Sujet Précédent Sujet Suivant

[Virus] infecté par idd1e.tmp.exe

Fermé
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 - 10 févr. 2007 à 11:44
Séb08 Messages postés 16502 Date d'inscription dimanche 13 novembre 2005 Statut Contributeur Dernière intervention 17 février 2023 - 11 févr. 2007 à 13:02
Salutations,
Voila en quelques mots mon problèmes je suis infécté par : "idd1e.tmp.exe" qui a était détecté par BitDefender, mais voila, le statut après le scan est "Désinfection impossible"=>"Déplacé".
Ensuite j'ai des alertes de BitDefender dont voici le contenu :
Dropped:Dialer.Udia.A
http://l.mezzicodec.net/a412/a571.php?m=0&b=779&c=4
===========================================================
Trojan.Downloader.Agent.AQG
http://l.mezzicodec.net/a412/a571.php?m=0&b=779&c=5
===========================================================
Un voir plusieur petits icones apparaissent dans le systray
[img]http://img440.imageshack.us/img440/9036/humm2xf0.png[/img]
Je me suis rendu sur le site de BitDenfender mais je ne trouve pas grand chose sur le sujet...
Me voila donc sur votre forum et la en lisant les post sur le sujet je vois qu'il y a pas de réponse et les quelques manip' à éffectuer.
Je commence donc par le rapport de BitDefender en se qui concerne le scan Anti-virus :


//-----------------------------------------------------------------
//
// ProduitBitDefender Antivirus Plus v10
// Produit10.0
//
// Créé le: 10/02/2007 11:04:13
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\WINDOWS\Temp\idd775.tmp.exe
C:\WINDOWS\Temp\idd1E.tmp.exe
C:\WINDOWS\Temp\idd5AD.tmp.exe
C:\WINDOWS\Temp\idd5DE.tmp.exe
C:\WINDOWS\Temp\idd6B4.tmp.exe
C:\WINDOWS\Temp\idd6F5.tmp.exe
C:\WINDOWS\Temp\idd7B8.tmp.exe
C:\WINDOWS\Temp\idd7F9.tmp.exe
C:\WINDOWS\Temp\idd9.tmp.exe
C:\WINDOWS\Temp\idd41.tmp.exe
C:\WINDOWS\Temp\idd83C.tmp.exe
C:\WINDOWS\Temp\idd571.tmp.exe
C:\WINDOWS\Temp\idd579.tmp.exe
C:\WINDOWS\Temp\idd581.tmp.exe
C:\WINDOWS\Temp\idd589.tmp.exe
C:\WINDOWS\Temp\idd594.tmp.exe
C:\WINDOWS\Temp\idd621.tmp.exe
C:\WINDOWS\Temp\idd672.tmp.exe
C:\WINDOWS\Temp\idd738.tmp.exe
Dossiers : 0
Fichiers : 19
Processus Mémoire analysés : 0
Archives : 0
Fichiers renommés : 0
Virus trouvés : 19
Fichiers infectés : 19
Processus Mémoire infectés : 0
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 19
Erreurs I/O : 0
Temps d'analyse :=00:00:01
Fichiers/seconde :19

Définitions virus : 455334
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 6
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[ ] Analyser le secteur de boot
[ ] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\Z3d.ZEDOVORE-99BC62\Application Data\BitDefender\Desktop\Profiles\Logs\contextual\1171101853.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[ ] Clés de registres
[ ] Cookies


Résumé:

C:\WINDOWS\Temp\idd775.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd775.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd775.tmp.exe Déplacé
C:\WINDOWS\Temp\idd1E.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd1E.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd1E.tmp.exe Déplacé
C:\WINDOWS\Temp\idd5AD.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd5AD.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd5AD.tmp.exe Déplacé
C:\WINDOWS\Temp\idd5DE.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd5DE.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd5DE.tmp.exe Déplacé
C:\WINDOWS\Temp\idd6B4.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd6B4.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd6B4.tmp.exe Déplacé
C:\WINDOWS\Temp\idd6F5.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd6F5.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd6F5.tmp.exe Déplacé
C:\WINDOWS\Temp\idd7B8.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd7B8.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd7B8.tmp.exe Déplacé
C:\WINDOWS\Temp\idd7F9.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd7F9.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd7F9.tmp.exe Déplacé
C:\WINDOWS\Temp\idd9.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd9.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd9.tmp.exe Déplacé
C:\WINDOWS\Temp\idd41.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd41.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd41.tmp.exe Déplacé
C:\WINDOWS\Temp\idd83C.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd83C.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd83C.tmp.exe Déplacé
C:\WINDOWS\Temp\idd571.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd571.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd571.tmp.exe Déplacé
C:\WINDOWS\Temp\idd579.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd579.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd579.tmp.exe Déplacé
C:\WINDOWS\Temp\idd581.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd581.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd581.tmp.exe Déplacé
C:\WINDOWS\Temp\idd589.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd589.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd589.tmp.exe Déplacé
C:\WINDOWS\Temp\idd594.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd594.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd594.tmp.exe Déplacé
C:\WINDOWS\Temp\idd621.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd621.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd621.tmp.exe Déplacé
C:\WINDOWS\Temp\idd672.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd672.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd672.tmp.exe Déplacé
C:\WINDOWS\Temp\idd738.tmp.exe Détecté: Dialer.Porn.Y
C:\WINDOWS\Temp\idd738.tmp.exe Désinfection impossible
C:\WINDOWS\Temp\idd738.tmp.exe Déplacé

===========================================================
Je procède ensuite à un scan Anti RootKit dont voici le rapport :
//-----------------------------------------------------------------
//
// ProduitBitDefender Antivirus Plus v10
// Produit10.0
//
// Créé le: 10/02/2007 11:26:00
//
//-----------------------------------------------------------------

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[X] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[X] Ignorer
[ ] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[X] Ignorer
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[ ] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users.WINDOWS\Application Data\Bitdefender\Desktop\Profiles\Logs\rootkit_scan\1171103160.log

Options d'analyse Spyware

[ ] Analyse contre les risques non-viraux
[ ] Clés de registres
[ ] Cookies

===========================================================
J'ai lu sur d'autres post du forum forum qu'il fallait faire un scan avec "hijacthis ", je vais donc m'empresser de le télécharger et de vous donnez la suite, d'ici quelques minutes...
===========================================================

16 réponses

Réponse 1 / 16
Séb08 Messages postés 16502 Date d'inscription dimanche 13 novembre 2005 Statut Contributeur Dernière intervention 17 février 2023 1 429
10 févr. 2007 à 11:53
slt,

Envoi le log.

Fais ce ci aussi (avant si possible).

Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec (redemarrage + tapotte sans arret sur F8 desque l'ordi s'allume)
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

a+

1
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
10 févr. 2007 à 12:13
En ce qui concerne SDFix j'ai suivit les étapes et il me faut faire un choix entre l'option 1, 2, 3, 4
Laquelle est-ce ???

Je suis une palourde....
0
Réponse 2 / 16
Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 105
10 févr. 2007 à 11:58
Hello Z3D et Séb ;)

Juste avant de faire le log HijackThis, tu peux faire ceci stp. :

Télécharger et nettoyer son PC avec ccleaner

Utilisation :

* Choisir l’onglet "Options" puis cliquer sur "Avancé" et décocher les cases "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures".
* Dans l'onglet "Nettoyeur" cliquer sur "Analyse".
* Une fois l'analyse terminée, cliquer sur "Lancer le Nettoyage".
* Ensuite, dans l'onglet "Erreurs" cliquer sur "Chercher des erreurs" puis, avant de cliquer sur "Réparer les erreurs sélectionnées" effectuer une sauvegarde du registre (comme proposé).
* Recommencer jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).

Cela va supprimer toutes les infections présentes dans le log BitDefender que tu as posté ci-dessus.

Ensuite refais un log BitDefender stp.

Bon courage pour la suite ;)
0
Séb08 Messages postés 16502 Date d'inscription dimanche 13 novembre 2005 Statut Contributeur Dernière intervention 17 février 2023 1 429
10 févr. 2007 à 12:00
hi kris, ;)

Pense pas que ça suffirait...
0
Réponse 3 / 16
Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 105
10 févr. 2007 à 12:04
Re Séb,

J'espère que tu n'as pas cliqué sur les deux premiers liens du post 1 :-P lol

En fait, j'ai remarqué que les dialers se situent uniquement dans le dossier "temp" donc il suffit de le vider.

Si Z3d n'as pas était infecté davantage depuis, normalement le scan BitDefender devrait être clean.

