TROJANS difficiles à enlever ?!!!!

Marsh Posté le 21-03-2005 à 16:49:28

Bonjour à tous,
Je suis devant l'ordi d'un ami (windows xp), sa machine est bien infectée.
J'ai déjà enlevé une grosse partie des virus et autres mais il y a certains trojans que je n'arrive pas à enlever ( voici les logiciels & autres dont je me suis servie pour l'instant : Spybot S&D, The Cleaner, Ad-aware SE, Secuser.com, norton, Trend Micro)
:??:

Voici un log de Panda, activscan que je viens de faire en ligne.
Quelqu'un peut m'aider ???

Incident Status Location

Adware:Adware/CWS.Aboutblank No disinfected C:\WINDOWS\appdb32.exe
Adware:Adware/ISearch No disinfected C:\WINDOWS\isrvs\FFISEA~1.EXE
Adware:Adware/CWS.Aboutblank No disinfected C:\WINDOWS\appdb32.exe
Adware:Adware/SaveNow No disinfected Windows Registry
Adware:Adware/PurityScan No disinfected C:\WINDOWS\System32\vbsys2.dll
Adware:Adware/CWS No disinfected C:\Documents and Settings\Francesco\Bureau\Virus Hunter Security.lnk
Adware:Adware/FavoriteMan No disinfected C:\WINDOWS\downloaded program files\ATPartners.inf
Adware:Adware/SearchAid No disinfected C:\Documents and Settings\Francesco\Favoris\Only sex website.url
Adware:Adware/IPInsight No disinfected C:\WINDOWS\farmmext.ini
Adware:Adware/ISearch No disinfected C:\WINDOWS\isrvs
Adware:Adware/EliteBar No disinfected C:\WINDOWS\EliteSideBar
Spyware:Spyware/YourSiteBar No disinfected C:\WINDOWS\Downloaded Program Files\YSBactivex.???
Spyware:Spyware/Petro-Line No disinfected C:\Documents and Settings\Francesco\Favoris\Sites about\Ab scissor.url
Adware:Adware/CWS.Searchmeup No disinfected Windows Registry
Adware:Adware/ISearch No disinfected C:\Documents and Settings\Francesco\Local Settings\Temp\B218222463\build2.exe
Adware:Adware/Transponder No disinfected C:\Documents and Settings\Francesco\Local Settings\Temporary Internet Files\Content.IE5\GP6R4PQJ\thnall2r[1].exe
Adware:Adware/NetPals No disinfected C:\Documents and Settings\Francesco\Local Settings\Temporary Internet Files\Content.IE5\WCSQ123R\15yf09fg[1].cab[ATPartners.inf]
Adware:Adware/NetPals No disinfected C:\Documents and Settings\Francesco\Local Settings\Temporary Internet Files\Content.IE5\WCSQ123R\15yf09fg[1].cab[ATPartners.dll]
Adware:Adware/SearchAid No disinfected C:\msinfo.exe
Adware:Adware/CoolSearchHome No disinfected C:\WINDOWS\4gfgfg.exe
Adware:Adware/CWS.Aboutblank No disinfected C:\WINDOWS\appdb32.exe
Adware:Adware/EasySearch No disinfected C:\WINDOWS\bxtco.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\cmjsi.dll
Adware:Adware/ISearch No disinfected C:\WINDOWS\delprot.ini
Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\df12e.exe
Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\dfe.exe
Adware:Adware/NetPals No disinfected C:\WINDOWS\Downloaded Program Files\ATPartners.inf
Virus:Trj/Downloader.AEU Disinfected C:\WINDOWS\Downloaded Program Files\ied.inf
Adware:Adware/PurityScan No disinfected C:\WINDOWS\Downloaded Program Files\start.INF
Adware:Adware/Megasearch No disinfected C:\WINDOWS\dsfeef.exe
Adware:Adware/Megasearch No disinfected C:\WINDOWS\dsfqqeef.exe
Adware:Adware/EasySearch No disinfected C:\WINDOWS\edwvw.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\euicl.dll
Adware:Adware/CoolSearchHelperNo disinfected C:\WINDOWS\feee.exe
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\grisx.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\hnqug.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\huwag.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\ijjil.dll
Adware:Adware/Transponder No disinfected C:\WINDOWS\inf\dlmax.inf
Adware:Adware/FIsearch No disinfected C:\WINDOWS\isrvs\edmond.exe
Adware:Adware/ISearch No disinfected C:\WINDOWS\isrvs\ffisearch.exe
Adware:Adware/ISearch No disinfected C:\WINDOWS\isrvs\isearch.xpi[isearch.jar][isearch.js]
Adware:Adware/FIsearch No disinfected C:\WINDOWS\isrvs\msdbhk.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\iynpy.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\lzbdi.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\mgfwk.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\mtjmq.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\mwlzz.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\nbxrk.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\nhqyq.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\piwzm.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\rmogn.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\rvhbx.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\swoen.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\aetqq.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\akkuf.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\bcesc.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\bsdje.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\bwyva.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\cmsbm.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\detoq.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\fmfek.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\gukbm.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\hiljg.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\hksdy.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\hksjy.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\hmpiq.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\hprkx.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\htlpv.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\hyspv.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\ientw.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\jbfid.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\jcqwv.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\jjwkg.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\jlcgz.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\jpmnb.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\kyxfp.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\lnojb.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\mfsco.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\nbrcc.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\nvxxb.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\ojvas.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\pfkbb.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\pxioo.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\qlyep.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\rmfez.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\ssnel.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\syycq.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\ublhq.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\ulggy.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\uxkti.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\vzbll.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\wdply.dll
Adware:Adware/CoolSearchHelperNo disinfected C:\WINDOWS\system32\WinSuck.dll
Adware:Adware/CoolSearchHome No disinfected C:\WINDOWS\system32\WinTitle.dll12
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\wjhug.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\system32\xhudx.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\system32\zrneb.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\tgczg.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\tmyni.dll
Adware:Adware/StartPage.BK No disinfected C:\WINDOWS\vovqc.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\vteaw.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\wdjww.dll
Adware:Adware/EasySearch No disinfected C:\WINDOWS\zhcjr.dll
Virus:W32/Netsky.P.worm Disinfected C:\WINDOWS\zip2.tmp[zip2.zip][data.rtf .scr]

Reply

Marsh Posté le 21-03-2005 à 16:49:28

Reply

Marsh Posté le 21-03-2005 à 18:20:18

http://www.01net.com/telecharger/w [...] index.html

http://www.01net.com/telecharger/w [...] ndex2.html

http://www.01net.com/telecharger/w [...] ndex3.html

http://www.01net.com/telecharger/w [...] ndex4.html

http://www.01net.com/telecharger/w [...] ndex5.html

http://www.01net.com/telecharger/w [...] ndex6.html

Reply

Marsh Posté le 21-03-2005 à 18:45:05

Merci mais il n'y aurait pas une solution plus rapide ? Suis-je vraiment obligée de télécharger ces utilitaires 1 par 1 ?????

Il y a un autre souci.
Je viens d'installer le Pack 2 sur son ordinateur, le problème : quand je clique sur les icônes sur son bureau, rien ne s'ouvre (mes documents ; poste de travail; panneau de config etc)
Un message d'erreur apparaît : drwtsn32.exe a rencontré un problème et doit fermer.....bla bla...

J'ai vu sur certains forums que ce problème est récent et ça n'a pas l'air simple de régler ça.
Alors entre les multi infections que je n'arrive pas à enlever de sa machine et ce message d'erreur "drwtsn32.exe" puis moi, qui ne suis pas une pro des machines...lol
Grrrrrrrrrr !!!! help !!

Reply

Marsh Posté le 21-03-2005 à 18:47:52

et tout les softs tu les passé en mode sans echec ? oO

---------------
Soutenez l'association Chat Qu'un Son Toit - 86 | les RoadRunners sur BOiNC

Reply

Marsh Posté le 21-03-2005 à 18:55:14

Citation :

Merci mais il n'y aurait pas une solution plus rapide ?

Le formatage ca resoud tous les problemes en une petite heure. et ca a une autre vertu, la premiere fois on se dit que c'est pas grave, la deuxieme ca nous prend la tete et a la troisieme on se dit qu'on va faire beaucoup, beaucoup plus attention a ce qu'on installe et a ce qu'on utilise

Reply

Marsh Posté le 21-03-2005 à 18:56:03

Oui, sauf secuser, trend micro et panda car le mode sans echec avec prise en charge reseau ne marche. Sinon, les autres softs, update mode normal et scan en mode sans echec.

Reply

Marsh Posté le 21-03-2005 à 18:59:26

ok :jap:

esssaye stinger de NAI pour voir.
http://vil.nai.com/vil/stinger/
sinon essaye de desactivé le lancement des trojan avec HijackThis en mode sans echec
http://www.spywareinfo.com/~merijn/downloads.html

pis faire le menage des fichiers aprés

---------------
Soutenez l'association Chat Qu'un Son Toit - 86 | les RoadRunners sur BOiNC

Reply

Marsh Posté le 21-03-2005 à 19:01:31

Télécharger "HijackThis" 1.99.1 sur:

http://www.spywareinfo.com/~merijn/downloads.html

-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.

Reply

Marsh Posté le 21-03-2005 à 19:03:03

Mon pote est loin d'être une flèche en informatique donc je suis venue lui installer quelques trucs de base (zonealarm, spybot etc) mais il semble que j'arrive un peu tard ;-) c'est bien infecté. Il n'avait jamais utilisé windows update en plus.
Il est possible de trouver une autre soluce sans devoir formater ???

Reply

Marsh Posté le 21-03-2005 à 19:03:41

ben on t'en a donner 2 au moins la

---------------
Soutenez l'association Chat Qu'un Son Toit - 86 | les RoadRunners sur BOiNC

Reply

Marsh Posté le 21-03-2005 à 19:03:41

Reply

Marsh Posté le 21-03-2005 à 19:07:36

Hello Acrobaze!
Pff je n'arrive même pas à ouvrir le dossier où j'ai téléchargé HijackThis à cause de ce foutu message d'erreur "drwtsn32.exe" qui bloque tout !!! Grrrr ;-)
Je reviens dans 1 min, vais l'installer en mode sans echec

Reply

Marsh Posté le 21-03-2005 à 20:37:50

Bon, ça a mis plus de temps que prévu cette histoire.
J'ai désinstallé le Pack2 de windows XP et grâce à ça, je peux enfin accéder aux dossiers sur le bureau sans passer par le mode sans échec. Va comprendre...

J'ai passé un coup de "Stinger" mais il n'a rien trouvé.

Voici le log de HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 19:59:47, on 21/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {C8BDA5CF-B100-E06E-F6CD-5BAC66FA8EAD} - C:\WINDOWS\system32\atlhu32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDFCreateReminder] "C:\Program Files\ScanSoft\PDF Create! 2\EREG\Ereg.exe" -r "C:\Program Files\ScanSoft\PDF Create! 2\EREG\ereg.ini"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [izzkfd] c:\windows\system32\izzkfd.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\private-zone.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteipu32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [appdb32.exe] C:\WINDOWS\appdb32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WebRun] C:\WINDOWS\System32\web.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\private-zone.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: VAIO Action Setup (Serveur).lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA [...] anager.ocx
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53F422BB-1B02-4E80-AE3D-08FABEF90755}: NameServer = 195.78.6.36,195.78.6.210
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlnd32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Reply

Marsh Posté le 21-03-2005 à 21:00:29

Ok. C'est Bube. Le plus simple est de télécharger et lancer la version d'essai de KAV (mis à jour, bien réglé et en mode sans échec) tel qu'indiqué ici :

http://castlecops.com/postt106277.html

J'ai eu le même cas ici :
http://castlecops.com/postlite106729-.html
et ça c'est bien terminé.

Voici les liens pour télécharger:
http://www.kaspersky.com/trials?chapter=146481750
et les détails:
http://www.thespykiller.co.uk/bube.htm

Comme tu le vois dans le topic avec PT-TEC, reposte après tout ça un nouvel HijackThis, car il y a malgré tout quelques "remnants".

Reply

Marsh Posté le 21-03-2005 à 21:08:56

Ok je vais installer Kav ( ça risque de buger si je ne désinstalle pas son norton antivirus avant?)
Est-il possible que le pack 2 foctionne mal à cause de ce "Bube" (drwtsn32.exe qui bloque le pc)?

Reply

Marsh Posté le 21-03-2005 à 21:20:04

Tout à fait. Le Sp2 est à installer sur un système propre (ou presque..) mais là, Bube a téléchargé et installé près d'une centaine de spywares différents...

En principe, au moment de son installation, KAV te proposera soit de désactiver, soit de désinstaller Norton.

Allez, courage!

Reply

Marsh Posté le 22-03-2005 à 13:49:32

Hello, I'm back.

Voici le nouveau log :

Logfile of HijackThis v1.99.1
Scan saved at 13:44:43, on 22/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Microsoft Works\WksSb.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {C8BDA5CF-B100-E06E-F6CD-5BAC66FA8EAD} - C:\WINDOWS\system32\atlhu32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDFCreateReminder] "C:\Program Files\ScanSoft\PDF Create! 2\EREG\Ereg.exe" -r "C:\Program Files\ScanSoft\PDF Create! 2\EREG\ereg.ini"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [izzkfd] c:\windows\system32\izzkfd.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\private-zone.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteipu32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WebRun] C:\WINDOWS\System32\web.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\private-zone.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: VAIO Action Setup (Serveur).lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA [...] anager.ocx
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53F422BB-1B02-4E80-AE3D-08FABEF90755}: NameServer = 195.78.6.36,195.78.6.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{829DB0A4-9E29-472C-A8E6-94B3054595B1}: NameServer = 195.78.6.36 195.78.6.210
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Reply

Marsh Posté le 22-03-2005 à 20:03:13

Bon...mais il y a encore du boulot!

-------1

Télécharge cet OUTIL.

-Lance-le
- Clique "Check for updates" et mets-le à jour.
- Ne clique pas "Start"

--------2

Redémarre en mode sans échec.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rvhbx.dll/sp.html#12345
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {C8BDA5CF-B100-E06E-F6CD-5BAC66FA8EAD} - C:\WINDOWS\system32\atlhu32.dll (file missing)

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [izzkfd] c:\windows\system32\izzkfd.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\private-zone.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliteipu32.exe
O4 - HKCU\..\Run: [WebRun] C:\WINDOWS\System32\web.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\private-zone.exe

+
Tous les O15
+

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

Lance HijackThis. Coche ces lignes et clique "Fix checked".

----------
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Et supprime les fichiers surignés (il n'y seront peut-être pas...si supprimés par KAV...)

Toujours en sans échec, lance 2 fois de suite About:Buster ("Start" ).

Vide la corbeille. Redémarre en mode normal et poste un nouveau log.

Message édité par acrobaze le 22-03-2005 à 20:25:59

Reply

Marsh Posté le 22-03-2005 à 20:18:44

Ah oui, effectivement, y'a du boulot ,-)

1/Dois-je désactiver la restauration système avant de faire tout ça?
2/Si j'ai bien compris, je coche toutes ces lignes avec Hijack en mode sans échec et je redémarre à nouveau en mode sans echec pour supprimer les fichiers surlignés (en gras)en allant dans regedit ?

Reply

Marsh Posté le 22-03-2005 à 20:23:01

Non, ne désactive pas la restau pour l'instant.

Non, tu ne touches pas à regedit. Tu redémarres en mode sans échec, tu coches et fixes les lignes par HijackThis, tu vérifies la présence des fichiers surlignés (en gras) par l'explorateur windows (tu supprimes si présents), tu lances 2 fois About:Buster. (Le tout sans redémarrage entre-temps).

Message édité par acrobaze le 22-03-2005 à 20:26:19

Reply

Marsh Posté le 22-03-2005 à 21:55:01

J'ai mis du temps mais il fallait que ja mange un peu dans ce monde de trojans & CO ;-)
Bon, voici le nouveai log.
Je dois repartir demain et j'espère bien laisser sa machine toute propre pour qu'il n'ait plus trop de soucis.
Tu crois que maintenant, je peux installer le pack 2 ou il y a encore des soucis ?
Logfile of HijackThis v1.99.1
Scan saved at 21:50:11, on 22/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Microsoft Works\WksSb.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDFCreateReminder] "C:\Program Files\ScanSoft\PDF Create! 2\EREG\Ereg.exe" -r "C:\Program Files\ScanSoft\PDF Create! 2\EREG\ereg.ini"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: VAIO Action Setup (Serveur).lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA [...] anager.ocx
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53F422BB-1B02-4E80-AE3D-08FABEF90755}: NameServer = 195.78.6.36,195.78.6.210
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

A tout de suite

Reply

Marsh Posté le 22-03-2005 à 22:10:41

Il s'en tire hyper-bien!

Petits détails :

------1

Télécharge ce fichier.
Pose-le sur le bureau.
Clic droit -> installer

-------2

Lance HijackThis, coche cette ligne :

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

Clique "Fix checked".

Redémarre, poste un dernier log.

Ca devrait être bon pour le Sp2, oui.

Reply

Marsh Posté le 22-03-2005 à 22:12:23

il ne reste que ça non? O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

pas mal pour une machine aussi remplie que celle-là

c'est quoi ça? dns1.monaco-telecom.com connait pas ce FAI [:ddr555]

edit : oh putain j'avais pas vu le 021

bon Acrobaze tu attends quoi pour nous faire un tuto sur "y a ça faut utiliser ça" ça aiderait vachement de monde ici je pense

Message édité par minipouss le 22-03-2005 à 22:14:47

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

Reply

Marsh Posté le 22-03-2005 à 22:14:26

La O15 sera supprimée par DelDomains.

Reply

Marsh Posté le 22-03-2005 à 22:16:06

t'as pas lu mon edit je pense

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

Reply

Marsh Posté le 22-03-2005 à 22:26:28

Ca pourrait être intéressant. Mais...
Par exemple sur ComputerCops, on a un forum entier "réservé" (au moins "First Responders"..et "Security experts" et compagnie...)...où sont collectées toutes ces données.
Le "MAIS", c'est que d'abord d'un ordi à l'autre, il peut y avoir des nuances...les fichiers par exemple peuvent avoir des noms aléatoires peu reconnaissables (c'est le cas de cette infection là : ://C:\WINDOWS\rvhbx.dll/sp.html#12345 fichiers exe aléatoires...une O2 aléatoire...un service aléatoire...)...
Si bien que c'est une véritable encyclopédie qu'il faudrait écrire.

Edit : et donc, c'est réservé, car trop compliqué...à force de précisions.

Message édité par acrobaze le 22-03-2005 à 22:27:25

Reply

Marsh Posté le 22-03-2005 à 22:45:59

un de ces 4 si j'ai le temps faudra qu'en MP tu me files tous ces lien, si tu es d'accord, que je les ais sous le coude pour vérifier des choses et donner des conseils ici. :jap:

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein

Reply

Marsh Posté le 22-03-2005 à 22:49:21

Logfile of HijackThis v1.99.1
Scan saved at 22:43:12, on 22/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Microsoft Works\WksSb.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDFCreateReminder] "C:\Program Files\ScanSoft\PDF Create! 2\EREG\Ereg.exe" -r "C:\Program Files\ScanSoft\PDF Create! 2\EREG\ereg.ini"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: VAIO Action Setup (Serveur).lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA [...] anager.ocx
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53F422BB-1B02-4E80-AE3D-08FABEF90755}: NameServer = 195.78.6.36,195.78.6.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{829DB0A4-9E29-472C-A8E6-94B3054595B1}: NameServer = 195.78.6.36 195.78.6.210
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = dns1.monaco-telecom.com
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Reply

Marsh Posté le 22-03-2005 à 23:10:05

Là, l'ordi est clean.

Tu tentes le Sp2 ?

Reply

Marsh Posté le 23-03-2005 à 00:02:46

Yes ! Thankxxxx !!
Je supprime DelDomains du bureau?
Oui,je vais tenter le SP2

Reply

Marsh Posté le 23-03-2005 à 00:15:28

Oui, tu le supprmes, il ne sert plus à rien.

Tu dis si ça marche, maintenant ?

Reply

Marsh Posté le 23-03-2005 à 00:21:51

Le SP2? J'ai l'impression qu'il faut 2 heures pour qu'il s'installe ce truc lol

Reply

Marsh Posté le 23-03-2005 à 01:56:42

Tout marche à perfection Mister Acrobaze ;-)
Clap clap !
Merci encore...

On se reparle bientôt concernant l'autre machine (si tu es toujours d'accord)

Bizzzzzzzzzzzzzzz

Bye

Reply

Marsh Posté le 23-03-2005 à 11:03:31

Yep! Impeccable.

Ok pour l'autre engin. A+!

Reply

Marsh Posté le

Reply

TROJANS difficiles à enlever ?!!!!

Sujets relatifs:

Leave a Replay