Un 2 eme cas d'ieav.exe...

[LeStratege]

En bref j'ai un acer portable sous Xp et je n'y connait rien en déglingage de virus... j'ai vus qu'il y avait déja un cas d'ieav (quelle m....) mais comme c'est sur Vista, je me dis que c'est peut-être différent, en outre je ne sais pas où allez cherché toutes les infos qu'il a donné :(
Merci d'avance pour votre aide...
(Avast ça sert pas a grand chose quand meme... toujours un peu plus que norton ^^ )

[NEO HYUGA]

En bref j'ai un acer portable sous Xp et je n'y connait rien en déglingage de virus... j'ai vus qu'il y avait déja un cas d'ieav (quelle m....) mais comme c'est sur Vista, je me dis que c'est peut-être différent, en outre je ne sais pas où allez cherché toutes les infos qu'il a donné :(
Merci d'avance pour votre aide...
(Avast ça sert pas a grand chose quand meme... toujours un peu plus que norton ^^ )

bonsoir dans un premier temps, ca prend deux sec a ecrire et le lecteur appreciera.

ensuite donnes un peu plus de precisions stp, quand on te lis, on a l impression que tu prend un topic en cours. donnes nous ta config aussi stp.

toutes les infos qu'il a donné

tu parles de qui ?

[Laddy]

Bonjour

puis je t'aider à vérifier ton PC ?
Il est vrai que avast n'est pas la meilleure solution ni norton et encore moins MacAfee mais nous pourrons résoudre cette histoire d'antivirus par la suite.

Si tu souhaites que je t'aide voici une procédure à réaliser :

- Télécharge HiJackThis de Merijn sur ton bureau.

-Renomme-le en Scanner.
- Double-clic sur Scanner.exe
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller

Ensuite

Télécharge Smitfraudfix

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

• Double clique sur SmitfraudFix.exe
• Sélectionner 1 et pressez Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C: apport.txt

J'attends tes deux rapports :
Hijackthis
Smitfraudfix

[r@in | b0w]

Bonjour et re Laddy.

Pour HiJackThis, il est disponible dans notre logithèque ici.

De même, un tutorial est disponible là

Pour l'antivirus, rien ne sert d'entrer dans la polémique étant donné qu'aucun antivirus n'est parfait.

A ajouter et toujours bon à faire: une analyse antivirus supplémentaire par le biais d'Internet Explorer sur BitDefender.

[LeStratege]

Désolé pour l'impolitesse
A défaut de "bonsoir" se sera pardon... Pardon.

Voici les rapports demandé par Laddy :
hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:23, on 13/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelWirelessBinEvtEng.exe
C:Program FilesIntelWirelessBinS24EvMon.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedCCPD-LCsymlcsvc.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:AcerEmpowering TechnologyePowerePower_DMC.exe
C:AcerEmpowering TechnologyeRecoveryMonitor.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:AcerEmpowering TechnologyeDataSecurityeDSloader.exe
C:AcerEmpowering Technologyadmtray.exe
C:Program FilesJavajre1.6.0_05injusched.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesDAEMON Toolsdaemon.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32LEXPPS.EXE
C:AcerEmpowering TechnologyadmServ.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32cisvc.exe
C:WINDOWSeHomeehRecvr.exe
C:DOCUME~1stefLOCALS~1TempRtkBtMnt.exe
C:WINDOWSeHomeehSched.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32PnkBstrA.exe
C:Program FilesIntelWirelessBinRegSrvc.exe
C:Program FilesPhotodexCompuPicProScsiAccess.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wdfmgr.exe
C:WINDOWSehomemcrdsvc.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32dllhost.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSsystem32wbemunsecapp.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32cidaemon.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1MSNMES~1msnmsgr.exe
C:Program FilesSpyware DoctorpctsAuxs.exe
C:Program FilesSpyware DoctorpctsSvc.exe
C:Program FilesSpyware DoctorpctsTray.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsstefLocal SettingsTemporary Internet FilesContent.IE5I7FC9PQXHiJackThis[1].exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://fr.fr.acer.yahoo.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://fr.fr.acer.yahoo.com
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://fr.fr.acer.yahoo.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_05inssv.dll
O2 - BHO: Sigma plugin - {7DBF8390-552B-4D55-9F62-00D032032691} - C:WINDOWS asant32.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.0.301.7164swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:WINDOWSsystem32eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [ePower_DMC] C:AcerEmpowering TechnologyePowerePower_DMC.exe
O4 - HKLM..Run: [eRecoveryService] C:AcerEmpowering TechnologyeRecoveryMonitor.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [eDataSecurity Loader] C:AcerEmpowering TechnologyeDataSecurityeDSloader.exe
O4 - HKLM..Run: [AzMixerSel] C:Program FilesRealtekInstallShieldAzMixerSel.exe
O4 - HKLM..Run: [ADMTray.exe] "C:AcerEmpowering Technologyadmtray.exe"
O4 - HKLM..Run: [Acer ePower Management] C:AcerEmpowering TechnologyePowerAcer ePower Management.exe boot
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_05injusched.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [SkyTel] SkyTel.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 - HKLM..Run: [ISTray] "C:Program FilesSpyware DoctorpctsTray.exe"
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [antispy] C:Program FilesIEAntiVirusANTIVIRUS.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:Documents and SettingsstefMenu DémarrerProgrammesIMVURun IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:AcerEmpowering TechnologyadmServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:Program FilesIntelWirelessBinEvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:WINDOWSsystem32LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:Program FilesIntelWirelessBinRegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:Program FilesWinPcap pcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:Program FilesIntelWirelessBinS24EvMon.exe
O23 - Service: ScsiAccess - Unknown owner - C:Program FilesPhotodexCompuPicProScsiAccess.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:Program FilesSpyware DoctorpctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:Program FilesSpyware DoctorpctsSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedCCPD-LCsymlcsvc.exe

--
End of file - 10297 bytes

Puis Smitfraudfix:


SmitFraudFix v2.324

Rapport fait à 18:24:59,78, 13/06/2008
Executé à partir de C:Documents and SettingsstefBureauSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelWirelessBinEvtEng.exe
C:Program FilesIntelWirelessBinS24EvMon.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedCCPD-LCsymlcsvc.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:AcerEmpowering TechnologyePowerePower_DMC.exe
C:AcerEmpowering TechnologyeRecoveryMonitor.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:AcerEmpowering TechnologyeDataSecurityeDSloader.exe
C:AcerEmpowering Technologyadmtray.exe
C:Program FilesJavajre1.6.0_05injusched.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesDAEMON Toolsdaemon.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32LEXPPS.EXE
C:AcerEmpowering TechnologyadmServ.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32cisvc.exe
C:WINDOWSeHomeehRecvr.exe
C:DOCUME~1stefLOCALS~1TempRtkBtMnt.exe
C:WINDOWSeHomeehSched.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32PnkBstrA.exe
C:Program FilesIntelWirelessBinRegSrvc.exe
C:Program FilesPhotodexCompuPicProScsiAccess.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wdfmgr.exe
C:WINDOWSehomemcrdsvc.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32dllhost.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSsystem32wbemunsecapp.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32cidaemon.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1MSNMES~1msnmsgr.exe
C:Program FilesSpyware DoctorpctsAuxs.exe
C:Program FilesSpyware DoctorpctsSvc.exe
C:Program FilesSpyware DoctorpctsTray.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsstefLocal SettingsTemporary Internet FilesContent.IE5I7FC9PQXHiJackThis[1].exe
C:WINDOWSsystem32NOTEPAD.EXE
C:WINDOWSsystem32cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and Settingsstef


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsstefApplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1stefFavoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: tasant32.dll
BHO: Sigma plugin - {7DBF8390-552B-4D55-9F62-00D032032691}
CLSID: {7DBF8390-552B-4D55-9F62-00D032032691}
AppID: {7DBF8390-552B-4D55-9F62-00D032032691}
AppID: tasant32.dll
Classes: ie.ieplugin
TypeLib: {5FD23A1E-7BE2-468E-BBFC-A35447122210}
Interface: {5FD23A1E-7BE2-468E-BBFC-A35447122211}


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLMSYSTEMCCSServicesTcpip..{4F12D401-07D7-4081-AB02-92174D993BF2}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCCSServicesTcpip..{F22B0DD8-1231-45DC-A195-571F06AEA237}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpip..{4F12D401-07D7-4081-AB02-92174D993BF2}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpip..{F22B0DD8-1231-45DC-A195-571F06AEA237}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS3ServicesTcpip..{F22B0DD8-1231-45DC-A195-571F06AEA237}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Merci d'avance et désolé encore une fois pour avoir été malpoli.

[r@in | b0w]

Re.

Excuses acceptées

_ Dans un premier temps, voire à désactiver la Restauration automatique du système:

Tu cliques droit sur Poste de travail puis Propriétés.



Tu choisis l'onglet Restauration du système et tu décoches la ligne Restauration automatique du système.

Tu confirmes le message stipulant la suppression de tous les points de restauration.

_ Installation de Spybot & Ad-Aware:

Spybot et Ad-Aware sont à télécharger puis mettre à jour pour arriver finalement à lancer une analyse.

Si tu as un problème lors de l'installation, tu passeras en Mode sans échec ([F8] au démarrage) pour les installer.

Pour la suite, si tu es en Mode sans échec, tu continues dans ce mode sinon il est aussi possible de rester en Mode normal.

_ Ensuite, à propos du logiciel HiJackThis, des lignes sont à supprimer (fixer):

O2 - BHO: Sigma plugin - {7DBF8390-552B-4D55-9F62-00D032032691} - C:WINDOWS asant32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O4 - HKCU..Run: [antispy] C:Program FilesIEAntiVirusANTIVIRUS.exe

Tu coches ces lignes puis cliques sur Fix Checked.

_ Diverses suppressions à faire.

Tu vas sur le Panneau de configuration puis Ajout/Suppression des programmes.
Tu tentes de localiser ANTIVIRUS.exe que tu désinstalles.

Après vidange de la corbeille, tu passes ensuite un coup de Ccleaner en mode Nettoyage de fichiers temporaires & Nettoyage de la base de registre, l'utilitaire est à configurer en suivant ce tutorial.

_ Téléchargement d'IeDefender Removal:

Tu le télécharges ici puis tu le lances en suivant ce tutorial (tout en bas de la page).

_ SmitFraudix:

Je laisse Laddy t'aviser de la marche à suivre, n'ayant encore aucune compétence dans ce domaine.

Ps: à la fin de la désinfection, il faudra penser à réactiver la Restauration automatique du système et à supprimer le dossier C:Program FilesIEAntiVirus ainsi que la dll tasant32.dll si elle est toujours présente.

[Laddy]

Personnellement je ne travaille pas ainsi donc vue que tu as commencée t donner de conseiller et afin de ne pas interféré avec ceux ci je te laisse continuer r@in | b0w

Il n'est pas conseillé de supprimer les points de restauration avant que l'infection soit totalement erradiqué ainsi de voir si le PC est stable.

En effet, un outil de désinfection peut planter et si les points de restauration sont supprimés il sera impossible de récupérer le PC d'une manière simple.

N'installe pas adware ni spybot pour le moment.


Je ne connais pas FixIEDef il supprimera ton infection apparemment alors smitfraudfix ne devra pas être utilisé par la suite en mode désinfection.

Je suiverai le sujet de loin si jamais vous avez besoin de moi.

[r@in | b0w]

Bonjour.

Je suis désolé de voir que tu restes en retrait, ici au contraire, si quelqu'un a quelque chose à rajouter, il le fait sans que cela vexe.

Il n'y a pas le principe un helpeur pour un sujet.

Pour les points de restauration, la quasi totalité des vermines s'y loge tranquillement, ce qui fait qu'une désinfection ne fonctionne pas puisqu'au redémarrage, la vermine trouve son chemin pour revenir au premier plan.

Etant donné que je ne fais pas utiliser d'outil de désinfection sauf ici, les points de restauration n'ont que peu d'importance.

[Laddy]

Kikoo
mes outils risquent d'interférer avec le tien avant d'aller plus loin il faut savoir avec quel outil il faut travailler

si je commence avec smitfraudfix en recherche je finis avec avec smitfraudfix en suppression or ton sujet est devant le mien avec l'utilisation d'un fix propre à l'infection d'après mes recherches et si j'ai bien compris ;-D, ce qui rend l'action du mien inutile et peut être "dangereux" pour son PC. d'où la necessité de garder les points de restauration systeme.

Je ne suis pas vexée je découvre le fonctionnement de votre forum et comment fonctionne cette section.

[r@in | b0w]

Re.

Pour le IeDefender Removal, il est préconisé par Malekal pour lutter contre notre IeAntivirus.

Donc je pensais l'essayer vu qu'il a l'air efficace.

Si cela ne fonctionne pas, tu attaques ton SmitFraudix, vendu?

Pour les points de restauration système, jusqu'à présent, il n'y a pas eu de soucis et cela permet de ne pas dératiser dans le vent.
De toute façon, il y a toujours possibilité de réactiver la Restauration ce qui créera un nouveau point avant les manipulations hasardeuses.

En résumé: on attend le fin Stratege pour voir si IeDR a fonctionné, sinon tu prends le relais.

Ps: sous réserve que l'intéressé réponde bien entendu!

Ps2: pour le fonctionnement du forum, tout est dit dans la Charte.
Pour le reste, cela n'est pas bien compliqué, tu verras.

Ps3: si par la suite, tu veux interférer, j'espère que tu as compris qu'il est plutôt recommandé et apprécié de le faire.
Le savoir est fait pour être transmis et puis, on est pas sur cçm là

Ps4: SmitFraudix dangereux? Il y a des backups possibles quand même, des outils de ce niveau ne font rien sans possibilité de retour.
Je me trompe?

[LeStratege]

D'abord merci vous tous pour l'aide.
Ensuite désolé pour le manque de réponse, mais je suis en pleins partiels donc je révise pas mal en ce moment ^^.
En l'occurence je n'ai pas trop le temps de m'attelé au probleme, je le laisse en suspend j'usqu'a jeudi où là se sera plus calme pour moi... Si mon pere ne me demande pas a corps et a cri... De toutes façons Dès que j'ai le temps je m'y mets.

[LeStratege]

De pire en pire...
J'ai essayé de me connecter a ce site via mon pc mais je ne peut pas:
-il lance la page mais ne la charge jamais (j'ai meme apres une matinée entiere, seulement l'icone de chargement)
Meme lorsque je retranscris l'adresse d'un telechargement (spybot)...rien
-autres symptomes: que ce soit google ou Dailymotion si je lance une recherche: meme effet...
De plus je dois passer par le gestionnaire des taches pour fermer IE... qui doit donc avoir planté :(
-mais sur le meme dailymotion, si je lance une page que je connais déja alors là pas de problemes, de plus d'autres sites répondent favorablements... (GameFaqs par exemple)

A cause de cela je n'ai pas pus tester vos conseils ni vous prévenir (je suis sur un autre pc tout de suite)

[r@in | b0w]

Bonjour.

Je ne peux pas t'apporter plus de réponses car:

_ tu n'as pas répondu aux précédentes questions, par exemple, as-tu supprimé avec HiJackThis les lignes que je t'avais indiqué?
As-tu utilisé IeDefender Removal?
Si oui, il a trouvé quelque chose?

_ depuis le temps, les données te concernant sont obsolètes.
Le mieux est donc de faire un nouveau scan HiJackThis.
Tu enregistres le log sur clé USB, disquette ou CD pour nous l'envoyer via une autre machine.
Tu en profites ensuite pour lancer tous les utilitaires d'analyse (anti-spyware, anti-adware, anti-trojan & antivirus) pour faire du ménage.

Ensuite, on avisera des outils nécessaires pour améliorer tout cela.

[LeStratege]

Voici ce que j'ai fais:
J'ai fixé les lignes HijackThis
apres cela j'ai pus me connecter
donc j'en ai profiter pour utiliser Ccleaner et IeDef (je n'ai pas dl Spybot et ad-aware)
Une fois tout cela fais et bien ... je vous écris ^^
En particulier pour dire merci !
J'ai récuperer mes recherches google et Dailymotion, je n'ai plus le message intempestif quand j'ouvre une fenêtre.
Au cas où je post le scan HijackThis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:41:42, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelWirelessBinEvtEng.exe
C:Program FilesIntelWirelessBinS24EvMon.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedCCPD-LCsymlcsvc.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:AcerEmpowering TechnologyePowerePower_DMC.exe
C:AcerEmpowering TechnologyeRecoveryMonitor.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:AcerEmpowering TechnologyeDataSecurityeDSloader.exe
C:AcerEmpowering Technologyadmtray.exe
C:Program FilesJavajre1.6.0_05injusched.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesSpyware DoctorpctsTray.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesDAEMON Toolsdaemon.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:AcerEmpowering TechnologyadmServ.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32cisvc.exe
C:WINDOWSeHomeehRecvr.exe
C:DOCUME~1stefLOCALS~1TempRtkBtMnt.exe
C:WINDOWSeHomeehSched.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32PnkBstrA.exe
C:Program FilesIntelWirelessBinRegSrvc.exe
C:Program FilesPhotodexCompuPicProScsiAccess.exe
C:Program FilesSpyware DoctorpctsAuxs.exe
C:Program FilesSpyware DoctorpctsSvc.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wdfmgr.exe
C:WINDOWSehomemcrdsvc.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:WINDOWSsystem32dllhost.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSsystem32wbemunsecapp.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32cidaemon.exe
C:WINDOWSsystem32igfxsrvc.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsstefBureauScanner.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://fr.fr.acer.yahoo.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://fr.fr.acer.yahoo.com
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://fr.fr.acer.yahoo.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_05inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.0.301.7164swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:WINDOWSsystem32eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpnyt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [ePower_DMC] C:AcerEmpowering TechnologyePowerePower_DMC.exe
O4 - HKLM..Run: [eRecoveryService] C:AcerEmpowering TechnologyeRecoveryMonitor.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [eDataSecurity Loader] C:AcerEmpowering TechnologyeDataSecurityeDSloader.exe
O4 - HKLM..Run: [AzMixerSel] C:Program FilesRealtekInstallShieldAzMixerSel.exe
O4 - HKLM..Run: [ADMTray.exe] "C:AcerEmpowering Technologyadmtray.exe"
O4 - HKLM..Run: [Acer ePower Management] C:AcerEmpowering TechnologyePowerAcer ePower Management.exe boot
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_05injusched.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [SkyTel] SkyTel.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 - HKLM..Run: [ISTray] "C:Program FilesSpyware DoctorpctsTray.exe"
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:Documents and SettingsstefMenu DémarrerProgrammesIMVURun IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:AcerEmpowering TechnologyadmServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:Program FilesIntelWirelessBinEvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:WINDOWSsystem32LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:Program FilesIntelWirelessBinRegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:Program FilesWinPcap pcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:Program FilesIntelWirelessBinS24EvMon.exe
O23 - Service: ScsiAccess - Unknown owner - C:Program FilesPhotodexCompuPicProScsiAccess.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:Program FilesSpyware DoctorpctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:Program FilesSpyware DoctorpctsSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedCCPD-LCsymlcsvc.exe

--
End of file - 9935 bytes



Dans tous les cas merci a vous tous pour votre aide !

[r@in | b0w]

Re.

Il semblerait que ton log soit clean.

Pour vérifier l'intégrité de ta machine, vas avec Internet Explorer sur BitDefender et fais un scan pour voir si des éléments sont détectés.

Ensuite, tu vas suivre le dossier Nettoyage pour faire le ménage, notamment celui avec Ccleaner (fichiers temporaires & base de registre).

Tu en profites aussi pour nettoyer les points de restauration si la Restauration automatique n'a pas été désactivée précédemment.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Tu refais la manipulation pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.

Tu finis par désinstaller tous les utilitaires de désinfection (HiJackThis, SmitFraudix & IeDefender).