Mais bien sûr SDFix est très bien aussi ;)

Juste pour voir...

Have a nice day!
0
Réponse 4 / 16
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
10 févr. 2007 à 12:08
Logfile of HijackThis v1.99.1
Scan saved at 11:46:21, on 10/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\idd1E.tmp.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Z3d.ZEDOVORE-99BC62\Mes documents\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [FlashGet] C:\Program Files\FlashGet\FlashGet.exe /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://zedovore.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: winjjq32 - C:\WINDOWS\SYSTEM32\winjjq32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
===========================================================
Maintenant je télécharge "SmitfrauFix de S!Ri" l'installe, le lance, je choisi l'option 1 comme décrit dans les autres post sur le sujet et voici le rapport :
SmitFraudFix v2.141

Rapport fait à 11:55:29,04, 10/02/2007
Executé à partir de C:\Documents and Settings\Z3d.ZEDOVORE-99BC62\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Z3d.ZEDOVORE-99BC62


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Z3d.ZEDOVORE-99BC62\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Z3D~1.ZED\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\RegistryCleaner\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="sockspy.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
===========================================================
Maintenant que dois-je faire ?
Je m'en remet à vous en vous remerciant par avance pour votre aide.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
10 févr. 2007 à 12:28
Voici le rapport de SDFix :

SDFix: Version 1.64

Run by: Z3d - 10/02/2007 @ 12:17:53,70

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\Temp\idd63.tmp.exe - Deleted
C:\WINDOWS\Temp\idd75.tmp.exe - Deleted
C:\WINDOWS\Temp\win570.tmp.exe - Deleted
C:\DOCUME~1\Z3D~1.ZED\LOCALS~1\Temp\win22A.tmp.exe - Deleted
C:\DOCUME~1\Z3D~1.ZED\LOCALS~1\Temp\win233.tmp.exe - Deleted
C:\WINDOWS\Temp\win*.tmp - Deleted



ADS Check:

C:\WINDOWS\system32
Un périphérique attaché au système ne fonctionne pas correctement.


Final Check:


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger"
"C:\\Program Files\\WinMX\\WinMX.exe"="C:\\Program Files\\WinMX\\WinMX.exe:*:Enabled:WinMX Application"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\eMule\\eMule.exe"="C:\\Program Files\\eMule\\eMule.exe:*:Enabled:eMule Plus"
"C:\\Program Files\\FlashGet\\flashget.exe"="C:\\Program Files\\FlashGet\\flashget.exe:*:Enabled:Flashget"
"C:\\DOCUME~1\\Z3D~1.ZED\\LOCALS~1\\Temp\\win22F.tmp.exe"="C:\\DOCUME~1\\Z3D~1.ZED\\LOCALS~1\\Temp\\win22F.tmp.exe:*:Enabled:win22F.tmp"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Program Files\FlashGet\Torrent\Msnhotcam.com hot girls live 24-24.torrent.bits
C:\Program Files\FlashGet\Torrent\Msnhotcam.com hot girls live 24-24.torrent.filelist
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\BADU59.COM\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\BADU59.COM\_notes\dwSiteColumnsMe.xml
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\jimmy.ifrance.com\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\jimmy.ifrance.com\_notes\dwSiteColumnsMe.xml
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\ROBINDUWEB.COM\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\ROBINDUWEB.COM\developpement\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\ROBINDUWEB.COM\developpement\images\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\ROBINDUWEB.COM\developpement\_notes\dwSiteColumnsMe.xml
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\ROBINDUWEB.COM\_notes\dwSiteColumnsMe.xml
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\robinduweb.ifrance.com\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\robinduweb.ifrance.com\developpement\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\robinduweb.ifrance.com\developpement\images\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\robinduweb.ifrance.com\developpement\javascriptsearch\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\robinduweb.ifrance.com\developpement\map_site\Thumbs.db
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\robinduweb.ifrance.com\developpement\_notes\dwSiteColumnsMe.xml
C:\weblocal\Kit_Graphique_et_D‚veloppement_Web\robinduweb.ifrance.com\_notes\dwSiteColumnsMe.xml
C:\weblocal\monhlm.ifrance.com\Thumbs.db
C:\weblocal\monhlm.ifrance.com\chbre1_fichiers\Thumbs.db
C:\weblocal\monhlm.ifrance.com\chbre2_fichiers\Thumbs.db
C:\weblocal\monhlm.ifrance.com\couloir1_fichiers\Thumbs.db
C:\weblocal\monhlm.ifrance.com\couloir2_fichiers\Thumbs.db
C:\weblocal\monhlm.ifrance.com\courriers_fichiers\Thumbs.db
C:\weblocal\monhlm.ifrance.com\juin\Thumbs.db
C:\weblocal\monhlm.ifrance.com\med11022004_fichiers\Thumbs.db
C:\weblocal\monhlm.ifrance.com\_notes\Thumbs.db
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\lpaccodec.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\lpac_codec_api.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\PNCRT.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\atrc3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\auth3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\cook3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\drv13260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\drv23260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\drv33260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\drv43260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\pnen3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\pnvi3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\pnxr3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\ramf3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rare3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rims3290.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rmff3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rmse3290.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rmwr3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rnlt3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rorw3290.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rtae3290.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rtin3290.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rtve3290.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rv103260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rv203260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rv303260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rv403260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\rvre3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\sipr3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\smpl3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\vsrl3260.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\xmlp3261.dll
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\Common\zipf3260.dll
C:\Program Files\Fichiers communs\Yazzle1162OinUninstaller.exe
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\AACMP4.EXE
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\OFR.EXE
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\RMADEC.EXE
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\MusePack\MPPDEC.EXE
C:\Program Files\Fichiers communs\Ahead\AudioPlugins\MusePack\MPPENC.EXE
C:\Program Files\JoWooD\SpellForce\ar.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\idd1E.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\idd3EF.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\idd41.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\idd547.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\win188.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\win3B.tmp.exe
C:\Program Files\FlashGet\Torrent\Apocalypto.DVDSCR.XviD-iMBT.2CD.(syncfixed).rar.torrent.bits
C:\Program Files\FlashGet\Torrent\Apocalypto.DVDSCR.XviD-iMBT.2CD.(syncfixed).rar.torrent.filelist
C:\3jzjaw3o.sys
C:\Program Files\Softwin\BitDefender10\Quarantine\idd1E.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\idd3EF.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\idd41.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\idd547.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\win188.tmp.exe
C:\Program Files\Softwin\BitDefender10\Quarantine\win3B.tmp.exe

Finished
0
Réponse 6 / 16
Séb08 Messages postés 16502 Date d'inscription dimanche 13 novembre 2005 Statut Contributeur Dernière intervention 17 février 2023 1 429
10 févr. 2007 à 12:32
Ok tu nous a fait la total là :! lol

Désinstalle C:\Program Files\FlashGet il contient un ad-aware.

===========================

* Redémarres le PC en mode sans échec : Au démarrage tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le [mode sans échec]

Voir ici si besoin d’aide
windows xp demarrage en mode sans echec
* Ouvre le dossier [SmitfraudFix] et double clic sur Smitfraudfix.cmd, choisit l’option 2 et tu réponds oui à tout.

Copie/colle le rapport sur le forum stp.

==========================
ensuite redémarre en mode normal et remet un log hijack stp.

a+
0
Réponse 7 / 16
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
10 févr. 2007 à 12:37
ok je fait ça de suite...
0
Réponse 8 / 16
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
10 févr. 2007 à 12:57
Alors j'ai vider le repertoire "temp", désinstallé FlashFXP et redémarré en mode sans echec pour executer SmitFraudFix dont voici le rapport :

SmitFraudFix v2.141

Rapport fait à 12:44:23,48, 10/02/2007
Executé à partir de C:\Documents and Settings\Z3d.ZEDOVORE-99BC62\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\secure32.html supprimé
C:\Program Files\RegistryCleaner\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Le problème persiste j'ai toujours des alertes de BitDefender grrrr...

J'ai remarqué ceci : http://l.mezzicodec.net/a412/a571.php?m=0&b=779&c=4
est ce la véritable adresse de l'attaquant ?
0
Réponse 9 / 16
Séb08 Messages postés 16502 Date d'inscription dimanche 13 novembre 2005 Statut Contributeur Dernière intervention 17 février 2023 1 429
10 févr. 2007 à 13:02
remet un log hijack en mode normal.

a+
0
Réponse 10 / 16
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
10 févr. 2007 à 13:05
Voilou...le rapport HiJackThis :

Logfile of HijackThis v1.99.1
Scan saved at 13:04:52, on 10/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\win42.tmp.exe
C:\WINDOWS\TEMP\iddE.tmp.exe
C:\Documents and Settings\Z3d.ZEDOVORE-99BC62\Mes documents\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [FlashGet] C:\Program Files\FlashGet\FlashGet.exe /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://zedovore.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: winjjq32 - C:\WINDOWS\SYSTEM32\winjjq32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
0
Réponse 11 / 16
Séb08 Messages postés 16502 Date d'inscription dimanche 13 novembre 2005 Statut Contributeur Dernière intervention 17 février 2023 1 429
10 févr. 2007 à 13:10
Vire ce genre de fichier présent dans C:\WINDOWS\TEMP\win42.tmp.exe..

tu n'as pas désinstalle Flashget !

Vide ta poubelle.

Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm


1-Double-clic sur KillBox.exe
2- Selectionne "Delete on Reboot"
3 - Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\SYSTEM32\winjjq32.dll

4- clic sur le rond rouge
5- une fenetre va apparaitre pour confirmation clic sur OUI
6- une seconde fenetre te demande si tu veux redemarrer clic sur OUI

le pc va redemarrer

Si tu as un message: "pending file rename operations registry data has been removed by external process.", ignore-le, et redémarre ton PC manuellement et remet un log hijack.

a+
0
Réponse 12 / 16
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
10 févr. 2007 à 13:27
Logfile of HijackThis v1.99.1
Scan saved at 13:21:56, on 10/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Z3d.ZEDOVORE-99BC62\Mes documents\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [FlashGet] C:\Program Files\FlashGet\FlashGet.exe /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://zedovore.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: winjjq32 - winjjq32.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Bon voila ou j'en suis (rires un peu...) :
Je n'y comprend keudale à tout ces log mais pour le moment je n'ai pas eu de message de BitDefender alors que jusque la au bout de 1 mn après redémarrage j'y avait droit, cela signifie t'il que le rpoblème serait résolu ?
Si c'est le cas alors je dit bravo, non je dit BRAVOOOO (dsl je sais que les Maj sont interdites mais là on peu me le passer, lol)
0
Réponse 13 / 16
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
10 févr. 2007 à 14:03
pas d'alertes oui mais après passage d'un new scan de BitDefender voici le rapprot désastreux :

//-----------------------------------------------------------------
//
// ProduitBitDefender Antivirus Plus v10
// Produit10.0
//
// Créé le: 10/02/2007 13:41:29
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
D:\
Dossiers : 9494
Fichiers : 45964
Processus Mémoire analysés : 15
Archives : 8
Fichiers renommés : 5503
Virus trouvés : 6
Fichiers infectés : 16
Processus Mémoire infectés : 0
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 10
Erreurs I/O : 45
Temps d'analyse :=00:20:03
Fichiers/seconde :38

Statistiques Spywares

Clés de registres analysées : 1557
Clés de registres infectés : 0
Cookies analysés : 99
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0


Définitions virus : 455235
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 6
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users.WINDOWS\Application Data\Bitdefender\Desktop\Profiles\Logs\full_scan\1171111289.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies


Résumé:

