Menu

Problème avec secure32.html [Résolu/Fermé]

Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
- - Dernière réponse : martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
- 13 janv. 2007 à 08:15
salut !! encore un prob sur un de mes pc .
j'ai lu plein de solutions sur ce sujet et j'ai tout esayé mais rien ne fonctionne !!
mais le principal problème c'est la page internet explorer qui ne veut pas s'ouvrir car redirectionnée sur c:\secure32.html. je met mes hijack içi !

merci d'avance pour l'aide

Administrateur - sam. 30/12/2006 12:08:27,79 Service Pack 4
ComboFix 06.11.27 - Running from: "C:\Documents and Settings\Administrateur\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-11-30 to 2006-12-30 ))))))))))))))))))))))))))))))))))


2006-12-30 11:51 1,882 --a------ C:\WINNT\system32\tmp.reg
2006-12-30 11:50 79,360 --a------ C:\WINNT\system32\swxcacls.exe
2006-12-30 11:50 53,248 --a------ C:\WINNT\system32\Process.exe
2006-12-30 11:50 51,200 --a------ C:\WINNT\system32\dumphive.exe
2006-12-30 11:50 40,960 --a------ C:\WINNT\system32\swsc.exe
2006-12-30 11:50 288,417 --a------ C:\WINNT\system32\SrchSTS.exe
2006-12-30 11:50 135,168 --a------ C:\WINNT\system32\swreg.exe
2006-12-30 11:36 <DIR> d-------- C:\Program Files\Sunbelt Software
2006-12-30 01:18 <DIR> d-------- C:\Program Files\a-squared Free
2006-12-30 00:47 3,968 --a------ C:\WINNT\system32\drivers\AvgAsCln.sys
2006-12-30 00:31 <DIR> d-------- C:\WINNT\Fichiers d'installation de Windows Update
2006-12-30 00:17 73,728 --a------ C:\WINNT\system32\out.dll
2006-12-30 00:15 0 --a------ C:\mvjhsl.exe
2006-12-30 00:15 0 --a------ C:\jnjabmmt.exe
2006-12-30 00:14 0 --a------ C:\qguv.exe
2006-12-30 00:14 0 --a------ C:\kcuqwo.exe
2006-12-30 00:14 0 --a------ C:\clfiuub.exe
2006-12-30 00:14 0 --a------ C:\chuym.exe
2006-12-29 22:55 <DIR> d-------- C:\Program Files\CCleaner
2006-12-29 18:17 90,112 --a------ C:\WINNT\system32\AVASTSS.scr
2006-12-29 18:17 87,424 --a------ C:\WINNT\system32\drivers\aswmon2.sys
2006-12-29 18:17 85,952 --a------ C:\WINNT\system32\drivers\aswmon.sys
2006-12-29 18:17 666,240 --a------ C:\WINNT\system32\aswBoot.exe
2006-12-29 18:17 36,176 --a------ C:\WINNT\system32\drivers\aswTdi.sys
2006-12-29 18:17 24,560 --a------ C:\WINNT\system32\drivers\aavmker4.sys
2006-12-29 18:17 16,352 --a------ C:\WINNT\system32\drivers\aswRdr.sys
2006-12-29 18:17 <DIR> d-------- C:\Program Files\Alwil Software
2006-12-29 18:16 93,696 --a------ C:\WINNT\system32\hrcopul.dll
2006-12-29 18:16 71,680 --a------ C:\WINNT\system32\nweipeg.dll
2006-12-29 18:16 656 --a------ C:\WINNT\system32\sfc_os.dll
2006-12-29 18:16 43,008 --a------ C:\WINNT\system32\msvcrl.dll
2006-12-29 18:15 73,728 --a------ C:\juyey.exe
2006-12-29 18:15 42,725 --a------ C:\cxbqler.exe
2006-12-29 17:25 141,824 -r-hs---- C:\WINNT\system32\vncmgr.exe
2006-12-29 14:23 <DIR> d-------- C:\Program Files\Mozilla Firefox
2006-12-29 14:23 <DIR> d-------- C:\Documents and Settings\Administrateur\Application Data\Mozilla
2006-12-28 16:06 1,352,192 -r-hs---- C:\WINNT\system32\link.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-30 00:17 0 --a------ C:\Documents and Settings\Administrateur\Application Data\amlistx.dat
2006-12-29 21:41 264 --a------ C:\WINNT\system32\winsusrm.dll
2006-12-08 02:02 2174976 --a------ C:\WINNT\system32\wmvcore.dll
2006-11-06 12:47 596480 --a------ C:\WINNT\system32\INETCOMM.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"HTML Help System"="hhs.pif"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SWClient"=""
"Aapp"=""
"CCB Enhancement"=""
"sys32cmd"=""
"Hot_Kiss"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"HTML Help System"="hhs.pif"
"UMGR32.EXE"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Promon.exe"="Promon.exe"
"Synchronization Manager"="mobsync.exe /logon"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Creative WebCam Tray"="C:\\Program Files\\Creative\\Shared Files\\CAMTRAY.EXE"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"HTML Help System"="hhs.pif"
"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"hrcopul.dll"="C:\\WINNT\\system32\\rundll32.exe \"C:\\Documents and Settings\\Default User\\Local Settings\\Application Data\\hrcopul.dll\",vuljcec"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"HTML Help System"="hhs.pif"
"sqvawaigtqdaycoayqiav"="C:\\WINNT\\system32\\rgutmlk.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="http://home.tele2.fr/mirage3d/terragen/images2/40320-Desert2.jpg"
"SubscribedURL"="http://home.tele2.fr/mirage3d/terragen/images2/40320-Desert2.jpg"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,10,02,00,00,15,01,00,00,00,04,00,00,00,03,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:00000001
"OriginalStateInfo"=hex:18,00,00,00,10,02,00,00,15,01,00,00,00,04,00,00,00,03,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,10,02,00,00,15,01,00,00,00,04,00,00,00,03,\
00,00,01,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,00,00,ea,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:00000001
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"
"Microsoft"="vncmgr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Program Files\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: Sat 2006-12-30 12:09:58.50
C:\ComboFix2.txt ... 06-12-30 11:25
C:\ComboFix.txt ... 06-12-30 12:10
Afficher la suite 

13 réponses

Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
0
Merci
Logfile of HijackThis v1.99.1
Scan saved at 12:21:14, on 30/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\explorer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\drwtsn32.exe
C:\WINNT\system32\drwtsn32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {371EE1EF-F177-1390-7807-08525DC0E55C} - C:\WINNT\system32\nweipeg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [HTML Help System] hhs.pif
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hrcopul.dll] C:\WINNT\system32\rundll32.exe "C:\Documents and Settings\Default User\Local Settings\Application Data\hrcopul.dll",vuljcec
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
O4 - HKLM\..\RunServices: [sqvawaigtqdaycoayqiav] C:\WINNT\system32\rgutmlk.exe
O4 - HKCU\..\Run: [HTML Help System] hhs.pif
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O20 - Winlogon Notify: NavLogon - C:\WINNT\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GCX Service - Unknown owner - C:\WINNT\gcxsrvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINNT\winat.exe (file missing)
O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINNT\dbg32hlp.exe (file missing)
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINNT\mspath.exe (file missing)
O23 - Service: sdktemp - Unknown owner - C:\WINNT\debughlp.exe (file missing)
O23 - Service: SMSS - Unknown owner - C:\WINNT\smss.exe (file missing)
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing)
O23 - Service: Windows Debugger - Unknown owner - C:\WINNT\sysnt.exe (file missing)
O23 - Service: WindowsSysBoot - Unknown owner - C:\WINNT\winsys.exe (file missing)
O23 - Service: WinMedia - Unknown owner - C:\WINNT\msmedia32.exe (file missing)
O23 - Service: Windows Product Activation (wpa) - Unknown owner - C:\WINNT\system32\wpa.exe (file missing)
O23 - Service: Windows TCP Communication (wtcpcom) - Unknown owner - C:\WINNT\system32\wtcpcom.exe (file missing)
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
0
Merci
SmitFraudFix v2.132

Rapport fait à 12:38:03,43, sam. 30/12/2006
Executé à partir de C:\unzipped\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://home.tele2.fr/mirage3d/terragen/images2/40320-Desert2.jpg"
"SubscribedURL"="http://home.tele2.fr/mirage3d/terragen/images2/40320-Desert2.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
0
Merci
en mode sans echec voila les logs
SmitFraudFix v2.132

Rapport fait à 12:58:43,25, sam. 30/12/2006
Executé à partir de C:\unzipped\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
0
Merci
Logfile of HijackThis v1.99.1
Scan saved at 12:56:15, on 30/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {371EE1EF-F177-1390-7807-08525DC0E55C} - C:\WINNT\system32\nweipeg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [HTML Help System] hhs.pif
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hrcopul.dll] C:\WINNT\system32\rundll32.exe "C:\Documents and Settings\Default User\Local Settings\Application Data\hrcopul.dll",vuljcec
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
O4 - HKLM\..\RunServices: [sqvawaigtqdaycoayqiav] C:\WINNT\system32\rgutmlk.exe
O4 - HKCU\..\Run: [HTML Help System] hhs.pif
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O20 - Winlogon Notify: NavLogon - C:\WINNT\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GCX Service - Unknown owner - C:\WINNT\gcxsrvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINNT\winat.exe (file missing)
O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINNT\dbg32hlp.exe (file missing)
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINNT\mspath.exe (file missing)
O23 - Service: sdktemp - Unknown owner - C:\WINNT\debughlp.exe (file missing)
O23 - Service: SMSS - Unknown owner - C:\WINNT\smss.exe (file missing)
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing)
O23 - Service: Windows Debugger - Unknown owner - C:\WINNT\sysnt.exe (file missing)
O23 - Service: WindowsSysBoot - Unknown owner - C:\WINNT\winsys.exe (file missing)
O23 - Service: WinMedia - Unknown owner - C:\WINNT\msmedia32.exe (file missing)
O23 - Service: Windows Product Activation (wpa) - Unknown owner - C:\WINNT\system32\wpa.exe (file missing)
O23 - Service: Windows TCP Communication (wtcpcom) - Unknown owner - C:\WINNT\system32\wtcpcom.exe (file missing)
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
0
Merci
Administrateur - sam. 30/12/2006 13:25:23,76 Service Pack 4
ComboFix 06.11.27 - Running from: "C:\Documents and Settings\Administrateur\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-11-30 to 2006-12-30 ))))))))))))))))))))))))))))))))))


2006-12-30 11:51 1,882 --a------ C:\WINNT\system32\tmp.reg
2006-12-30 11:36 <DIR> d-------- C:\Program Files\Sunbelt Software
2006-12-30 01:18 <DIR> d-------- C:\Program Files\a-squared Free
2006-12-30 00:47 3,968 --a------ C:\WINNT\system32\drivers\AvgAsCln.sys
2006-12-30 00:31 <DIR> d-------- C:\WINNT\Fichiers d'installation de Windows Update
2006-12-30 00:17 73,728 --a------ C:\WINNT\system32\out.dll
2006-12-30 00:15 0 --a------ C:\mvjhsl.exe
2006-12-30 00:15 0 --a------ C:\jnjabmmt.exe
2006-12-30 00:14 0 --a------ C:\qguv.exe
2006-12-30 00:14 0 --a------ C:\kcuqwo.exe
2006-12-30 00:14 0 --a------ C:\clfiuub.exe
2006-12-30 00:14 0 --a------ C:\chuym.exe
2006-12-29 22:55 <DIR> d-------- C:\Program Files\CCleaner
2006-12-29 18:17 90,112 --a------ C:\WINNT\system32\AVASTSS.scr
2006-12-29 18:17 87,424 --a------ C:\WINNT\system32\drivers\aswmon2.sys
2006-12-29 18:17 85,952 --a------ C:\WINNT\system32\drivers\aswmon.sys
2006-12-29 18:17 666,240 --a------ C:\WINNT\system32\aswBoot.exe
2006-12-29 18:17 36,176 --a------ C:\WINNT\system32\drivers\aswTdi.sys
2006-12-29 18:17 24,560 --a------ C:\WINNT\system32\drivers\aavmker4.sys
2006-12-29 18:17 16,352 --a------ C:\WINNT\system32\drivers\aswRdr.sys
2006-12-29 18:17 <DIR> d-------- C:\Program Files\Alwil Software
2006-12-29 18:16 93,696 --a------ C:\WINNT\system32\hrcopul.dll
2006-12-29 18:16 71,680 --a------ C:\WINNT\system32\nweipeg.dll
2006-12-29 18:16 656 --a------ C:\WINNT\system32\sfc_os.dll
2006-12-29 18:16 43,008 --a------ C:\WINNT\system32\msvcrl.dll
2006-12-29 18:15 73,728 --a------ C:\juyey.exe
2006-12-29 18:15 42,725 --a------ C:\cxbqler.exe
2006-12-29 17:25 141,824 -r-hs---- C:\WINNT\system32\vncmgr.exe
2006-12-29 14:23 <DIR> d-------- C:\Program Files\Mozilla Firefox
2006-12-29 14:23 <DIR> d-------- C:\Documents and Settings\Administrateur\Application Data\Mozilla
2006-12-28 16:06 1,352,192 -r-hs---- C:\WINNT\system32\link.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-30 00:17 0 --a------ C:\Documents and Settings\Administrateur\Application Data\amlistx.dat
2006-12-29 21:41 264 --a------ C:\WINNT\system32\winsusrm.dll
2006-12-08 02:02 2174976 --a------ C:\WINNT\system32\wmvcore.dll
2006-11-06 12:47 596480 --a------ C:\WINNT\system32\INETCOMM.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"HTML Help System"="hhs.pif"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SWClient"=""
"Aapp"=""
"CCB Enhancement"=""
"sys32cmd"=""
"Hot_Kiss"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"HTML Help System"="hhs.pif"
"UMGR32.EXE"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Promon.exe"="Promon.exe"
"Synchronization Manager"="mobsync.exe /logon"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Creative WebCam Tray"="C:\\Program Files\\Creative\\Shared Files\\CAMTRAY.EXE"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"HTML Help System"="hhs.pif"
"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"hrcopul.dll"="C:\\WINNT\\system32\\rundll32.exe \"C:\\Documents and Settings\\Default User\\Local Settings\\Application Data\\hrcopul.dll\",vuljcec"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"HTML Help System"="hhs.pif"
"sqvawaigtqdaycoayqiav"="C:\\WINNT\\system32\\rgutmlk.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"
"Microsoft"="vncmgr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Program Files\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: Sat 2006-12-30 13:26:53.39
C:\ComboFix.txt ... 06-12-30 13:26
C:\ComboFix3.txt ... 06-12-30 12:10
C:\ComboFix2.txt ... 06-12-30 12:57
0
Merci
Bonjour

$$ Télécharge
SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip

clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

$$ Redémarre en mode sans échec.

$$ Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
Une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

$$ Fais un clic droit sur SDFix.zip et choisis "Extraire tout"
Double-clique sur RunThis.bat
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec le rapport qui se trouve ici C:\rapport_clean.txt et un nouveau HijackThis.
martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
-
salut chercheur bis !! tout d'abord merci et bonne année à toi et aux tiens !! je te souhaite beaucoup d'argent , la santé à profusion et de l'amour à ne savoir qu'en faire !!
J'ai fais ce que tu m'as prescrit , mais je ne compend pas pourquoi tu m'as demandé d'ouvrir la fenetre noir de clean et de la laisser ouverte sans cliquersur l'un des 4 choix !! enfin c toi le chef !! lol

SDFix: Version 1.53
****************

dim. 31/12/2006 - 21:41:51,71

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

Stage One - Safe Mode

Checking Services...

Service Name:

SMSS
ssl
WindowsSysBoot
wpa

File Path:

"C:\WINNT\smss.exe"
C:\WINNT\system32\ssl.exe
"C:\WINNT\winsys.exe"
C:\WINNT\system32\wpa.exe

SMSS Deleted...
ssl Deleted...
WindowsSysBoot Deleted...
wpa Deleted...

Starting Registry Repairs...

Restoring Default Hosts File...

Stage One Complete

Rebooting...

Stage Two - Normal Mode

Checking For Malware:
--------------------

C:\KCUQWO.EXE
C:\CHUYM.EXE
C:\CLFIUUB.EXE
C:\QGUV.EXE
C:\MVJHSL.EXE
C:\JNJABMMT.EXE
C:\WINNT\system32\eraseme_32105.exe
C:\WINNT\system32\eraseme_76083.exe
C:\WINNT\system32\eraseme_61525.exe
C:\WINNT\system32\eraseme_56863.exe
C:\WINNT\system32\eraseme_45636.exe
C:\WINNT\system32\eraseme_67213.exe
C:\WINNT\system32\eraseme_06487.exe
C:\WINNT\system32\eraseme_11212.exe
C:\WINNT\system32\eraseme_12776.exe
C:\WINNT\system32\eraseme_01386.exe
C:\WINNT\system32\eraseme_47852.exe
C:\WINNT\system32\eraseme_80671.exe
C:\WINNT\system32\eraseme_42805.exe
C:\WINNT\system32\eraseme_40568.exe
C:\WINNT\system32\eraseme_76161.exe
C:\WINNT\system32\eraseme_35410.exe
C:\WINNT\system32\1.tmp
C:\WINNT\system32\2.tmp

Backing Up and Removing any Files Found...

Alternate Stream Check:

C:\WINNT\system32
No streams found.
Final Check:

Remaining Services:
------------------


Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

Checking for files with Hidden Attributes:

C:\WINNT\system32\link.exe
C:\WINNT\system32\vncmgr.exe
C:\WINNT\system32\lbtixb.exe
C:\Program Files\Outlook Messenger\OutlookMessenger.exe.manifest
C:\LOGO.SYS
C:\MSDOS.SYS
C:\IO.SYS
C:\pagefile.sys
C:\WINNT\SoftwareDistribution\Download\S-1-5-18\5a0d771158cfd69be5ddd26d8f58c73b\BIT1.tmp

FINISHED!
martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
-
Logfile of HijackThis v1.99.1
Scan saved at 21:58:57, on 31/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\SYSTEM32\notepad.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {371EE1EF-F177-1390-7807-08525DC0E55C} - C:\WINNT\system32\nweipeg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CAMTRAY.EXE"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HTML Help System] hhs.pif
O4 - HKLM\..\Run: [REGSHAVE] "C:\Program Files\REGSHAVE\REGSHAVE.EXE" /AUTORUN
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hrcopul.dll] "C:\WINNT\system32\rundll32.exe" "C:\Documents and Settings\Default User\Local Settings\Application Data\hrcopul.dll",vuljcec
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
O4 - HKLM\..\RunServices: [sqvawaigtqdaycoayqiav] C:\WINNT\system32\rgutmlk.exe
O4 - HKCU\..\Run: [HTML Help System] hhs.pif
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O20 - Winlogon Notify: NavLogon - C:\WINNT\
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GCX Service - Unknown owner - C:\WINNT\gcxsrvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINNT\winat.exe (file missing)
O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINNT\dbg32hlp.exe (file missing)
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINNT\mspath.exe (file missing)
O23 - Service: sdktemp - Unknown owner - C:\WINNT\debughlp.exe (file missing)
O23 - Service: Windows Debugger - Unknown owner - C:\WINNT\sysnt.exe (file missing)
O23 - Service: WinMedia - Unknown owner - C:\WINNT\msmedia32.exe (file missing)
O23 - Service: Windows TCP Communication (wtcpcom) - Unknown owner - C:\WINNT\system32\wtcpcom.exe (file missing)
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
0
Merci
et un combofix !!! lol
Administrateur - dim. 31/12/2006 22:01:16,20 Service Pack 4
ComboFix 06.11.27 - Running from: "C:\Documents and Settings\Administrateur\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-11-31 to 2006-12-31 ))))))))))))))))))))))))))))))))))


2006-12-31 21:18 <DIR> d-------- C:\SDFix
2006-12-30 13:40 684,032 --a------ C:\WINNT\system32\libeay32.dll
2006-12-30 13:40 155,648 --a------ C:\WINNT\system32\ssleay32.dll
2006-12-30 11:51 1,882 --a------ C:\WINNT\system32\tmp.reg
2006-12-30 11:36 <DIR> d-------- C:\Program Files\Sunbelt Software
2006-12-30 01:18 <DIR> d-------- C:\Program Files\a-squared Free
2006-12-30 00:47 3,968 --a------ C:\WINNT\system32\drivers\AvgAsCln.sys
2006-12-30 00:31 <DIR> d-------- C:\WINNT\Fichiers d'installation de Windows Update
2006-12-30 00:17 73,728 --a------ C:\WINNT\system32\out.dll
2006-12-29 22:55 <DIR> d-------- C:\Program Files\CCleaner
2006-12-29 18:17 90,112 --a------ C:\WINNT\system32\AVASTSS.scr
2006-12-29 18:17 87,424 --a------ C:\WINNT\system32\drivers\aswmon2.sys
2006-12-29 18:17 85,952 --a------ C:\WINNT\system32\drivers\aswmon.sys
2006-12-29 18:17 666,240 --a------ C:\WINNT\system32\aswBoot.exe
2006-12-29 18:17 36,176 --a------ C:\WINNT\system32\drivers\aswTdi.sys
2006-12-29 18:17 24,560 --a------ C:\WINNT\system32\drivers\aavmker4.sys
2006-12-29 18:17 16,352 --a------ C:\WINNT\system32\drivers\aswRdr.sys
2006-12-29 18:17 <DIR> d-------- C:\Program Files\Alwil Software
2006-12-29 18:16 93,696 --a------ C:\WINNT\system32\hrcopul.dll
2006-12-29 18:16 71,680 --a------ C:\WINNT\system32\nweipeg.dll
2006-12-29 18:16 656 --a------ C:\WINNT\system32\sfc_os.dll
2006-12-29 18:15 73,728 --a------ C:\juyey.exe
2006-12-29 18:15 42,725 --a------ C:\cxbqler.exe
2006-12-29 17:25 141,824 -r-hs---- C:\WINNT\system32\vncmgr.exe
2006-12-29 14:23 <DIR> d-------- C:\Program Files\Mozilla Firefox
2006-12-29 14:23 <DIR> d-------- C:\Documents and Settings\Administrateur\Application Data\Mozilla
2006-12-28 16:06 1,352,192 -r-hs---- C:\WINNT\system32\link.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-30 00:17 0 --a------ C:\Documents and Settings\Administrateur\Application Data\amlistx.dat
2006-12-29 21:41 264 --a------ C:\WINNT\system32\winsusrm.dll
2006-12-08 02:02 2174976 --a------ C:\WINNT\system32\wmvcore.dll
2006-11-06 12:47 596480 --a------ C:\WINNT\system32\INETCOMM.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"HTML Help System"="hhs.pif"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SWClient"=""
"Aapp"=""
"CCB Enhancement"=""
"sys32cmd"=""
"Hot_Kiss"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"HTML Help System"="hhs.pif"
"UMGR32.EXE"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Promon.exe"="Promon.exe"
"Synchronization Manager"="mobsync.exe /logon"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe\""
"Creative WebCam Tray"="\"C:\\Program Files\\Creative\\Shared Files\\CAMTRAY.EXE\""
"WinampAgent"="\"C:\\Program Files\\Winamp\\winampa.exe\""
"HTML Help System"="hhs.pif"
"REGSHAVE"="\"C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE\" /AUTORUN"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"hrcopul.dll"="\"C:\\WINNT\\system32\\rundll32.exe\" \"C:\\Documents and Settings\\Default User\\Local Settings\\Application Data\\hrcopul.dll\",vuljcec"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"HTML Help System"="hhs.pif"
"sqvawaigtqdaycoayqiav"="C:\\WINNT\\system32\\rgutmlk.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"
"Microsoft"="vncmgr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Program Files\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: Sun 2006-12-31 22:02:32.45
C:\ComboFix.txt ... 06-12-31 22:02
C:\ComboFix2.txt ... 06-12-30 13:26
C:\ComboFix3.txt ... 06-12-30 12:57
0
Merci
Bonjour

Du ménage a été fait, mais il en reste.
Pour Clean, la version a légérement changé, il y a maintenant des options.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer


1 Télécharge
CCleaner.

http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

rdrivRem.zip
http://www.geekstogo.com/forum/index.php?act=Attach&type=post&id=1778
Décompresse-le sur ton bureau


2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.


3 Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {371EE1EF-F177-1390-7807-08525DC0E55C} - C:\WINNT\system32\nweipeg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HTML Help System] hhs.pif
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hrcopul.dll] "C:\WINNT\system32\rundll32.exe" "C:\Documents and Settings\Default User\Local Settings\Application Data\hrcopul.dll",vuljcec
O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
O4 - HKLM\..\RunServices: [sqvawaigtqdaycoayqiav] C:\WINNT\system32\rgutmlk.exe
O4 - HKCU\..\Run: [HTML Help System] hhs.pif
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: GCX Service - Unknown owner - C:\WINNT\gcxsrvc.exe (file missing)
O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINNT\winat.exe (file missing)
O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINNT\dbg32hlp.exe (file missing)
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINNT\mspath.exe (file missing)
O23 - Service: sdktemp - Unknown owner - C:\WINNT\debughlp.exe (file missing)
O23 - Service: Windows Debugger - Unknown owner - C:\WINNT\sysnt.exe (file missing)
O23 - Service: WinMedia - Unknown owner - C:\WINNT\msmedia32.exe (file missing)
O23 - Service: Windows TCP Communication (wtcpcom) - Unknown owner - C:\WINNT\system32\wtcpcom.exe (file missing)
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


4 Ouvre le dossier rdrivRem.zip et exécute "rdrivRem.bat".
Appuie sur une touche quand l'outil t'y invite.


5 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


6 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionne
"GCX Service" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "CC:\WINNT\gcxsrvc.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

Recommence avec

WindowsNT et C:\WINNT\winat.exe

Msdebugsrv1 et C:\WINNT\dbg32hlp.exe

Microsoft Path Finder Service et C:\WINNT\mspath.exe

sdktemp et C:\WINNT\debughlp.exe

Windows Debugger et C:\WINNT\sysnt.exe

WinMedia et C:\WINNT\msmedia32.exe

Windows TCP Communication et C:\WINNT\system32\wtcpcom.exe

Windows UPnP Service et C:\WINNT\system32\wupnp.exe


7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Documents and Settings\Default User\Local Settings\Application Data\hrcopul.dll
C:\WINNT\system32\nweipeg.dll
C:\WINNT\system32\rgutmlk.exe
C:\WINNT\system32\wtcpcom.exe
C:\WINNT\system32\wupnp.exe
C:\WINNT\dbg32hlp.exe
C:\WINNT\mspath.exe
C:\WINNT\debughlp.exe
C:\WINNT\sysnt.exe
C:\WINNT\msmedia32.exe
C:\WINNT\winat.exe
C:\WINNT\gcxsrvc.exe
hhs.pif
--> Probablement dans C:\WINNT\system32 ou C:\WINNT


8 Lance le nettoyage avec CCleaner

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.


9 Lance Clean
Lance l'option 2


10 Redémarre normalement

Poste un nouveau log HijackThis avec le rapport de rdrivRem et le rapport qui se trouve ici C:\rapport_clean.txt
martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
-
bonne annéeeeeeeeeeeeeeeeeeeeeeeeeeeeee !!!! 2006 est mort, vive 2007
Bon ceci dit mon voiçi les logs après les manips faites !!

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

rdriv.sys NOT PRESENT!
ItunesMusic.exe NOT PRESENT!
wkssvc.exe NOT PRESENT!


~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

rdriv.sys NOT PRESENT!
ItunesMusic.exe NOT PRESENT!
wkssvc.exe NOT PRESENT!
martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
-
Logfile of HijackThis v1.99.1
Scan saved at 14:31:42, on 01/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CAMTRAY.EXE"
O4 - HKLM\..\Run: [REGSHAVE] "C:\Program Files\REGSHAVE\REGSHAVE.EXE" /AUTORUN
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O20 - Winlogon Notify: NavLogon - C:\WINNT\
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
0
Merci
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le lun. 01/01/2007 a 14:24:17,17

Microsoft Windows 2000 [Version 5.00.2195]

*** Suppression de fichiers sur C:

*** Suppression des fichiers dans C:\WINNT\

*** Suppression des fichiers dans C:\WINNT\system32

tentative de suppression de "C:\Program Files\Masta\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
0
Merci
pour information , Chercheurbis,
quand je veux lancer internet explorer, j'ai un message qui s'ouvre
du type "La bibliothèque de liaisons dynamiques MSVCRL.dll est introuvable sur le chemin spécifié C\Program Files\Internet Explorer;.;C:WINNT\system32 ect ........" !!

Sais tu ce que ça veut dire ?
0
Merci
Bonjour

Du ménage a été fait.

Ce fichier manquant ressemble à un fichier infectieux.

Télécharge DrWeb
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

La version est automatiquement à jour.
Installe le.
Lance le.
Une analyse des processus se lance.
Ensuite, choisis le lecteur à scanner et lance l'analyse.
martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
-
voila le rapportd'analyse de drweb!!
vncmgr.exe;c:\winnt\system32;Trojan.MulDrop.4995;Supprimé.;
ggoggle.exe;C:\;Trojan.Proxy.1161;Supprimé.;
cxbqler.exe;C:\;Win32.Dref;Supprimé.;
link.exe;C:\WINNT\system32;Win32.HLLW.MyBot;Supprimé.;
lbtixb.exe;C:\WINNT\system32;BackDoor.IRC.Sdbot.161;Supprimé.;
Process.exe;C:\Documents and Settings\Administrateur\Bureau\SDFix\apps;Tool.Prockill;Supprimé.;
pskill.exe;C:\Documents and Settings\Administrateur\Bureau\clean;Tool.ProcessKill.7;Supprimé.;
Process.exe;C:\unzipped\SmitfraudFix\SmitfraudFix;Tool.Prockill;Irréparable.Quarantaine.;
restart.exe;C:\unzipped\SmitfraudFix\SmitfraudFix;Tool.ShutDown.11;Irréparable.Quarantaine.;
pskill.exe;C:\unzipped\clean\clean;Tool.ProcessKill.7;Irréparable.Quarantaine.;
Process.exe;C:\SDFix\apps;Tool.Prockill;Irréparable.Quarantaine.;
0
Merci
Bien, on continue par une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
-
Ben ,chercheur bis le problème c'est que justement je ne peux pas passer par internet exploreur et kaspersky en ligne ne passe que par internet exploreur 5 et plus !! pour me connecter sur internet je n'ai que firefox !!!!
je n'arrive pas à me connecter sur internet exploreur et j'ai le message que j'ai collé plus haut chaque fois que j'essaye d'ouvrir internet exploreur.
donc pas possible pour mode faire le scan en ligne de kaspersky
martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
-
pour faire un point !!!
le problème que j'avais au début , soit la redirection sur "secure32.html" chaquefois que je voulais ouvrir internet ne se fait plus !! au moins là c'est réglé !!!!

L'ordi fonctionne normalement au point de vu rapidité .

A part des lignes dans les log que où tu dois trouver des signes d'infection, mon seul problème actuellement c'est de ne pas pouvoir ouvrir internet explorer.

Chaque fois que j'ouvre internet explorer, j'ai le message suivant que tu peux lire dans un de mes messages plus haut "la bibliothèque de liaisons dynamiqueMSVCRL.dll est introuvable sur le chemin spécifé etc ........."

Voila la situation !! je ne peux pas faire de mise a jourwindows update, ni faire les scan en ligne qui utilisent internet explorer .
0
Merci
Re

Pour essayer de réparer Internet Explorer, télécharge PowerIE6
http://www.technicland.com/powerie6.php3
martinicmiel
Messages postés
34
Date d'inscription
vendredi 25 août 2006
Dernière intervention
21 décembre 2007
-
salut chercheur bis !! me revoila après un long moment d'absence !! formation professionnelle oblige !!
bon ben j'ai essayé avec power EI 6 mais rien a faire , alors j'ai fais une réparation avec le cd windows 2000 pro , cest ok !! l'ordi fonctionne je n'ai plus le message , que msvcl.dll était introuvable !!
la page d'EI exploreur s'ouvre mais n'arrive pas a se connecter , donc j'ai un problème de connection , que je vais tacher de régler . je pense qu'il faut que je trouve le driver de la freebox V4 !!
Donc je peux continuer tout seul !! je te remercie pour l'attention et l'assiduité que tu m'as apporté !!
Franchement merci pour l'accompagnement technique que tu m'as prodigué et je te souhaite une bonne continuation !!bye chercheur bis