Rapport hijack this - Sécurité - Windows & Software
Marsh Posté le 05-09-2005 à 21:02:31
Trojan.startpage.
1-Télécharge About:Buster 5.0
Lance-le et clique sur "Update" puis patiente, la mise à jour se fait automatiquement. Enfin, ferme About:Buster.
2- Télécharge DelDomains.inf puis installe-le.(clic droit et choisis "Installer" )
3- Démarrer >> Exécuter. Dans le champ "ouvrir", tape :
regsvr32 /u SE.DLL
3- Lance HiJackThis, puis coche et fixe ces lignes si elles sont présentes en cliquant sur "fix checked" :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba3.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system32\prflbmsgp32.dll
O2 - BHO: (no name) - {FD62E275-C1AE-4177-936A-E2CE94832F3B} - C:\WINDOWS\System32\njkk.dll (file missing)
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
Redémarre ensuite ton PC en mode sans échec.
Passe trois fois About:buster en sauvegardant à chaque fois son log.
Redémarre en mode normal et poste un log de HiJackThis et de About:buster. (les trois)
En attendant, tu peux aussi faire ceci :
Ouvre HijackThis et clique sur "Open the Misc tools section" open uninstall manager" et enfin, "save list". Copie/colle le contenu du fichier texte.
Marsh Posté le 06-09-2005 à 14:44:13
merci de ta reponse si rapide.
Je n'ai pas pu faire l'étape 3 : module spécifié introuvable.
sinon voici tout les logs :
log hijack this :
Logfile of HijackThis v1.99.1
Scan saved at 14:30:57, on 06/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\KeirNet\K9\K9.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\largier\Mes documents\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Launch K9.lnk = C:\Program Files\KeirNet\K9\K9.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] cracks.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O18 - Filter: text/html - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O18 - Filter: text/plain - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
log about buster :
AboutBuster 5.0 reference file 31
Scan started on [06/09/2005] at [14:16:51]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:17:26
AboutBuster 5.0 reference file 31
Scan started on [06/09/2005] at [14:26:12]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:26:39
AboutBuster 5.0 reference file 31
Scan started on [06/09/2005] at [14:26:52]
------------------------------------------------
No Ads Found!
------------------------------------------------
No Files Found!
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 14:27:19
uninstall list :
Adobe Acrobat Reader 3.01
Adobe Type Manager 4.0
Application Associative
ArcSoft PhotoStudio 2000
avast! Antivirus
Canon ScanGear Toolbox CS 2.2
Correctif Windows XP - KB842773
CuteFTP 5.0 XP
Gestass
HijackThis 1.99.1
Internet Update
K9
Macromedia Dreamweaver MX
Macromedia Extension Manager
Microsoft Excel 97
Microsoft Office 2000 CD-ROM 2
Microsoft Publisher 97
Microsoft Word 97
Nero 6 Ultra Edition
OmniPage Pro 9.0
QuarkXPress 6.1
Scan Manager 5.2
Search Assistant Uninstall
SodeaSoft Planning Pro 6 Evaluation
TOSHIBA e-STUDIO230-280 Client
WINASSO 4.05
ZoneAlarm
merci
Marsh Posté le 06-09-2005 à 20:32:09
Ok, tu n'avais pas de problème avec ta page de démarrage ?
Maintenant, coche et fixe ces lignes :
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall <-- je t'avais dit de fixer la ligne.
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] cracks.cab
O18 - Filter: text/html - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O18 - Filter: text/plain - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
L'étape 2, tu l'as faite ?
Redémarre ensuite ton PC et efface ce dossier :
C:\Program Files\PSGuard
Marsh Posté le 07-09-2005 à 14:42:02
si j'avais des problemes avec ma page de demarrage,lol.
pour la ligne que tu m'avais deja dit de fixer, je l'avais fait mais elle revient toujours..d'ailleur elle y est toujours la..comment faire pour l'enlever ?
oui j'ai fait l'étape 2.
voila mon log :
Logfile of HijackThis v1.99.1
Scan saved at 14:31:27, on 07/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\KeirNet\K9\K9.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\largier\Mes documents\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
merci.
Marsh Posté le 07-09-2005 à 17:55:00
salut
tu peux tester ceci stp?
telecharge
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le
*******
redemarre en sans echec
relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport
*******
et recolle un hijack this
A+
Marsh Posté le 08-09-2005 à 14:16:38
Je suis dans la mer...
J'ai fais ce que tu m'as dit mais maintenant je ne peux plus redemmarrer en mode normal , la souris marche mais des que je veux ouvrir quoi que ce soit rien ne marche..
le mode sans echec marche.
aidez moi svp..
voila les 2 rapports : (comme vous allez le remarquer j'ai perdu le 1er rapport et je l'ai donc refait apres le 2nd en mode sans echec, dsl j'avais pas vu que des que j'en faisais un nouveau ca effacait le precedent)
SmitFraudFix v1.84
Rapport fait à 14:03:18,50 le 08/09/2005
Executé à partir de C:\Documents and Settings\largier\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\largier\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\largier\Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD non trouvé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
SmitFraudFix v1.84
Rapport fait à 13:45:16,24 le 08/09/2005
Executé à partir de C:\Documents and Settings\largier\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\oleadm.dll supprimé
C:\WINDOWS\system32\wp.bmp supprimé
C:\Program Files\AntivirusGold\ supprimé
C:\spywarevanisher-free\ supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
merci.
Marsh Posté le 10-09-2005 à 17:34:57
J'ai réparé windows xp avec le cd d'installation mais rien à faire ca bug toujours autant..
je ne sais pas d'ou ca peut venir ? ce qui est dur c'est que je n'ai aucun message d'erreur..
je ne sais pas quoi faire..
proposez moi des solutions svp..
merci.
Marsh Posté le 11-09-2005 à 00:53:20
Le problème vient de là : Platform: Windows XP (WinNT 5.01.2600)
--> Ton ordi n'est pas à jour... très très difficile de réparer si tu n'update's pas ton OS ! (Il semble toutefois que le processus tente de se lancer : 2 X "wuauclt.exe" )
--> Tu peux toujours essayer "SilentRunner" et désactiver la restauration du système...
Marsh Posté le 11-09-2005 à 14:01:15
et si je faisais les mises à jour via le mode sans echec ca resoudrait le probleme ?
comment utiliser silentrunner ?
merci.
Marsh Posté le 11-09-2005 à 14:59:10
voila le rapport de silent runner :
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Zone Labs Client" = ""C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs Inc."]
"sp" = "rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall" [MS]
"SRFirstRun" = "rundll32 srclient.dll,CreateFirstRunRp" [MS]
"SchedulingAgent" = "mstinit.exe /firstlogon" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{C56C4E21-706D-11d0-AFC5-444553540002}" = "Mon appareil photo numérique"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\PhotoDeluxe HE 3.1\FotoNation Explorer\camview.dll" ["FotoNation Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{8F7261D0-D2B9-11D2-9909-00605205B24C}" = "CuteFTP Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\GlobalSCAPE\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "style 2"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\winstyle3.dll" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! style32\DLLName = "C:\WINDOWS\system32\winstyle3.dll" [null data]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
CuteFTP\(Default) = "{8f7261d0-d2b9-11d2-9909-00605205b24c}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\GlobalSCAPE\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
CuteFTP\(Default) = "{8f7261d0-d2b9-11d2-9909-00605205b24c}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\GlobalSCAPE\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Startup items in "largier" & "All Users" startup folders:
---------------------------------------------------------
C:\Documents and Settings\largier\Menu Démarrer\Programmes\Démarrage
"Démarrage d'Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA.EXE -b" [MS]
"Microsoft Recherche accélérée" -> shortcut to: "C:\Program Files\Microsoft Office\Office\FINDFAST.EXE" [MS]
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"AVERTISSEUR DE TACHES PLANIFIEES" -> shortcut to: "C:\Program Files\ASSOC\Avert.exe /D /INI=ASSOC" ["P. CHEVALIER"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{A19EF336-01D4-48E6-926A-FE7E1C747AED}" = "Search Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\pumba3.dll" [empty string]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 1 line
All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Carte de performance WMI, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]
Service d'administration du Gestionnaire de disque logique, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 77 seconds, including 14 seconds for message boxes)
si j'installe le sp2, ca pourrait resoudre le probleme ?
mais il faudrait quand meme que je re-répare windows ?
merci.
Marsh Posté le 11-09-2005 à 15:51:16
Bjr,
Je pense que tu n'as pas utilisé les bons outils. AboutBuster n'a rien à voir avec cette infection.
Mais comme je ne peux pas deviner comment ça a évolué, je voudrais voir un rapport HijackThis tout neuf, stp.
Ps : après l'avoir posté, n'utilise plus d'outil.
Marsh Posté le 11-09-2005 à 16:29:13
Le probleme c'est que je peux faire un hijack this que en mode sans echec et je crois que il est pas bon du coup , non ?
Marsh Posté le 11-09-2005 à 17:16:52
voila tout :
Logfile of HijackThis v1.99.1
Scan saved at 16:52:33, on 11/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\largier\Mes documents\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
est ce que c'est bon d'installer le sp2 ?
merci.
Marsh Posté le 11-09-2005 à 17:51:18
Pour le Sp2, il faudrait l'installer sur un système propre. Et vérifer la compatibilité de tes programmes.
Au point où tu en es, commence par le Sp1.
------
Lance HijackThis et coche :
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
Clique "Fix checked" et redémarre.
--------
Télécharge ce fichier:
SpSeHjfix.
sur ton bureau. Dézippe-le dans un dossier que tu appelleras par exemple : spfix
Déconnecte-toi du net et ferme tous les programmes.
Lance 'SpSeHjfix'. et clique : "Start Disinfection".
Laise-le travailler. Lorsqu'il a terminé, il redémarrera l'ordi et créera un log dans le dossier spfix.
S'il ne trouve rien il dira simplement que le système est propre.
Après ceci, poste un nouvel HijackThis, le log SpSeHjfix et dis si tu peux démarrer en mode normal.
Marsh Posté le 11-09-2005 à 18:40:49
non je ne peux toujours pas demarrer en mode normal.
voila les 2 logs :
(9/11/05 18:05:33) SPSeHjFix started v1.1.2
(9/11/05 18:05:33) OS: WinXP (5.1.2600)
(9/11/05 18:05:33) Language: français
(9/11/05 18:05:33) Win-Path: C:\WINDOWS
(9/11/05 18:05:33) System-Path: C:\WINDOWS\System32
(9/11/05 18:05:33) Temp-Path: C:\DOCUME~1\largier\LOCALS~1\Temp\
(9/11/05 18:06:44) Disinfection started
(9/11/05 18:06:44) Bad-Dll(IEP): (not found)
(9/11/05 18:06:44) Bad-Dll(IEP) in BHO: (not found)
(9/11/05 18:06:44) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\njkk.dll
(9/11/05 18:06:44) Searchassistant Uninstaller - Keys Deleted
(9/11/05 18:06:44) UBF: 4 - UBB: 0 - UBR: 8
(9/11/05 18:06:44) UBF: 4 - UBB: 0 - UBR: 8
(9/11/05 18:06:44) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall (deleted)
(9/11/05 18:06:44) Bad IE-pages: (none)
(9/11/05 18:06:44) Stealth-String not found
(9/11/05 18:06:44) File added to delete: c:\windows\system32\njkk.dll
(9/11/05 18:06:44) File added to delete: c:\docume~1\largier\locals~1\temp\se.dll
(9/11/05 18:06:44) Reboot
(9/11/05 18:08:11) SPSeHjFix started v1.1.2
(9/11/05 18:08:11) OS: WinXP (5.1.2600)
(9/11/05 18:08:11) Language: français
(9/11/05 18:08:11) Win-Path: C:\WINDOWS
(9/11/05 18:08:11) System-Path: C:\WINDOWS\System32
(9/11/05 18:08:11) Temp-Path: C:\DOCUME~1\largier\LOCALS~1\Temp\
(9/11/05 18:08:45) Disinfection started
(9/11/05 18:08:45) Bad-Dll(IEP): (not found)
(9/11/05 18:08:45) Bad-Dll(IEP) in BHO: (not found)
(9/11/05 18:08:45) UBF: 4 - UBB: 0 - UBR: 7
(9/11/05 18:08:45) UBF: 4 - UBB: 0 - UBR: 7
(9/11/05 18:08:45) Bad IE-pages: (none)
(9/11/05 18:08:45) Stealth-String not found
(9/11/05 18:08:45) Not infected->END
Logfile of HijackThis v1.99.1
Scan saved at 18:36:11, on 11/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\largier\Mes documents\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
merci.
Marsh Posté le 11-09-2005 à 20:03:09
Oki. Il y a encore un trojan.
Télécharge win32delfkil sur ton bureau.
Double clique win32delfkil.exe et installe-le. Il crée un nouveau dossier sur ton bureau : win32delfkil
Déconnecte-toi d'internet, ferme ts les programmes et double-clique fix.bat.
L'ordinateur va redémarrer automatiquement. Poste un nouveau log.
Tente à nouveau le mode normal.
Marsh Posté le 12-09-2005 à 10:58:43
il ne marche toujours pas en mode normal : dés que je clique sur un dossier il y a le sablier puis rien ne se passe.
voila le log :
Logfile of HijackThis v1.99.1
Scan saved at 10:46:06, on 12/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\largier\Mes documents\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
merci.
Marsh Posté le 12-09-2005 à 21:10:14
Bon, là, le log est clean. A part "Alexa", mais ce n'est pas important.
Je ne sais pas ce qui s'est passé entre-temps, juste après ce "SmitFraudFix "...On va essayer un dernier outil :
Télécharge ce fichier.
Dézippe-le et lance FixO.bat.
Lorsqu'il a terminé, le bloc notes s'ouvre avec un log. Sauve-le.
Redémarre, poste ce log et dis ce qu'il en est du mode normal.
Marsh Posté le 13-09-2005 à 12:21:55
non il ne redemarre toujours pas en mode normal
c'est clair c'est vraiment bizarre tout ca..
voila le log :
running from ---
C:\Documents and Settings\largier\Bureau\FixO
StartPAge.O Removal batch 1.00
by miekiemoes
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
existing bad files:
-----------------------------------------------------
existing important bad keys:
-----------------------------------------------------
Merging Registry----------
Deleting Files-------------
Searching for files not deleted:
-----------------------------------------------------
Searching for keys not deleted:
-----------------------------------------------------
merci de ton aide.
Marsh Posté le 13-09-2005 à 19:07:56
Tente une restauration. Du 7 ou 8, juste avant les problèmes.
Marsh Posté le 24-09-2005 à 21:36:15
euh, sinon serait il possible d avoir un silent runner, car sur l autre il etait infecte !
De plus un hijack this en mode sans echec ne vaut rien du tout ...
Marsh Posté le 24-09-2005 à 23:16:59
Oui, ce serait intéressant. Le trojan-downloader.Win32.Delf.pa a "normalement" été supprimé par win32delfkil. Mais pourquoi ne pas vérifier.
Mais ce n'est sûrement pas la cause du pb de démarrage normal.
Marsh Posté le 24-09-2005 à 23:23:23
salut arobase,
c est juste qu en regardant le silent runner, ca saute aux yeux
"sp" = "rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{B212D577-05B7-4963-911E-4A8588160DFA}" = "style 2"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\winstyle3.dll" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! style32\DLLName = "C:\WINDOWS\system32\winstyle3.dll" [null data]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{A19EF336-01D4-48E6-926A-FE7E1C747AED}" = "Search Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\pumba3.dll" [empty string]
J ai tort?
a+
Marsh Posté le 24-09-2005 à 23:57:52
Non, c'est justement ça, le trojan-downloader.Win32.Delf.pa. Et donc l'outil win32delfkil est censé le supprimer.
-------
Attention à : INFECTION WARNING! qui n'indique que des points sensibles du registre. Les fichiers ne sont pas forcément infectants (Ici : oui, mais ce n'est pas tjrs le cas.)
Marsh Posté le 25-09-2005 à 00:00:39
Extrait du bat :
echo attrib -r -s -h %WinDir%\system32\winstyle2.dll>>delfiles.bat
echo del /q %WinDir%\system32\winstyle2.dll>>delfiles.bat
echo attrib -r -s -h %WinDir%\system32\winstyle3.dll>>delfiles.bat
echo del /q %WinDir%\system32\winstyle3.dll>>delfiles.bat
echo attrib -r -s -h %WinDir%\system32\winstyle32.dll>>delfiles.bat
echo del /q %WinDir%\system32\winstyle32.dll>>delfiles.bat
Marsh Posté le 25-09-2005 à 00:04:17
oui bien sur, mais l infection dusilent runner renvoie a cela
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
donc voila cetait juste pour verifier....
bonne soiree acrobaze
Marsh Posté le 05-09-2005 à 20:48:49
Bonjour, mon pc rame pas mal en ce moment, j'ai fait un scan mais j'ai rien trouvé.
J'ai fait un rapport hijack this, merci de me dire ce que vous en pensez..
Logfile of HijackThis v1.99.1
Scan saved at 20:35:44, on 05/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\KeirNet\K9\K9.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\largier\Mes documents\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\adsldpbc.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O2 - BHO: C:\WINDOWS\system32\winstyle3.dll - {B212D577-05B7-4963-911E-4A8588160DFA} - C:\WINDOWS\system32\winstyle3.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba3.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system32\prflbmsgp32.dll
O2 - BHO: (no name) - {FD62E275-C1AE-4177-936A-E2CE94832F3B} - C:\WINDOWS\System32\njkk.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\largier\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Launch K9.lnk = C:\Program Files\KeirNet\K9\K9.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AVERTISSEUR DE TACHES PLANIFIEES.lnk = C:\Program Files\ASSOC\Avert.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] cracks.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{372FD8A8-0700-4B16-AE9D-D453506311FA}: NameServer = 192.168.0.1,212.186.224.9
O18 - Filter: text/html - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O18 - Filter: text/plain - {15FCD639-62A9-4DDA-A37D-DA1BFD22E9DC} - C:\WINDOWS\System32\njkk.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\system32\winstyle3.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
merci.