C:\Documents and Settings\Administrateur\Local Settings\Temp\comver.dll Détecté: Adware.Gamespyarcade.A
C:\Documents and Settings\Administrateur\Local Settings\Temp\comver.dll Désinfection impossible
C:\Documents and Settings\Administrateur\Local Settings\Temp\comver.dll Déplacé
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\abc[1].exe Infecté: Trojan.Peed.Gen
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\abc[1].exe Désinfection impossible
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\abc[1].exe Déplacé
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\abc[2].exe Infecté: Trojan.Peed.Gen
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\abc[2].exe Désinfection impossible
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\abc[2].exe Déplacé
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\game3[1].exe Infecté: Trojan.Peed.Gen
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\game3[1].exe Désinfection impossible
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\8D6N8L2R\game3[1].exe Déplacé
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\GTABGHUZ\game4[1].exe Infecté: Trojan.Peed.Gen
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\GTABGHUZ\game4[1].exe Désinfection impossible
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\GTABGHUZ\game4[1].exe Déplacé
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\OD2VCHE3\game1[1].exe Infecté: Trojan.Peed.Gen
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\OD2VCHE3\game1[1].exe Désinfection impossible
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\OD2VCHE3\game1[1].exe Déplacé
C:\Program Files\Softwin\BitDefender10\Quarantine\idd1E.tmp.exe Détecté: Dialer.Porn.Y
C:\Program Files\Softwin\BitDefender10\Quarantine\idd1E.tmp.exe Désinfection impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\idd1E.tmp.exe Déplacement impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\idd3EF.tmp.exe Détecté: Dialer.Porn.Y
C:\Program Files\Softwin\BitDefender10\Quarantine\idd3EF.tmp.exe Désinfection impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\idd3EF.tmp.exe Déplacement impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\idd41.tmp.exe Détecté: Dialer.Porn.Y
C:\Program Files\Softwin\BitDefender10\Quarantine\idd41.tmp.exe Désinfection impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\idd41.tmp.exe Déplacement impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\idd547.tmp.exe Détecté: Dialer.Porn.Y
C:\Program Files\Softwin\BitDefender10\Quarantine\idd547.tmp.exe Désinfection impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\idd547.tmp.exe Déplacement impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\win188.tmp.exe Infecté: Dropped:Dialer.Udia.A
C:\Program Files\Softwin\BitDefender10\Quarantine\win188.tmp.exe Désinfection impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\win188.tmp.exe Déplacement impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\win3B.tmp.exe Infecté: Dropped:Dialer.Udia.A
C:\Program Files\Softwin\BitDefender10\Quarantine\win3B.tmp.exe Désinfection impossible
C:\Program Files\Softwin\BitDefender10\Quarantine\win3B.tmp.exe Déplacement impossible
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc1.exe Détecté: Dialer.Porn.Y
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc1.exe Désinfection impossible
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc1.exe Déplacé
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc3.exe Détecté: Dialer.Porn.Y
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc3.exe Désinfection impossible
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc3.exe Déplacé
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc342.exe Détecté: Dialer.Porn.P
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc342.exe Désinfection impossible
C:\RECYCLER\S-1-5-21-1177238915-1647877149-839522115-1003\Dc342.exe Déplacé
D:\System Volume Information\_restore{4E170950-50E0-453F-B281-59338F8EC32E}\RP16\A0003104.exe Infecté: Dropped:Adware.Stud.A
D:\System Volume Information\_restore{4E170950-50E0-453F-B281-59338F8EC32E}\RP16\A0003104.exe Désinfection impossible
D:\System Volume Information\_restore{4E170950-50E0-453F-B281-59338F8EC32E}\RP16\A0003104.exe Déplacé
0
Réponse 14 / 16
Séb08 Messages postés 16502 Date d'inscription dimanche 13 novembre 2005 Statut Contributeur Dernière intervention 17 février 2023 1 429
10 févr. 2007 à 14:14
vide les quarantaines de Bitdefender.

Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.


Télécharge, installe et lance ce log comme indiqué

* cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
Démo :
http://pageperso.aol.fr/balltrap34/democleanup.htm
Téléchargement :
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
Lance le, vérifie que tu es bien en "option standard" (cf démo), ensuite [cleanup] à la fin tu auras une fenêtre qui s'ouvre clique sur [oui], ton PC va redémarrer.

Remet un log hijack.

a+
0
Réponse 15 / 16
Z3d Messages postés 62 Date d'inscription samedi 10 février 2007 Statut Membre Dernière intervention 10 avril 2007 2
11 févr. 2007 à 12:52
Ok tout est rentré dans l'ordre, re-scan + nettoyage complet, merci, merci, merci ;-D

Pb résolu
0
Réponse 16 / 16
Séb08 Messages postés 16502 Date d'inscription dimanche 13 novembre 2005 Statut Contributeur Dernière intervention 17 février 2023 1 429
11 févr. 2007 à 13:02
Ok bien :-)

¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.

http://www.libellules.ch/desactiver_restauration.php


Et cré un nouveau point de restauration

Création d'un point propre :

* Cliquez sur « Démarrer » => tous les programmes=> accessoires=> outils systèmes=> restauration du système=> creer un point de restauration =>nomme le
créer ==> "ok"

Bon surf.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Virus détecté
Koony -
MisteryBean -

6 réponses
y a t'il des virus qu'avast ne detecte pas
davivid -
Utilisateur anonyme -

24 réponses
Mon ordinateur a été infecté par un virus ou
henry4002 -
jorginho67 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses