Trojan impossible à supprimer

Trojan impossible à supprimer - Sécurité - Windows & Software

Marsh Posté le 22-03-2007 à 17:54:52    

Bonjour à tous,
 
Me voici avec un petit souci bien embêtant...
En faisant en log HijacThis j'ai trouvé 5 lignes bizarres  :ouch:  
 
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

 
Après recherches sur le net, il s'avère qu'il sagisse de trojan, j'ai donc fixé avec Hijackthis en mode sans échec, après avoir afficher les dossiers cachés, vidé mon cache, mais elles résistent  :cry:  
J'ai utilisé Ad-Fix qui a trouvé et supprimé zonemap/mediamotor mais pas le reste...
 
Au grands mots les grands moyens, j'ai été supprimer dans la base de registre, tout ce qui concerne ProtocolDefaults et là supprise, non seulement elles sont toujours présentes, mais 5 de plus sont apparues avec HKLM :pt1cable:  
   
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)    
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)  
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)  
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)  
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

 
J'avoue que là j'en perds mon latin et vos lumières sont les bienvenues  :)  
 
Merci  :hello:  


---------------
Lola
Reply

Marsh Posté le 22-03-2007 à 17:54:52   

Reply

Marsh Posté le 25-03-2007 à 19:25:42    

Salut, alors je te propose de faire ceci :
 
1. Va sur http://www.bitdefender.fr/ et fait un scan en ligne, ensuite poste le rapport sur le forum.
2. Télécharge SpyBot S&D : http://www.safer-networking.org/, installe le, fais les mises à jour et scan, di moi ce qui est trouvé et poste le rapport.
3. Télécharges AVG-Antispyware : http://www.ewido.net/, fais comme pour SpyBot (MAJ, scan et rapport)
4.  Télécharges Listor CL : http://med365.co.nr/, ensujite suit ces indications :
a/ décompresse le CAB  
b/ lance le SFX
c/ Lance le fichier ListorCL.exe
d/ A l'invite de commande tape mrt accepte le scan de l'outil microsoft, il va virer ce qu'il trouve.
e/ Tape rtkscan, il va vouloir télécharger l'outil F-Secure, répond oui (Y) à toutes les questions
f/ Quand le scan est terminé, poste le fichier fsbl-suitedenombre.txt
 
@+

Reply

Marsh Posté le 26-03-2007 à 14:08:51    

Hello med365
 
Je te remercie pour ton intervention mais je suis parvenue finalement à m'en débarasser hier matin en refixant les lignes avec HijackThis et en fusionnant ce reg ;)  
 
Comme je ne connais pas la cause de ce pb, s'il venait à se renouveler, j'essaierai avec tes manipes ne serait ce que pour apprendre  :D  
 
Encore merci  :hello:

Reply

Marsh Posté le 29-03-2007 à 09:01:39    

OK, je te conseille quand même d'installer Spybot et de l'utiliser régulièrement, c'est un très bon outil...
Tu devrais faire une analyse avec pour voir s'il détecte autre chose...

Reply

Marsh Posté le 29-03-2007 à 09:11:23    

Kikoo
 
Merci med pour le conseil, mais j'ai effectivement spybot et ad-aware depuis longtemps et je m'en sers régulièrement  ;)  
Encore merci à toi  :love:  
 
Bizzzzzzz

Reply

Marsh Posté le 29-03-2007 à 09:33:29    

Salut, alors c'est une bonne chose ;)
Content d'avoir pu t'aider
@+ !

Reply

Marsh Posté le 29-03-2007 à 09:43:58    

Vi merci, tu es adorable  :love:  
J'ai quand même été voir Listor CL, peux tu m'en dire un peu plus sur lui ?  :D  
 
biz

Reply

Marsh Posté le 29-03-2007 à 10:55:15    

Listor CL est un petit outil sous forme de shell qui permet de voir le contenu "a risque" des répertoire systèmes (fchiers DLL, excutables etc...) les LSP de Winsocks, les 3 principales clés de boot, les services et processus lancés etc... pour repérer une infection.
Il peut aussi lancer un scan anti rootkits avec l'outil Blacklight de F-Secure ainsi que le Microsoft Malware Removal Tool pour virer quelques intrus...
Il n'est pas très connu mais ca peut servir, je vais encore l'améliorer...

