Site de boules et virus à la con...

Site de boules et virus à la con... - Sécurité - Windows & Software

Marsh Posté le 03-08-2005 à 16:37:37    

Vwala un sale gosse s'est amusé à surfer sur des sites ou les jeunes filles ont le visage maculé de pate blanchatre...
Enfin je m'en suis rendu compte assez vite: http://img67.imageshack.us/img67/1056/enviedemeurtre11db.jpg
Bref, je voudrais savoir comment on vire cette MERDE!!!


Message édité par french_Kiss le 03-08-2005 à 16:57:56
Reply

Marsh Posté le 03-08-2005 à 16:37:37   

Reply

Marsh Posté le 03-08-2005 à 16:43:12    

Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
 
Important: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
 
Démo en images ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
 
;) Merci balltrap

Reply

Marsh Posté le 03-08-2005 à 16:51:00    

Ok voici le log

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 16:46:12, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D5FA8987-B651-4CA8-86B1-35C1F8BB98A7} - C:\WINDOWS\System32\eldk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Gay_Sexy_se] C:\Program Files\SCom\Dialers\Gay_Sexy_se\Gay_Sexy_se.exe /dontdial  
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Filter: text/html - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O18 - Filter: text/plain - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 

Reply

Marsh Posté le 03-08-2005 à 18:06:51    

up

Reply

Marsh Posté le 03-08-2005 à 18:12:33    

Re, je regarde ton rapport, réponse dans un moment

Reply

Marsh Posté le 03-08-2005 à 18:20:58    

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 18:15:36, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\program files\steam\steam.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 


J'ai viré qq trucs en mode sans echec...
mais le fond d'ecran pourri persiste, et pas moyen de le changer :o
je vais virer C:\WINDOWS\q13809406_disk.dll ca m'inspire pas  :D

Reply

Marsh Posté le 03-08-2005 à 18:29:27    

http://img259.imageshack.us/img259/3632/enviedemeurtres23bp.jpg
 :fou:  :fou:
C'est quoi cette merde de point d'exclamation entre msn et clone cd?  :cry:


Message édité par french_Kiss le 03-08-2005 à 18:30:12
Reply

Marsh Posté le 03-08-2005 à 18:33:24    

Re, télécharge CCleaner
http://www.ccleaner.com/ccdownload.asp
 
SpSeHjfix de Seeker
http://www.trojaner-info.de/cgi-bi [...] le=sphjfix
Dézippe le dans un répertoire alloué et place un raccourci sur le bureau
 
Fix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip  
Tu le décompresses tu double cliques dessus et tu choisis l’option 1  
Cela va générer un rapport poste le
 
Redémarre en mode sans échec
 
Relance le et choisis cette fois l’option 2 et réponds oui à tout  
Redémarre et communique le nouveau rapport
 
------------------------------------------------------------------------------------------------
 
Désinstalle vie Ajout/Suppression de programmes cette application si présente:
 
SCom
 
Lance SpSeHjfix: clique sur "start disinfection".
En cas d'infection le pc sera redémarré.
 
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne:  
 
Hardware Clock Driver (hwclock)  
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de  C:\WINDOWS\System32\hwclock.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes (si encore présentes):
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
 
O2 - BHO: (no name) - {D5FA8987-B651-4CA8-86B1-35C1F8BB98A7} - C:\WINDOWS\System32\eldk.dll
 
O4 - HKLM\..\Run: [Gay_Sexy_se] C:\Program Files\SCom\Dialers\Gay_Sexy_se\Gay_Sexy_se.exe /dontdial  
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
 
 
O4 - HKLM\..\Run: [sp] rundll32 c:\temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe
 
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O18 - Filter: text/html - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O18 - Filter: text/plain - {1FDED067-1524-4B18-B969-CDBD7232BC13} - C:\WINDOWS\System32\eldk.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q13809406_disk.dll
 
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
c:\temp\< le contenu du dossier
C:\WINDOWS\System32\eldk.dll
C:\Program Files\SCom  
C:\WINDOWS\System32\intell32.exe
C:\Program Files\PSGuard
C:\WINDOWS\q13809406_disk.dll
C:\WINDOWS\System32\hwclock.exe
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

Reply

Marsh Posté le 03-08-2005 à 18:35:33    

PSGuard...

Reply

Marsh Posté le 03-08-2005 à 18:37:27    

merci de ta reponse, saloperie de psguard, c incroyable que des trucs comme ca existent...
juste une question c quoi ccleaner?
 
 
je m'y met !


Message édité par french_Kiss le 03-08-2005 à 18:37:40
Reply

Marsh Posté le 03-08-2005 à 18:37:27   

Reply

Marsh Posté le 03-08-2005 à 18:39:29    

CCleaner est un petit utilitaire qui nettoie TIF, cookies, corbeille... Tu verras, sans danger

Reply

Marsh Posté le 03-08-2005 à 18:40:48    

oki

Reply

Marsh Posté le 03-08-2005 à 18:47:15    

je reboot en sans echec pour virer q13 et intell32 et les fichers temp qui veulent pas se virer
 
 
bizzare C:\Program Files\SCom  existe pas


Message édité par french_Kiss le 03-08-2005 à 18:48:00
Reply

Marsh Posté le 03-08-2005 à 18:48:54    

Fais d'abord les manipulations avec le fix de S!Ri. Poste bien les deux rapports ensuite deuxième partie avec Hijackthis.

Reply

Marsh Posté le 03-08-2005 à 18:54:26    

S!ri??

Reply

Marsh Posté le 03-08-2005 à 18:57:26    

ah ok j'avais pas vu  :whistle:

Reply

Marsh Posté le 03-08-2005 à 18:59:09    

SmitFraudFix v1.5
 
Rapport fait à 18:54:26,15 le mer. 03/08/2005
Executé à partir de C:\Documents and Settings\Thor\Mes documents\SECURITY\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
 
C:\WINDOWS\uninstIU.exe PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
 
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Thor\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
 
 
C:\WINDOWS\system32\wininet.dll infecté !
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement
 
 Le volume dans le lecteur C n'a pas de nom.
 Le num‚ro de s‚rie du volume est C41D-3D5A
 
 R‚pertoire de C:\WINDOWS\system32
 
29/08/2002  14:45           603.136 wininet.dll
               1 fichier(s)          603.136 octets
 
 R‚pertoire de C:\WINDOWS\system32\dllcache
 
29/08/2002  14:45           603.136 wininet.dll
               1 fichier(s)          603.136 octets
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 

Reply

Marsh Posté le 03-08-2005 à 19:09:19    


 
(8/3/05 18:53:24) SPSeHjFix started v1.1.2
(8/3/05 18:53:24) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 18:53:24) Language: français
(8/3/05 18:53:24) Win-Path: C:\WINDOWS
(8/3/05 18:53:24) System-Path: C:\WINDOWS\System32
(8/3/05 18:53:24) Temp-Path: c:\temp\
(8/3/05 18:53:31) Disinfection started
(8/3/05 18:53:31) Bad-Dll(IEP): c:\temp\se.dll
(8/3/05 18:53:31) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\eldk.dll
(8/3/05 18:53:31) Searchassistant Uninstaller - Keys Deleted
(8/3/05 18:53:31) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 18:53:31) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 c:\temp\se.dll,DllInstall (deleted)
(8/3/05 18:53:31) UBF: 4 - UBB: 0 - UBR: 17
(8/3/05 18:53:31) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank  
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\temp\se.dll/space.html  
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank  
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank  
(8/3/05 18:53:31) Stealth-String not found
(8/3/05 18:53:31) File added to delete: c:\windows\system32\eldk.dll
(8/3/05 18:53:31) File added to delete: c:\temp\se.dll
(8/3/05 18:53:31) Reboot  
 
 
(8/3/05 19:01:19) SPSeHjFix started v1.1.2
(8/3/05 19:01:19) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 19:01:19) Language: français
(8/3/05 19:01:19) Win-Path: C:\WINDOWS
(8/3/05 19:01:19) System-Path: C:\WINDOWS\System32
(8/3/05 19:01:19) Temp-Path: c:\temp\
(8/3/05 19:01:20) Disinfection started
(8/3/05 19:01:20) Bad-Dll(IEP): (not found)
(8/3/05 19:01:20) Bad-Dll(IEP) in BHO: (not found)
(8/3/05 19:01:20) UBF: 4 - UBB: 0 - UBR: 19
(8/3/05 19:01:20) UBF: 4 - UBB: 0 - UBR: 19
(8/3/05 19:01:20) Bad IE-pages: (none)
(8/3/05 19:01:20) Stealth-String not found
(8/3/05 19:01:20) Not infected->END  
 
 
(8/3/05 19:02:37) SPSeHjFix started v1.1.2
(8/3/05 19:02:37) OS: WinXP Service Pack 1 (5.1.2600)
(8/3/05 19:02:37) Language: français
(8/3/05 19:02:37) Win-Path: C:\WINDOWS
(8/3/05 19:02:37) System-Path: C:\WINDOWS\System32
(8/3/05 19:02:37) Temp-Path: c:\temp\
(8/3/05 19:03:40) Disinfection started
(8/3/05 19:03:40) Bad-Dll(IEP): (not found)
(8/3/05 19:03:40) Bad-Dll(IEP) in BHO: (not found)
(8/3/05 19:03:40) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 19:03:40) UBF: 4 - UBB: 0 - UBR: 18
(8/3/05 19:03:40) Bad IE-pages: (none)
(8/3/05 19:03:40) Stealth-String not found
(8/3/05 19:03:40) Not infected->END  

Reply

Marsh Posté le 03-08-2005 à 19:10:02    

Ca a l'air d'être bon!
Merci beaucoup man :jap:
J'espere pouvoir te rendre la pareille un jour

Reply

Marsh Posté le 03-08-2005 à 19:15:21    

Il manque le deuxième rapport du fix de S!Ri (élimination des processus) et le nouveau rapport Hijackthis. Merci.

Reply

Marsh Posté le 03-08-2005 à 19:18:00    

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 19:12:16, on 3/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\themeGold55\CursorXP\CursorXP.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\program files\steam\steam.exe
C:\Program Files\Mozilla.org\Firebird\MozillaFirebird.exe
C:\Program Files\Winamp\Winamp.exe
C:\Documents and Settings\Thor\Mes documents\SECURITY\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 


Et S:ri n'a pas generé de rapport, il a rien desinfecté je crois  [:figti]

Reply

Marsh Posté le 03-08-2005 à 19:29:27    

Normalement oui, quand tu démarres en mode sans échec et que tu entres 2 un log est généré. Un retouche dans ton log.
 
Démarre Hijackthis> Open the Misc Tools section> Delete an NT service> Entre Hardware Clock Driver (hwclock)> OK
 
Dis ce qu'il en est

Reply

Marsh Posté le 03-08-2005 à 19:53:52    

stonangel a écrit :

Normalement oui, quand tu démarres en mode sans échec et que tu entres 2 un log est généré. Un retouche dans ton log.
 
Démarre Hijackthis> Open the Misc Tools section> Delete an NT service> Entre Hardware Clock Driver (hwclock)> OK
 
Dis ce qu'il en est


Effectivement :

Citation :

SmitFraudFix v1.5
 
Rapport fait à 19:00:50,06 le mer. 03/08/2005
Executé à partir de C:\Documents and Settings\Thor\Mes documents\SECURITY\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\oleext.dll supprimé
C:\WINDOWS\system32\wppp.html supprimé
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll  
 
C:\WINDOWS\system32\wininet.dll infecté !
 
Recherche d'une copie de secours (backup) de wininet.dll...
 Le volume dans le lecteur C n'a pas de nom.
 Le num‚ro de s‚rie du volume est C41D-3D5A
 
 R‚pertoire de C:\WINDOWS\system32
 
29/08/2002  14:45           603.136 wininet.dll
               1 fichier(s)          603.136 octets
 
 R‚pertoire de C:\WINDOWS\system32\dllcache
 
29/08/2002  14:45           603.136 wininet.dll
               1 fichier(s)          603.136 octets
 
Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
Version System : 6.0.2800.1106
Version BackUp : 6.0.2800.1106
 
Remplacement wininet.dll (reboot necessaire)
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 


et
Hardware Clock Driver (hwclock) was not found


Message édité par french_Kiss le 03-08-2005 à 19:54:11
Reply

Marsh Posté le 03-08-2005 à 20:04:08    

Re, télécharge Killbox d'Option^Explicit:
http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippe sur le bueau.
 
Démarre en mode sans échec. Ouvre Killbox, coche Delete on reboot et dans la petite fenêtre sous "Full Path of File to Delete" entre le chemin complet du fichier suivant:
 
C:\WINDOWS\System32\hwclock.exe
 
Clique sur la croix blanche sur fond rouge. Aux deux messages qui vont s'afficher réponds oui.
 
Redémarre et dis ce qu'il en est
 

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed