[LOGICIEL] [Centralisation] .:::: Hijackthis ::::.

[kalligraffix]

@ kalligraffix

Désinstalle , via ajout/suppression , ces programmes ( si présents ) :

180solutions

BullsEye Network

DeskAd Service

Web_Rebates

Windows ServeAd

Windows AdService

ISTsvc ou IST Service

EliteToolBar

WebHancer

Searchmiracle

...

Passe ccleaner et ferme ton navigateur.

Scan , coches et fixer Objet sur ces lignes avec Hijackthis :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8082

O2 - BHO: (no name) - {FD971372-3D46-4D9F-9781-45C4DBE4D516} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{C3FCF3FF-9601-4B99-8408-70FB5F6193FD}\SECURITY.EXE <<< trojan à supprimer de ton pc

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

+ TOUTES les lignes 09 , 015 et 016 .

Passe CWShredder.

Désactive la restauration system et scan en ligne ici :

TrojanScan

Reboot.

Passe Spysweeper.

Poste un nouveau rapport pour vérification .

Merci beaucoup Snoopy pour ton aide !

Aucun programmes de ta liste se trouvent dans Désinstaller ... c'est déjà ca

J'ai suivi tes instructions ...

Tout c'est bien déroulé sauf pour le scan en ligne (à plusieurs reprises plantage de ma page IE au moment du download des infos ...)

Aussi je n'ai pas supprimé cette ligne

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE --> c'est ma carte son

De plus ma carte vidéo est plantée maintenant

(Suffit de réinstaller les drivers )

Voici le nouveau rapport

LOG :

Logfile of HijackThis v1.97.7

Scan saved at 20:56:26, on 18/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\mszx23.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Saves\Secure\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [system] C:\WINDOWS\svchost.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

Encore merci pour ton aide

EDIT ... j'ai toujours ce fichier dans sys32 ... et tente toujours d'avoir acces au net ...

[snooky]

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE --> c'est ma carte son icon_redface.gif

De plus ma carte vidéo est plantée maintenant

Ces 2 services sont accessibles via le panneau de configuration.

Ils sont ègalement " réinjectables " via " Backup " de Hijackthis.

Lignes à fixer :

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [system] C:\WINDOWS\svchost.exe <<<trojan à supprimer. Le svchost légitime se trouve dans c:\windows\system32 !

Reboot en mode sans échec et supprime : mszx23

Si ça ne marche pas , supprime le fichier grâce à " delete a file on reboot " dans " config " de Hijackthis : Delete file on reboot

Scan en ligne , restauration system désactivée , ici : Secuser.com

Poste un nouveau rapport pour vérification.

[snooky]

@ Pop75 :

Ton rapport est clean

Hijackthis se place à la racine du disque = voir 1er post

Fixer objet sur ces " inutiles " :

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

[snooky]

@ votkka :

Si MSN Plus! à été installé avec le sponsor , désinstalle , passe Spysweeper et réinstalle SANS le sponsor.

Ferme ton navigateur internet et passe ccleaner.

Scan , coche ef fixer objet sur ces lignes avec Hijackthis :

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\IPFix\EOREZO~1.DLL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [usbs] C:\Documents and Settings\votkka\Application Data\ctlt.exe >>> arrête ce processus dans gestionnaire de tâche , si présent.

O4 - HKCU\..\Run: [Gauhum] C:\WINDOWS\system32\??ool32.exe>>> arrête ce processus dans gestionnaire de tâche , si présent.

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O20 - AppInit_DLLs: MsgPlusLoader.dll

Reboot.

Passe CWShredder.

Passe Spysweeper.

Scan en ligne , restauration system désactivée , ici : Trojanscan

Poste un nouveau rapport pour vérif.

[kalligraffix]

Ces 2 services sont accessibles via le panneau de configuration.

Ils sont ègalement " réinjectables " via " Backup " de Hijackthis.

Lignes à fixer :

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [system] C:\WINDOWS\svchost.exe <<<trojan à supprimer. Le svchost légitime se trouve dans c:\windows\system32 !

Reboot en mode sans échec et supprime : mszx23

Si ça ne marche pas , supprime le fichier grâce à " delete a file on reboot " dans " config " de Hijackthis : Delete file on reboot

Scan en ligne , restauration system désactivée , ici : Secuser.com

Poste un nouveau rapport pour vérification.

Ok bien lu

Je viens de m'appercevoir que j'avais encore la version 1.97.

A présent 1.99 !

Voici le log:

Logfile of HijackThis v1.99.1

Scan saved at 23:50:27, on 18/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\mszx23.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Yusuf\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Le fichier mszx23 revient à chaque fois.

Zone Alarm me demande l'accès à chaque coup

Merci de m'aider

[snooky]

Reboot en mode sans échec .

Fixe cette ligne :

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

Cherche et supprime cette dll , ainsi que ce fichier :

C:\WINDOWS\System32\mszx23.exe ( au besoin avec Delete a file on reboot " de Hijackthis )

Reboot.

Télécharge HSFix , dézippe , puis clic sur le fichier hsfix.bat , puis sur hsfix.reg .

Supprime ces fichiers zip et dossier HSFix.

Passe Ccleaner.

Installe Kaspersky 5 personnal ( via ma signature et scan , restauration system désactivée )

Poste un nouveau rapport pour vérification.

[votkka]

j'ai pas installer le sponsor avec msn+

qu'est ce que je fais une fois que j'en suis ici ??

[snooky]

Lancer le nettoyage . ( onglet 1 & 2 )

Corriger les erreurs . ( onglet 3 )

[votkka]

voila onglet 3 j'ai repare toutes les erreurs

je dois les montrer ??

EDIT: je nettoie aussi les onglets 1 et 2 ??

[snooky]

Passe à la suite :8

[votkka]

Scan , coche ef fixer objet sur ces lignes avec Hijackthis :

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\IPFix\EOREZO~1.DLL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [usbs] C:\Documents and Settings\votkka\Application Data\ctlt.exe >>> arrête ce processus dans gestionnaire de tâche , si présent.

O4 - HKCU\..\Run: [Gauhum] C:\WINDOWS\system32\??ool32.exe>>> arrête ce processus dans gestionnaire de tâche , si présent.

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O20 - AppInit_DLLs: MsgPlusLoader.dll

je trouve ca ou?? avec ccleaner?

[snooky]

Scan , coche ef fixer objet sur ces lignes avec Hijackthis :

C'est pourtant marqué !

[votkka]

j'ai suivis les instructions: et

Logfile of HijackThis v1.99.1

Scan saved at 1:34:17, on 19/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\oodag.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Nokia\Services\ServiceLayer.exe

C:\Program Files\Fichiers communs\Nokia\NCLTools\NclTray.exe

C:\themeGold55\CursorXP\CursorXP.exe

C:\WINDOWS\system32\??ool32.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [serviceLayer] c:\Program Files\Fichiers communs\Nokia\Services\ServiceLayer.exe

O4 - HKLM\..\Run: [Nokia Tray Application] c:\Program Files\Fichiers communs\Nokia\NCLTools\NclTray.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Recherche AltaVista - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm

O8 - Extra context menu item: Traduction - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolba...ab?r=1115158553

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

c'est bon?

[snooky]

Ce fichier est à supprimer de ton PC :

C:\WINDOWS\system32\??ool32.exe

Tu n'as pas passé Spysweeper et tu n'as pas scanné en ligne sur le lien que je t'ai donné.

Une fois fait , poste un nouveau rapport.

[votkka]

Ce fichier est à supprimer de ton PC :

C:\WINDOWS\system32\??ool32.exe

Tu n'as pas passé Spysweeper et tu n'as pas scanné en ligne sur le lien que je t'ai donné.

Une fois fait , poste un nouveau rapport.

je ne le trouve pas dans C:\WINDOWS\system32\ et quand je fais une recherche dans mon pc il ne trouve rien

[snooky]

Tant mieux

[votkka]

j'ai deja passé CWShredder. voci ce qu'il m'affiche

et Spysweeper c'est long (+ de 30000 dossiers inspectés)

ce quoi le prog ??ool32.ece aufaite?

EDIT: ha c'est pile fini, je supprime les fichiers sélectionnes? :8

[kalligraffix]

Reboot en mode sans échec .

Fixe cette ligne :

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

Cherche et supprime cette dll , ainsi que ce fichier :

C:\WINDOWS\System32\mszx23.exe ( au besoin avec Delete a file on reboot " de Hijackthis )

Reboot.

Télécharge HSFix , dézippe , puis clic sur le fichier hsfix.bat , puis sur hsfix.reg .

Supprime ces fichiers zip et dossier HSFix.

Passe Ccleaner.

Installe Kaspersky 5 personnal ( via ma signature et scan , restauration system désactivée )

Poste un nouveau rapport pour vérification.

Ligne fixée ... mais réapparait à chaque scan.

En mode sans echec le drct16.dll inexistant.

Suppresion du fichier mszx23.exe en mode sans echec.

Téléchargement de HSFix

Dezzipage, click sur .bat et .reg Ok

Suppression du .zip mais .reg impossible (utilisé par une ressource ... :s )

CCleaner Ok

Voici le log:

Logfile of HijackThis v1.99.1

Scan saved at 06:24:45, on 19/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Yusuf\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci Snooky

[Héphaïx]

Voici le résultat du scan que g tant bien que mal réussi a obtenir. Ce scan a été réalisé juste apres la fin du boot car quand j'attend trop, il y a qqc qui se lance et qui referme HiJackThis des son lancement. Il est donc probable que tout les process malicieux ne soit pas lancés .

Sinon si ca peut aider, g virer un repertoire mediacck qui ne me plaisait pas...

Logfile of HijackThis v1.99.1

Scan saved at 23:48:43, on 18/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\System32\setup32.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\ati2sgag.exe

D:\WINDOWS\System32\hwclock.exe

D:\Program Files\Norton Internet Security\NISUM.EXE

D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

D:\WINDOWS\System32\SCardClnt.exe

D:\Program Files\Norton Internet Security\SymProxySvc.exe

D:\Program Files\Norton Internet Security\NISSERV.EXE

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Program Files\WinFast\WFTVFM\WFWIZ.exe

D:\PROGRA~1\NORTON~1\Navapw32.exe

D:\PROGRA~1\NORTON~1\Cfgwiz.exe

D:\Program Files\Norton AntiVirus\BootWarn.exe

D:\Program Files\Norton Internet Security\IAMAPP.EXE

D:\WINDOWS\System32\spoolsvc.exe

D:\WINDOWS\System32\rjfgvx.exe

D:\WINDOWS\system32\syshost.exe

D:\WINDOWS\System32\wincmd.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Messenger\msmsgs.exe

D:\WINDOWS\System32\dwwin.exe

D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

E:\prog\internet\Spybot - Search & Destroy\TeaTimer.exe

D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [WinFast Schedule] D:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\Navapw32.exe

O4 - HKLM\..\Run: [NAV CfgWiz] D:\PROGRA~1\NORTON~1\Cfgwiz.exe /R

O4 - HKLM\..\Run: [bootWarn] D:\Program Files\Norton AntiVirus\BootWarn.exe /a

O4 - HKLM\..\Run: [iamapp] D:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [sbsn] D:\WINDOWS\sbsn.exe

O4 - HKLM\..\Run: [spooler SubSystem App] D:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Windows Compliant] rjfgvx.exe

O4 - HKLM\..\Run: [Microsoft IIS] D:\WINDOWS\system32\syshost.exe

O4 - HKLM\..\Run: [Compaq Service Drivers] wincmd.exe

O4 - HKLM\..\RunServices: [Windows Compliant] rjfgvx.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] wincmd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows Compliant] rjfgvx.exe

O4 - HKCU\..\Run: [Compaq Service Drivers] wincmd.exe

O4 - HKCU\..\Run: [spySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\RunServices: [Compaq Service Drivers] wincmd.exe

O4 - Global Startup: Raccourci vers TeaTimer.lnk = E:\prog\internet\Spybot - Search & Destroy\TeaTimer.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - D:\WINDOWS\System32\hwclock.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - D:\Program Files\Norton Internet Security\NISSERV.EXE

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - D:\WINDOWS\System32\SCardClnt.exe

O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - D:\Program Files\Norton Internet Security\SymProxySvc.exe

Merci de me dire ce qui ne va pas...

[snooky]

@ kaligraphix :

Ton rapport est clean

Supprime ces fichiers zip et dossier HSFix.

Installe spysweeper et Kaspersky 5 personnal.

Puis le SP2

[votkka]

j'ai deja passé CWShredder. voci ce qu'il m'affiche

et Spysweeper c'est long (+ de 30000 dossiers inspectés)

ce quoi le prog ??ool32.ece aufaite?

EDIT: ha c'est pile fini, je supprime les fichiers sélectionnes?

et moi qu'est ce que je fais je supprime tout les objets selectionnes?? car depuis hier je n'ai preferé touché a rien pour pas faire de gaffe

[snooky]

@Hephaix :

Ces fichiers sont à supprimer de ton pc :

D:\WINDOWS\System32\spoolsvc.exe

D:\WINDOWS\System32\rjfgvx.exe

D:\WINDOWS\system32\syshost.exe

D:\WINDOWS\System32\wincmd.exe

Termine les processus dans le gestionnaire de tâches et supprime les.

Utilise également Delete a file on reboot de Hijackthis.

Passe Clean Up ( coche tout dans " général " sauf Bookmars )

Fixer objet sur ces lignes avec Hijackthis :

F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe

O4 - HKLM\..\Run: [sbsn] D:\WINDOWS\sbsn.exe

O4 - HKLM\..\Run: [spooler SubSystem App] D:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\Run: [Windows Compliant] rjfgvx.exe

O4 - HKLM\..\Run: [Microsoft IIS] D:\WINDOWS\system32\syshost.exe

O4 - HKLM\..\Run: [Compaq Service Drivers] wincmd.exe

O4 - HKLM\..\RunServices: [Windows Compliant] rjfgvx.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] wincmd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows Compliant] rjfgvx.exe

O4 - HKCU\..\Run: [Compaq Service Drivers] wincmd.exe

O4 - HKCU\..\RunServices: [Compaq Service Drivers] wincmd.exe

Fait un scan en ligne ici : Trojanscan

Si pas ok , fait toutes ces manipulation en mode sans échec ( touche F8 au boot )

Poste un nouveau rapport .

[snooky]

@ votkka :

Tous les logs que tu utilises là , tu peux TOUT supprimer , sauf pour Hijackthis , lignes à cocher uniquement.

Néanmoins , jeter un oeil peut s'avérer utile ...

Pour CWShredder , il ne t'a rien trouvé d'infectieux : " Not Present "

[Héphaïx]

merci

[votkka]

voila ici y'a pas d'options, mais clique ou ça?

EDIT: je la met en miniature