Reply

Marsh Posté le 29-03-2007 à 18:38:01    

Bonjour à tous
Je viens de m'inscrire sur le forum qui a l'air sympa
Je ne suis pas un habitué des forums  
Je vais essayer de faire cour
Voila:
Lorsque j'ouvre internet explorer 7 ou mozilla,j'ai des nouvelles fenêtres ou des onglets qui s'ouvrent intempestivement  
J'ai sutout une fenêtre de spy ware ou message d'avertissement qui s'affiche,il me demande d'installer un logiciel spysecure
Bref j'envoie un scan en ligne:rien
spy bot : aucun mouchard trouvé
adawre : il plante au bout d'un moment
AU SECOURS
Je ne sais plus quoi faire


Message édité par TITOYEMAN le 29-03-2007 à 18:39:00
Reply

Marsh Posté le 29-03-2007 à 19:24:03    

OK,
 
Télécharges SmitFraudFix : http://siri.urz.free.fr/  
Ad-Fix : http://home.tele2.fr/gchrispage/in [...] Ad-Fix.zip
 
Décompresse les archives,
 
Lance le fichier SmitFraudFix.cmd et choisis "scan", poste le rapport
Fait de même avec Ad-Fix.bat
 
POUR L'INSTANT NE TOUCHE PAS A L'OPTION FIX !

Reply

Marsh Posté le 29-03-2007 à 19:24:03   

Reply

Marsh Posté le 29-03-2007 à 21:03:51    

 
 
         Ad-Fix v0.101a
         by gchris
 
 
OPTION 1 (Scan) :
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
                  Démarré à :  
 
20:57:59,62 29/03/2007  
 
 
                  Executé depuis :  
 
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
 
 
                  Os :  
 
Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
            Recherche de fichier manquant
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Fichiers cachés (pas forcément mauvais)
 
 
    .exe dans System32 :
 
No matches found.
 
    .dll dans System32 :
 
No matches found.
 
    .dat dans System32 :
 
No matches found.
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Analyse du registre
 
 
---------- USER AGENT -- POST PLATFORM
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
 
----------
 
----------  AppInit_DLLs
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
 
----------
HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908}     Détecté !
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net     Détecté !
HKLM\SOFTWARE\Classes\Interface\{48E59292-9880-11CF-9754-00AA00C00908}     Détecté !
 
 
   Complete!
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Recherche de fichiers et dossiers
 
 
 
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
Terminé à 21:01:05,82  
 
________________________________________________________
 
Voila pour le premier

Reply

Marsh Posté le 29-03-2007 à 21:06:57    

SmitFraudFix v2.159
 
Rapport fait à 21:06:02,31, 29/03/2007
Executé à partir de C:\Documents and Settings\TITO\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» Process
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\windows\system32\tyjvloaci.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cmd.exe
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TITO
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TITO\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\TITO\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
_________________________________________________________
 
Voila pour le Deuxième

Reply

Marsh Posté le 30-03-2007 à 19:29:41    

OK, démarres en mode sans échecs (redémarre et tapotela touche F8 puis séléctionne "Mode sans Echecs" )
 
Relance Ad-Fix et la sélectionne l'option "Fix"
 
Poste le nouveau rapport...

Reply

Marsh Posté le 31-03-2007 à 11:55:54    

 
 
         Ad-Fix v0.101a
         by gchris
 
 
OPTION 2 (Fix) :
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
                  Démarré à :  
 
11:49:06,78 31/03/2007  
en mode sans échec
 
 
                  Executé depuis :  
 
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
 
 
                  Os :  
 
Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
            Recherche de fichier manquant
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
             Nettoyage du registre
 
HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908}    Supprimé !
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net    Supprimé !
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
             Suppression des fichiers
 
C:\WINDOWS\system32\*_nav.dat    Supprimé !
C:\WINDOWS\system32\*_navps.dat    Supprimé !
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
Terminé à 11:53:37,01  
 
 
Redémarrage effectué
 
___________________________________________
 
le voila

Reply

Marsh Posté le 31-03-2007 à 12:44:49    

Titoyeman, tu est infecté par Navipromo, suis ce guide A LA LETTRE : http://med365.co.nr/guides/ia.html

Reply

Marsh Posté le 31-03-2007 à 16:40:33    

Merci les gars  
J'ai essayé de faire toutes les manips, mais il y en a certaines qui ont foiré
Apparement,le problème ne revient plus  
S'il revient, je réessaierai les manips sinon je vous recontacterai
ET MERCI ENCORE

Reply

Marsh Posté le 31-03-2007 à 19:54:41    

De rien et content d'avoir pu t'aider ;)

Reply

Marsh Posté le 01-04-2007 à 11:33:42    

 
 
         Ad-Fix v0.101a
         by gchris
 
 
OPTION 1 (Scan) :
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
                  Démarré à :  
 
11:28:32,71 01/04/2007  
 
 
                  Executé depuis :  
 
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
 
 
                  Os :  
 
Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
            Recherche de fichier manquant
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Fichiers cachés (pas forcément mauvais)
 
 
    .exe dans System32 :
 
No matches found.
 
    .dll dans System32 :
 
C:\WINDOWS\SYSTEM32\
   bbf_s.dll      Sat 31 Mar 2007  15:59:42   A.SH.              5     0,00 K
 
1 item found:  1 file, 0 directories.
   Total of file sizes:  5 bytes      0,00 K
 
    .dat dans System32 :
 
No matches found.
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Analyse du registre
 
 
---------- USER AGENT -- POST PLATFORM
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
 
----------
 
----------  AppInit_DLLs
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
 
----------
 
 
   Complete!
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Recherche de fichiers et dossiers
 
 
 
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
Terminé à 11:31:44,85  
____________________________________________________________
 
fausse alerte apperement il est de retour
je vais réessayer les manips  
je vous tients au courant
 
 
 

Reply

Marsh Posté le 01-04-2007 à 12:49:12    

j'ai fait un listing de démmarrage
et il y a une ligne qui me "semble" suspecte je ne vois ce que c'est
 
"tyjvloaci"="c:\\windows\\system32\\tyjvloaci.exe tyjvloaci"- celle-ci
 
par contre listor cl ne trouve pas un fichier exe alors il arrête
et jv16 plante lorsque je lance nettoyage de registre
 

Reply

Marsh Posté le 01-04-2007 à 20:09:03    

Je ne connais pas ce tyjvloaci.exe, mais il me parait suspect...
Quel est le fichier que listor ne trouve pas ?
 
Télécharges Hijackthis (http://merijn.org/), cliques sur "Do a system scan and save a log file" et poste le fichier hijackthis.log
 
@+

Reply

Marsh Posté le 01-04-2007 à 20:59:12    

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:56:50, on 01/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
 
C:\Documents and Settings\TITO\Mes documents\HiJackThis_v2.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.evc.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/win [...] .0.228.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
 
--
End of file - 8001 bytes
______________________________________________________
"blbetac.exe" c'est celui la  
 
Ah au fait merci d'être à l'écoute


Message édité par TITOYEMAN le 01-04-2007 à 21:02:11
Reply

Marsh Posté le 04-04-2007 à 15:46:42    

Coche et fixe  

Citation :


O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')  
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)  
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/win [...] .0.228.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab  


 
Pour listor CL, supprime ta version éxistante, télécharge l'archive depuis mon site (http://med365.co.nr/), décompresse l'archive dans son dossier propre, lance le sfx et cliques sur "extract".
Ensuite lance le fichier listor.exe et rééssaies de lancer le scan antirootkits (commande rtkscan).

Reply

Marsh Posté le 04-04-2007 à 18:29:58    

Toujours le même problême : fichier manquant
Je me demande si c'est pas mon pare feu qui fait merder l'application

Reply

Marsh Posté le 04-04-2007 à 20:59:30    

Non, ce n'est pas ca : Ils ont changé le nom du fichier chez F-Secure...
Je mets à jour listor dès que possible...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed