKEY_USERS\S-1-5-21-775078823-193636458-3332427311-1005\Soft­ware\WebMediaPlayer==> clic droit sur webmedaiplayer /supprimer
referme le Registre
rechercher et supprimer ces dossiers en gras
c:\Documents and Settings\All Users\Menu D‚marrer\Programmes\WebMediaPlayer
c:\Program Files\WebMediaPlayer

un rapport hijack this ensuite et dis moi si tu as toujours des alertes
tout vient à point à qui sait attendre
pas de demande par MP svp

Pas de rapport hijack :(
Kaspersky demarre toujours en disant:
Des objets dangereux ont été découverts. Le fichier contient un cheval de troie, réparation impossible:
trojan_downloader.win32.zlob.hox

Donne moi le nom et le chemin des fichiers infectés découverts et poste moi un nouveau rapport hijack this
tout vient à point à qui sait attendre
pas de demande par MP svp

A partir de quel raccourci deja?

C:\program files\netproject\sbmdl.dll

Merci
Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix
Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
Double clique sur smitfraudfix.cmd Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport
Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.
Redémarrer l'ordinateur en mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte habituel, et non Administrateur

· Double cliquer sur Smitfraudfix.exe.
· Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
· A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté.
· A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
· Quitter le programme en appuyant sur Q.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Redémarrer normalement et coller sur le forum le rapport généré et un rapport hijack this

télécharge et installe le logiciel HijackThis
http://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


tout vient à point à qui sait attendre
pas de demande par MP svp

Aie merci pour l aide mais je vais devoir finir les manips lundi.
Bon week end et deja merci pour ce bout de chemin! :)

Ok à lundi
tout vient à point à qui sait attendre
pas de demande par MP svp

Me voilà de retour, avec toujours ce fichu trojan qui me plante tout :(
Papyber présent ? Help !!

Rapport siri:

SmitFraudFix v2.290

Rapport fait à 11:19:41,90, 19/02/2008
Executé à partir de C:\Documents and Settings\patricia rom‚\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\TME3\Tmesbs32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TME3\TMESBS32.EXE
C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\RegistrySmart\RegistrySmart.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe­
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Documents and Settings\patricia romé\Bureau\SmitfraudFix.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\patricia rom‚


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\patricia rom‚\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PATRIC~1\FAVORIS

C:\DOCUME~1\PATRIC~1\FAVORIS\Online Security Test.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Helper\ PRESENT !
C:\Program Files\NetProject\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: TL-WN321G USB Wireless Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{800E625D-67CD-49D1-A166-EBF40833B30B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{800E625D-67CD-49D1-A166-EBF40833B30B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{800E625D-67CD-49D1-A166-EBF40833B30B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin