infecté par trojan.psw.win32.onlinegames.kw
infecté par trojan.psw.win32.onlinegames.kw - Virus/Spywares - Windows & Software
Marsh Posté le 07-05-2007 à 08:26:44
| Citation : XIX. Concernant les logs Hijackthis : Désormais, tout topic créé dans l'unique but de balancer un log hijackthis à analyse sera systématiquement fermé. Pour analyser les logs, le site http://www.hijackthis.de/fr est parfait. |
Sujets relatifs:
- pc infesté par smitfraud-c +virus win32...
- PC très lent sans doute infécté
- Infecté par ce virus depuis 6 mois, aidez moi svpppp
- J'ai reçu un hoax, ou un vrai trojan (photo) ?
- virus ou trojan bloquent kaspersky merci de votre aide
- [Bluesoleil.exe] Est-ce un virus ou trojan ?
- Trojan Introuvable
- Virus win32 small gen dur a déloger , aide souhaitée svp
- 3 alertes "Win32:Dos[Trj] en une heure !
- Infecté par un trojan
Marsh Posté le 06-05-2007 à 19:14:04
Bonjour a tous,
Mon antivirus Kaspersky a trouvé sur mon PC le trojan.psw.win32.onlinegames.kw
Il me dit que le fichier infecté (C\windows\system32\ou7viewer.dll) ne peut pas être effacé.
J'ai même esayé avec Killbox mais il est impossible a effacer, même en mode sans échec.
Je suis sous WinXP avec SP1.
Maintenant je ne peux même plus me connecter à internet avec l'ordi infecté.
Voici mon rapport Hijackthis et mon rapport Smithfraudfix.
Merci à tous ceux qui peuvent m'aider.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:00:08, on 06/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Utilitaires\AntiViral Toolkit Pro\avpcc.exe
C:\windows\System32\mgabg.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Utilitaires\WindowBlinds\WindowBlinds\wbload.exe
C:\windows\Explorer.EXE
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\Utilitaires\AntiViral Toolkit Pro\avpcc.exe
C:\windows\SOUNDMAN.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\windows\vsnpstd.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Son\iTunes\iTunesHelper.exe
C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet\ZoneAlarm\zapro.exe
C:\Program Files\Internet\Avant Browser\avant.exe
C:\Program Files\Utilitaires\Securite\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\Internet\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\en-us\msntb.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [AVPCC] C:\Program Files\Utilitaires\AntiViral Toolkit Pro\avpcc.exe /wait
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [WinService32] svchost
O4 - HKLM\..\Run: [snpstd] C:\windows\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\video\QT\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Son\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sensiva] "C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe"
O4 - HKCU\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKUS\S-1-5-18\..\Run: [Win32 SSL Driver] winssv.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Win32 SSL Driver] winssv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Win32 SSL Driver] winssv.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Win32 SSL Driver] winssv.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\Utilitaires\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: Event Planner Reminders Tray Icon.lnk = C:\Program Files\Sierra\Planner\PLNRnote.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Internet\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\Internet\DAP\dapextie.htm
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Internet\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Bloquer toutes les publicités de ce site... - C:\Program Files\Internet\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\Internet\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre... - C:\Program Files\Internet\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir des liens de la page... - C:\Program Files\Internet\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files\Internet\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner toutes les occurrences sur la page - C:\Program Files\Internet\Avant Browser\Highlight.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\Internet\DAP\DAP.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\ou7viewer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ou7viewer.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.ya [...] mplete.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVPCC - Kaspersky Labs. - C:\Program Files\Utilitaires\AntiViral Toolkit Pro\avpcc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\windows\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\windows\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\windows\System32\mgabg.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\windows\vcd1.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\windows\system32\services.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\windows\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
--
End of file - 8827 bytes
RAPPORT SMITHFRAUDFIX
SmitFraudFix v2.176
Rapport fait à 15:53:48,62, 06/05/2007
Executé à partir de H:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Utilitaires\AntiViral Toolkit Pro\avpcc.exe
C:\windows\System32\mgabg.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Utilitaires\WindowBlinds\WindowBlinds\wbload.exe
C:\windows\Explorer.EXE
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\Utilitaires\AntiViral Toolkit Pro\avpcc.exe
C:\windows\SOUNDMAN.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\UTILIT~1\MAXTOR~1\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Program Files\Fichiers communs\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\windows\vsnpstd.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Son\iTunes\iTunesHelper.exe
C:\Program Files\Utilitaires\Symbol commander\Sensiva.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Program Files\Utilitaires\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet\ZoneAlarm\zapro.exe
C:\windows\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\windows
»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\windows\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ZardOz
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ZardOz\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ZardOz\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wbsys.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.198.2.51
DNS Server Search Order: 212.198.0.91
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=212.198.2.51 212.198.0.91
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=212.198.2.51 212.198.0.91
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C898E003-F4A5-4C65-8516-BC7F810408E5}: DhcpNameServer=212.198.2.51 212.198.0.91
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.2.51 212.198.0.91
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.2.51 212.198.0.91
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.2.51 212.198.0.91
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin