smitfraud-c.toolbar888

Salut,
je n'arrive pas à me débarrasser de smitfraud malgré différents artifices essayés(spybot,ad aware,killbox,vundofix).
J'ai fait un scan avec hijackthis et l'ai sauvegardé...je ne trouve pas de fichier tuvvstu.dll mais des awvtu.dll.Faut il les supprimer?
Si quelqu'un peut répondre à mon problème!Merci d'avance

salut

Télécharger sur le bureau
Hijackthis
= clic droit dessus ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse
Si problème voir l’aide ci-dessou :
aide hijackthis
------------------------------------------
Smitfraudfix
deconnectes toi du net
dezip le dossier (extraire tout sur ton bureau)
Ouvre le dossier SmitfraudFix qui est sur ton bureau, double clic sur SmitfraudFix.cmd
valide l'option 1
Copie/colle le contenu du rapport ici

A++

voici le rapport hijackthis demandé,merci pour la réponse rapide.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:00:44, on 11/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TRENDnet\TEW-441PC_443PI\TRENDnet.exe
C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Philippe\Bureau\test.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {26FAFD75-1005-41F6-978D-178C00165C0B} - C:\WINDOWS\system32\wvutuvw.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7A6B59A6-E668-453C-8915-96F4409EA51f} - C:\WINDOWS\system32\nifqqmjk.dll
O2 - BHO: (no name) - {924065CB-D793-4823-88E0-6E16EF3A9AE9} - C:\WINDOWS\system32\awvvs.dll
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\whryuuse.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [OlStatusMon] "C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe" dvcStatusMinimize
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\hcefnlyi.dll",realset
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapte.lnk = C:\Program Files\TRENDnet\TEW-441PC_443PI\TRENDnet.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll
O20 - Winlogon Notify: wvutuvw - C:\WINDOWS\SYSTEM32\wvutuvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: MSIEUpdater_1 (Microsoft IE Updater_1) - Unknown owner - C:\Documents and Settings\Philippe\ie_updater1.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: olMntrService - Olivetti - C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 7398 bytes

fixes and checked les lignes suivantes


O2 - BHO: (no name) - {26FAFD75-1005-41F6-978D-178C00165C0B} - C:\WINDOWS\system32\wvutuvw.dll

O2 - BHO: (no name) - {7A6B59A6-E668-453C-8915-96F4409EA51f} - C:\WINDOWS\system32\nifqqmjk.dll

O2 - BHO: (no name) - {924065CB-D793-4823-88E0-6E16EF3A9AE9} - C:\WINDOWS\system32\awvvs.dll

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\whryuuse.dll

O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll

O20 - Winlogon Notify: wvutuvw - C:\WINDOWS\SYSTEM32\wvutuvw.dll

Excuse moi pour le retard.

SmitFraudFix v2.127

Rapport fait à 0:13:09,73, 11/05/2007
Executé à partir de C:\Documents and Settings\Philippe\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Philippe


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Philippe\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Philippe\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Télécharge sur ton bureau Clean (zip)
= Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
=double-clic Dossier Clean
= double-clic Clean. ( avec comme symbole une roue dentée)
= Option 1 = taper 1
= copier/coller le rapport dans la réponse

11/05/2007 a 0:48:27,64

*** Recherche des fichiers dans C:

voici le rapport tel que tu me l'as demandé.

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND
C:\WINDOWS\nsreg.dat FOUND
"C:\Documents and Settings\Philippe\ie_updater1.exe" FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !



Ajout du 11-05-2007 à 00:56:

Bonne nuit à toi LOLO et merci en attendant pour le coup de main.
A demain peut être.

Redémarre en mode sans échec,

lance clean et cette fois-ci choisi >> l'option 2

un rapport va être générer sur ton C:

Redémarre en mode normal,

Est-ce que tu as le rapport de Vundofix ?

Télécharger sur le bureau
VirtumondoBegone
VirtumondoBegone

=Double clic sur VirtumundoBeGone.exe
=clic Continue ==> clic Start
=clic Oui
=A la fin si Vundo est présent , le PC s’éteint et redémarre

Si Ecran bleu et message : Erreur fatale .. pas de problème

=Poster le rapport VBG.TXT qui est sur le bureau + un nouveau rapport hijackthis + rapport Clean + rapport vundofix.

A+

Salut à tous,
un petit peu de repos et c'est reparti!J'ai rajouté les rapports précèdement demandés,à part vundofix qui ne m'en propose pas mais qui à priori ne détecte rien d'anormal.Les voici:

1/VBG
[05/11/2007, 8:36:24] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Philippe\Mes documents\VirtumundoBeGone.exe" )
[05/11/2007, 8:36:29] - Detected System Information:
[05/11/2007, 8:36:29] - Windows Version: 5.1.2600, Service Pack 2
[05/11/2007, 8:36:29] - Current Username: Philippe (Admin)
[05/11/2007, 8:36:29] - Windows is in NORMAL mode.
[05/11/2007, 8:36:29] - Searching for Browser Helper Objects:
[05/11/2007, 8:36:29] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/11/2007, 8:36:29] - BHO 2: {26FAFD75-1005-41F6-978D-178C00165C0B} ()
[05/11/2007, 8:36:29] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/11/2007, 8:36:29] - Checking for HKLM\...\Winlogon\Notify\wvutuvw
[05/11/2007, 8:36:29] - Found: HKLM\...\Winlogon\Notify\wvutuvw - This is probably Virtumundo.
[05/11/2007, 8:36:29] - Assigning {26FAFD75-1005-41F6-978D-178C00165C0B} MSEvents Object
[05/11/2007, 8:36:29] - BHO list has been changed! Starting over...
[05/11/2007, 8:36:29] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/11/2007, 8:36:29] - BHO 2: {26FAFD75-1005-41F6-978D-178C00165C0B} (MSEvents Object)
[05/11/2007, 8:36:29] - ALERT: Found MSEvents Object!
[05/11/2007, 8:36:29] - BHO 3: {41E99564-C3FB-4BE5-B234-EE931834B906} ()
[05/11/2007, 8:36:29] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/11/2007, 8:36:29] - Checking for HKLM\...\Winlogon\Notify\awvvs
[05/11/2007, 8:36:29] - Found: HKLM\...\Winlogon\Notify\awvvs - This is probably Virtumundo.
[05/11/2007, 8:36:29] - Assigning {41E99564-C3FB-4BE5-B234-EE931834B906} MSEvents Object
[05/11/2007, 8:36:29] - BHO list has been changed! Starting over...
[05/11/2007, 8:36:30] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/11/2007, 8:36:30] - BHO 2: {26FAFD75-1005-41F6-978D-178C00165C0B} (MSEvents Object)
[05/11/2007, 8:36:30] - ALERT: Found MSEvents Object!
[05/11/2007, 8:36:30] - BHO 3: {41E99564-C3FB-4BE5-B234-EE931834B906} (MSEvents Object)
[05/11/2007, 8:36:30] - ALERT: Found MSEvents Object!
[05/11/2007, 8:36:30] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/11/2007, 8:36:30] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/11/2007, 8:36:30] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/11/2007, 8:36:30] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/11/2007, 8:36:30] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/11/2007, 8:36:30] - BHO 6: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/11/2007, 8:36:30] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/11/2007, 8:36:30] - Checking for HKLM\...\Winlogon\Notify\liqcyjao
[05/11/2007, 8:36:30] - Key not found: HKLM\...\Winlogon\Notify\liqcyjao, continuing.
[05/11/2007, 8:36:30] - Finished Searching Browser Helper Objects
[05/11/2007, 8:36:30] - *** Detected MSEvents Object
[05/11/2007, 8:36:30] - Trying to remove MSEvents Object...
[05/11/2007, 8:36:31] - Terminating Process: IEXPLORE.EXE
[05/11/2007, 8:36:31] - Terminating Process: RUNDLL32.EXE
[05/11/2007, 8:36:31] - Disabling Automatic Shell Restart
[05/11/2007, 8:36:31] - Terminating Process: EXPLORER.EXE
[05/11/2007, 8:36:32] - Suspending the NT Session Manager System Service
[05/11/2007, 8:36:32] - Terminating Windows NT Logon/Logoff Manager
[05/11/2007, 8:36:32] - Re-enabling Automatic Shell Restart
[05/11/2007, 8:36:32] - File to disable: C:\WINDOWS\system32\wvutuvw.dll
[05/11/2007, 8:36:32] - Renaming C:\WINDOWS\system32\wvutuvw.dll -> C:\WINDOWS\system32\wvutuvw.dll.vir
[05/11/2007, 8:36:33] - File successfully renamed!
[05/11/2007, 8:36:33] - Removing HKLM\...\Browser Helper Objects\{26FAFD75-1005-41F6-978D-178C00165C0B}
[05/11/2007, 8:36:33] - Removing HKCR\CLSID\{26FAFD75-1005-41F6-978D-178C00165C0B}
[05/11/2007, 8:36:33] - Adding Kill Bit for ActiveX for GUID: {26FAFD75-1005-41F6-978D-178C00165C0B}
[05/11/2007, 8:36:33] - Deleting ATLEvents/MSEvents Registry entries
[05/11/2007, 8:36:33] - Removing HKLM\...\Winlogon\Notify\wvutuvw
[05/11/2007, 8:36:33] - Searching for Browser Helper Objects:
[05/11/2007, 8:36:33] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/11/2007, 8:36:33] - BHO 2: {41E99564-C3FB-4BE5-B234-EE931834B906} (MSEvents Object)
[05/11/2007, 8:36:33] - ALERT: Found MSEvents Object!
[05/11/2007, 8:36:33] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/11/2007, 8:36:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/11/2007, 8:36:33] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/11/2007, 8:36:33] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/11/2007, 8:36:33] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/11/2007, 8:36:33] - BHO 5: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/11/2007, 8:36:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/11/2007, 8:36:33] - Checking for HKLM\...\Winlogon\Notify\liqcyjao
[05/11/2007, 8:36:33] - Key not found: HKLM\...\Winlogon\Notify\liqcyjao, continuing.
[05/11/2007, 8:36:33] - Finished Searching Browser Helper Objects
[05/11/2007, 8:36:33] - *** Detected MSEvents Object
[05/11/2007, 8:36:33] - Trying to remove MSEvents Object...
[05/11/2007, 8:36:34] - Terminating Process: IEXPLORE.EXE
[05/11/2007, 8:36:34] - Terminating Process: RUNDLL32.EXE
[05/11/2007, 8:36:34] - Disabling Automatic Shell Restart
[05/11/2007, 8:36:34] - Terminating Process: EXPLORER.EXE
[05/11/2007, 8:36:34] - Suspending the NT Session Manager System Service
[05/11/2007, 8:36:34] - Terminating Windows NT Logon/Logoff Manager
[05/11/2007, 8:36:34] - Re-enabling Automatic Shell Restart
[05/11/2007, 8:36:34] - File to disable: C:\WINDOWS\system32\awvvs.dll
[05/11/2007, 8:36:34] - Renaming C:\WINDOWS\system32\awvvs.dll -> C:\WINDOWS\system32\awvvs.dll.vir
[05/11/2007, 8:36:35] - File successfully renamed!
[05/11/2007, 8:36:35] - Removing HKLM\...\Browser Helper Objects\{41E99564-C3FB-4BE5-B234-EE931834B906}
[05/11/2007, 8:36:35] - Removing HKCR\CLSID\{41E99564-C3FB-4BE5-B234-EE931834B906}
[05/11/2007, 8:36:35] - Adding Kill Bit for ActiveX for GUID: {41E99564-C3FB-4BE5-B234-EE931834B906}
[05/11/2007, 8:36:35] - Deleting ATLEvents/MSEvents Registry entries
[05/11/2007, 8:36:35] - Removing HKLM\...\Winlogon\Notify\awvvs
[05/11/2007, 8:36:35] - Searching for Browser Helper Objects:
[05/11/2007, 8:36:35] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/11/2007, 8:36:35] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/11/2007, 8:36:35] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/11/2007, 8:36:35] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/11/2007, 8:36:35] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/11/2007, 8:36:35] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/11/2007, 8:36:35] - BHO 4: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[05/11/2007, 8:36:35] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/11/2007, 8:36:35] - Checking for HKLM\...\Winlogon\Notify\liqcyjao
[05/11/2007, 8:36:35] - Key not found: HKLM\...\Winlogon\Notify\liqcyjao, continuing.
[05/11/2007, 8:36:35] - Finished Searching Browser Helper Objects
[05/11/2007, 8:36:35] - Finishing up...
[05/11/2007, 8:36:35] - A restart is needed.
[05/11/2007, 8:36:41] - Attempting to Restart via STOP error (Blue Screen!)

2/HIJACKTHIS
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 08:39:35, on 11/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TRENDnet\TEW-441PC_443PI\TRENDnet.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Philippe\Bureau\test.exe.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\liqcyjao.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [OlStatusMon] "C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe" dvcStatusMinimize
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\hcefnlyi.dll",realset
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapte.lnk = C:\Program Files\TRENDnet\TEW-441PC_443PI\TRENDnet.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: MSIEUpdater_1 (Microsoft IE Updater_1) - Unknown owner - C:\Documents and Settings\Philippe\ie_updater1.exe (file missing)
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: olMntrService - Olivetti - C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 7038 bytes

3/CLEAN
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 11/05/2007 a 8:28:13,42

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp
tentative de suppression de C:\WINDOWS\nsreg.dat
tentative de suppression de "C:\Documents and Settings\Philippe\ie_updater1.exe"

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Et surtout merci à vous.

bonjour

encore une fois

smitfraud-c.toolbar888 n'est pas une infection Smitfraud ==> donc smitfraudfix = inutile

c'est une infection Vundo
ou une clée de registre infecté

ICI VUNDO ==> cocher et fixer des lignes suite à une analyse automatique non-fiable = cela ne sert à rien
---------



[ Ce message a été modifié par : : land3 le 11-05-2007 08:53 ]


Ajout du 11-05-2007 à 08:57:

relancer hijack
"Do a System Scan Only"

cocher ces lignes et clic ensuite sur fix checked

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\liqcyjao.dll
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\hcefnlyi.dll",realset
-----
supprimer si présent

liqcyjao.dll ==> dans C:\WINDOWS\system32
hcefnlyi.dll ==> dans C:\WINDOWS\system32
------
si problème de suppression le signaler