smitfraud.c 888

Bonjour à tous,

Je sais, c'est un sujet récurrent, mais visiblement les procédures de nettoyage ne sont pas forcement les memes pour tous. Je vous met ici les rapports de smitfraudfix et de hitjackthis.
Si vous pouviez m'aider. j'ai essayé à maintes reprises, et quand il disparait du scan de spybot, il revient un peu plus tard. De plus, je ne trouve pas la clé incriminée dans le registre.

SmitFraudFix v2.176

Rapport fait à 13:31:41,51, 08/05/2007
Executé à partir de C:\temp\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.32.176
DNS Server Search Order: 212.27.32.177

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C4D47F0C-F205-4D84-98F7-5DA522ED247F}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E4F446D2-B4DB-419B-8B87-331B98C2FE6C}: DhcpNameServer=212.27.32.176 212.27.32.177
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C4D47F0C-F205-4D84-98F7-5DA522ED247F}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E4F446D2-B4DB-419B-8B87-331B98C2FE6C}: DhcpNameServer=212.27.32.176 212.27.32.177
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C4D47F0C-F205-4D84-98F7-5DA522ED247F}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E4F446D2-B4DB-419B-8B87-331B98C2FE6C}: DhcpNameServer=212.27.32.176 212.27.32.177
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.32.176 212.27.32.177
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.32.176 212.27.32.177
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.32.176 212.27.32.177


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:18:58, on 08/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\utilitaires\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\UTILIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {940B75D9-7380-4ABF-8CE7-D74211814CE5} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {C0025496-8EC2-4801-ACF7-1E0EFE574FDe} - (no file)
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - d:\utilitaires\systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] D:\UTILIT~1\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\System32\kxunrmky.dll",realset
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\utilitaires\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_fr.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/07e51bb3ad1433c3d816/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178192448656
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: ssqnmlm - ssqnmlm.dll (file missing)
O20 - Winlogon Notify: __c001D678 - C:\WINDOWS\System32\__c001D678.dat
O20 - Winlogon Notify: __c00B13A5 - C:\WINDOWS\System32\__c00B13A5.dat
O20 - Winlogon Notify: __c00D284C - C:\WINDOWS\System32\__c00D284C.dat
O20 - Winlogon Notify: __c00ECB7E - C:\WINDOWS\System32\__c00ECB7E.dat
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\utilitaires\avast antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\utilitaires\avast antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\utilitaires\avast antivirus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\utilitaires\avast antivirus\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\utilitaires\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SC Test Branding Service 1 - SC Test Branding 1 - C:\Program Files\Fichiers communs\SC Test Branding 1 Shared\Service\SCTestService1.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SNDSrvc - Smart Link - (no file)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - (no file)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 7980 bytes


que dois je faire maintenant ? Merci par avance de votre aide.

bonjour
smitfraud.c 888 trouvée par Spybot n'est pas une infection du type smitfraud !!!
-------------
tu n'as pas d'anti-virus ? ne de pare-feu ???
----------
antivirus gartuit et pare-feu

Avast Edition Familiale

Kerio
Essai 30 jours en version “ FULL” , puis fonctionne ensuite en gratuit version “Free”
mode emploi Kerio
---------------------
Télécharger sur le Bureau.
VundoFix

= Double-clic VundoFix.exe.
= Clic OK
=Attendre le redemarrage de Vundofix
=Clic Scan for Vundo
= le scan est assez long , à la fin
=Clic Remove Vundo
= Puis yes
= Le Bureau disparaît un moment lors de la suppression des fichiers.
=Message shutdown
=clic OK
=Redémarrage auto
Note : il peut y avoir plusieurs redémarrages
=copier le rapport qui est dans C:\vundofix.txt
---------
supprimer hijackthis qui est dans C:\
et
Télécharger sur le bureau
Hijackthis

= clic droit dessus ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse

bonjour, et merci de ta réponse. C'est un ordinateur appartenant à un enfant. Il ne s'est pas aperçu que son antivirus (norton), était périmé et ne faisait donc plus les mises à jour. 48 virus trojan root kit et autres cochonneries !!!!!!!!! j'ai installé avast, et le pare feu existait déjà (za).
avg anti spyware, ccleaner vundofix, etc... j'ai mis la totale. bref, j'ai fait le ménage, avec quelques difficultés pour virtuamonde, mais enfin il ne reste plus que celui-ci, qui disparait et revient ensuite. ménage dans le registre, rien n'y fait.

pour vundofix, il n'a rien trouvé.


VundoFix V6.3.21

Checking Java version...

Sun Java not detected
Scan started at 19:54:26 06/05/2007

Listing files found while scanning....

C:\WINDOWS\system32\bongjrtf.dll
C:\WINDOWS\system32\fixsykiq.dll
C:\WINDOWS\System32\gebyx.dll
C:\WINDOWS\system32\rghtyiaf.dll
C:\WINDOWS\system32\unhvfusi.dll
C:\WINDOWS\system32\wugbytiu.dll
C:\WINDOWS\System32\xybeg.bak1
C:\WINDOWS\System32\xybeg.bak2
C:\WINDOWS\System32\xybeg.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\bongjrtf.dll
C:\WINDOWS\system32\bongjrtf.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\fixsykiq.dll
C:\WINDOWS\system32\fixsykiq.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\gebyx.dll
C:\WINDOWS\System32\gebyx.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\rghtyiaf.dll
C:\WINDOWS\system32\rghtyiaf.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\unhvfusi.dll
C:\WINDOWS\system32\unhvfusi.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\wugbytiu.dll
C:\WINDOWS\system32\wugbytiu.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\xybeg.bak1
C:\WINDOWS\System32\xybeg.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\xybeg.bak2
C:\WINDOWS\System32\xybeg.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\System32\xybeg.ini
C:\WINDOWS\System32\xybeg.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\gebyx.dll
C:\WINDOWS\System32\gebyx.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\xybeg.ini
C:\WINDOWS\System32\xybeg.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.21

Checking Java version...

Sun Java not detected
Scan started at 17:06:14 08/05/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.3.21

Checking Java version...

Sun Java not detected
Scan started at 17:22:29 08/05/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...


question: pourquoi faut il renommer itjackthis ?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:31:49, on 08/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\UTILIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {940B75D9-7380-4ABF-8CE7-D74211814CE5} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {C0025496-8EC2-4801-ACF7-1E0EFE574FDe} - (no file)
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - d:\utilitaires\systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] D:\UTILIT~1\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\System32\kxunrmky.dll",realset
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\utilitaires\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_fr.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/07e51bb3ad1433c3d816/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178192448656
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: ssqnmlm - ssqnmlm.dll (file missing)
O20 - Winlogon Notify: __c001D678 - C:\WINDOWS\System32\__c001D678.dat
O20 - Winlogon Notify: __c00B13A5 - C:\WINDOWS\System32\__c00B13A5.dat
O20 - Winlogon Notify: __c00D284C - C:\WINDOWS\System32\__c00D284C.dat
O20 - Winlogon Notify: __c00ECB7E - C:\WINDOWS\System32\__c00ECB7E.dat
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\utilitaires\avast antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\utilitaires\avast antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\utilitaires\avast antivirus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\utilitaires\avast antivirus\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\utilitaires\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SC Test Branding Service 1 - SC Test Branding 1 - C:\Program Files\Fichiers communs\SC Test Branding 1 Shared\Service\SCTestService1.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SNDSrvc - Smart Link - (no file)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - (no file)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 7842 bytes

salut

je commence l'analyse de ton hijack


[ Ce message a été modifié par : : thegame le 08-05-2007 18:25 ]


Ajout du 08-05-2007 à 18:27:

Télécharge sur ton bureau Clean (zip)
= Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
=double-clic Dossier Clean
= double-clic Clean. ( avec comme symbole une roue dentée)
= Option 1 = taper 1
= copier/coller le rapport dans la réponse

hello
voici le raport du clean

08/05/2007 a 19:18:37,04

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.2" FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.3" FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Fichiers communs\DriveCleaner Free\" FOUND
"C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND
*** Fin du rapport !

redémarre en mode sans échec

lance clean.zip >> option 2

redémarre puis poste le rapport

salut,
Télécharges VirtumundoBegone et mets-le sur ton bureau
VirtumundoBeGone.exe
Lances VirtumundoBeGone en double cliquant sur VirtumundoBeGone.exe et suis les instrcutions qui s'affichent.
Ne t inquiétes pas si tu vois un message bleu "erreur fatale" c'est normal !
Une fois l'opération terminée, redémarres ton pc !
et post le rapport VBG.TXT qui est sur le bureau

ensuite

si tu rencontres des problemes merci de les signaler dans un prochain post mais de poursuivre la procedure jusqu'au bout
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.

télécharge puis installe ccleaner
ccleaner
attention a la fin de l'installation laisse cocher uniquement "ajouter un icone sur le bureau"
decoche les quatre autres cases

Télécharge puis installe
AVG Anti-Spyware (AVG AS)
Une fois AVG AS lancé, clique sur "Mise à jour"

ensuite

redemarre en mode sans echec
aide demarrage mode sans echec
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis cette fois-ci l'option 2 .
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.
C:\rapport_clean.txt

ensuite

double clic sur l'icone ccleaner
lance le nettoyage
et lance" corriger les erreurs"
Tutoriel Comment utiliser CCleaner

ensuite

toujours en mode sans échec
Relance AVG Anti-Spyware (AVG AS) puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
Si un fichier est infecté détécté en fin d'analyse
Clique sur "Appliquer toutes les actions "
copie colle le rapport obtenu

a+

post en plus des rapports de virtumonbegone,clean et avg un nouveau log hijackthis


[ Ce message a été modifié par : : fred841 le 08-05-2007 19:23 ]

en plus de ce qui est dit dans le message de TheGame

relancer hijack ( test.exe)

cocher ces lignes et clic ensuite sur fix checked

O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\System32\kxunrmky.dll",realset
O20 - Winlogon Notify: ssqnmlm - ssqnmlm.dll (file missing)
O20 - Winlogon Notify: __c001D678 - C:\WINDOWS\System32\__c001D678.dat
O20 - Winlogon Notify: __c00B13A5 - C:\WINDOWS\System32\__c00B13A5.dat
O20 - Winlogon Notify: __c00D284C - C:\WINDOWS\System32\__c00D284C.dat
O20 - Winlogon Notify: __c00ECB7E - C:\WINDOWS\System32\__c00ECB7E.dat
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - (no file)
-------------

supprimer

kxunrmky.dll ==> dans C:\WINDOWS\System32
----------------
Faire
Démarrer==> Exécuter ==> Ecrire: services.msc
Dans le tableau qui s’ouvre chercher : Partage de Bureau à distance NetMeeting
Double-clic dessus==> dans type de démarrage ==>Désactiver ==> en dessous
Arrêter <== si accessible et Clic ==> OK

pareil avec
Gestionnaire de session d'aide sur le Bureau à distance
SymWMI Service
--------
j'avais vu le contrôle parental ....
test.exe ==> pour voir certaines infections Vundo dont le pc était truffé
-------
supprimer Vundofix et les rapports générés

salut fred841

tu ne penses pas qu'il faudrait vérifier au niveau des processus cachés ?

vu que deja clean.zip à trouvé quelque chose ... puis passer navilog puis après effectuer tes manips ?

salut the game je penchais pour un nettoyage en profondeur avec clean et avg apres avoir verifié qu'il n'y a plus de vundo
puis voir ensuite au niveau des rootkits
juste une etape de plus en somme

a+