Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu]

Bonsoir,

Qui peux jeter un oeil la dessus ?

Les symptomes sont que ça rame sérieux (je pense même devoir sortir les voiles)
Je ne peux pas formater ce PC.
_______________________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 19:02:04, on 21/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimreal.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"
O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\jkhig.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\rqrss.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [SySSL] syssl.exe
O4 - HKLM\..\RunServices: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114856002722
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Program Files\Anuman Interactive\Train électrique 3D\monki.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\irp6l57s1.dll
O20 - Winlogon Notify: jkhig - C:\WINDOWS\System32\jkhig.dll
O20 - Winlogon Notify: mllif - mllif.dll (file missing)
O20 - Winlogon Notify: rqrss - C:\WINDOWS\SYSTEM32\rqrss.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\s8rs0i97e8.dll (file missing)
O20 - Winlogon Notify: tusrs - C:\WINDOWS\SYSTEM32\tusrs.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\en26l1fs1.dll (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\WINDOWS\system32\inetdns.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

Merci

Je ne suis pas sûr, mais ça, ça n'a pas l'air très bon...

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

Salut Renard et salut Ortale que je n'avais pas vu parce que j'ai mis 1h. à taper ce post.

Y'a du boulot!!! Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] Hein32

Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] Hein32

Infections multiples par Vundo, infection par Look2me et le reste même pas j'en parle.

On va se faire une petite sauvegarde des données, au cas où. Mrgreen

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message va s'afficher : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
* Lorsque Look2Me-Destroyer.exe se relance, clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan est terminé, clique sur le bouton Remove L2M
* Un message Done Scanning va apparaitre, clique OK.
* Un nouveau message va s'afficher : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

*Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

**Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.

***Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX et place-le dans le dossier C:\Windows\System32.

Fais un scan Panda et poste le rapport.

Poste un nouveau HijackThis.

@+

J'ai trouvé un outil qui a l'air plus efficace que L2MFIX. Je l'étudie de plus près et je te tiens au courant. Hello

[Edit] Plus efficace et moins dangereux. J'ai donc modifié mon précédent post pour remplacer L2MFix par Look2Me-Destroyer.

@+

Ben, je sais. Confus

C'est un PC qui fut protégé par Avast et AVG.

Bon boulot. C'est bon

J'ai accès au MSE, en cas.... Mrgreen

Renard, j'ai changé la procédure pour utiliser un outil moins dangereux que L2MFix.
@+

OK, de toute façon avant demain je ne peux rien faire.

Et puis...même pas peur, au pire, je mets le disque en esclave et je récupére ce que je peux si le nettoyage merdoie.
J'ai déjà prévenu le client.

"Nous ne sommes pas magicien..."

Et encore le log c'est après le passage de Panda et des outils traditionnels...imagines avant.

Panda à éliminé 173 virus et logiciels publicitaires avant que je ne me serve de hitjackthis pour poster ce rapport.

Citation :: C'est un PC qui fut protégé par Avast et AVG.

Ca m'étonnait que Panda ait laissé passé tout ça. Comprend pas

@+

Il est dans le rapport parce que je viens de m'en servir et de l'installer.

C'est vrai que c'est un peu discriminatoire pour le pauvre Panda qui essaye de sauver les meubles. Lol

Bonjour Marie

Ca je ne peux pas le lancer Look2Me-Destroyer.exe:

"Le composant mswinsck.ocx ou une de ses dépendances n'est pas correctement enregistré : un fichier est absent ou incorrect"

Ca commence bien, la force va être des 2 côtés. Lol

A noter que j'ai le même message d'erreur son un autre PC aussi.

Salut Renard

Citation :: ***Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX et place-le dans le dossier C:\Windows\System32.

Le lien de téléchargement se trouve dans mon 1er post. Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] Siffle

Citation :: Le lien de téléchargement se trouve dans mon 1er post.

C'est bon, c'est en train de scanner.

Rapport Panda c'est pas possible, ce PC travaille hors connexion.
Mais le scan avec Panda et un fichier de signature virale à jour est vierge.

Alors voilà le look2Me

Look2Me-Destroyer V1.0.6

Scanning for infected files.....
Scan started at 22/02/2006 10:06:09

Infected! C:\WINDOWS\system32\fp2m03f1e.dll
Infected! C:\WINDOWS\system32\en26l1fs1.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310381.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310394.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310395.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310484.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310485.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310511.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310512.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310516.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310518.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311503.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311944.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311945.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311946.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311957.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311958.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311960.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311961.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311962.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311964.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311967.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311968.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311979.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311998.dll
Infected! C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0312002.dll
Infected! C:\WINDOWS\system32\irp6l57s1.dll
Infected! C:\WINDOWS\system32\pbotowiz.dll
Infected! C:\WINDOWS\System32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310381.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310381.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310394.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310394.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310395.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310395.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310484.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310484.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310485.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP462\A0310485.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310511.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310511.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310512.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310512.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310516.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310516.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310518.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0310518.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311503.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311503.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311944.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311944.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311945.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311945.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311946.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311946.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311957.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311957.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311958.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311958.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311960.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311960.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311961.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311961.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311962.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311962.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311964.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311964.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311967.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311967.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311968.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311968.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311979.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311979.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311998.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0311998.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0312002.dll
C:\System Volume Information\_restore{689E5CA9-BC7D-4BA8-96DE-E7DA25B23129}\RP463\A0312002.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\irp6l57s1.dll
C:\WINDOWS\system32\irp6l57s1.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\pbotowiz.dll
C:\WINDOWS\system32\pbotowiz.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\System32\guard.tmp
C:\WINDOWS\System32\guard.tmp Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reinstall
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck

Restoring Windows certificates.

Replaced hosts file with default windows hosts file

Restoring SeDebugPrivilege for Administrateurs - Succeeded

Et le rapport Hitjackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:19:37, on 22/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"
O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\jkhig.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\rqrss.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [SySSL] syssl.exe
O4 - HKLM\..\RunServices: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114856002722
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Program Files\Anuman Interactive\Train électrique 3D\monki.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: jkhig - C:\WINDOWS\System32\jkhig.dll
O20 - Winlogon Notify: mllif - mllif.dll (file missing)
O20 - Winlogon Notify: rqrss - C:\WINDOWS\SYSTEM32\rqrss.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\s8rs0i97e8.dll (file missing)
O20 - Winlogon Notify: tusrs - C:\WINDOWS\SYSTEM32\tusrs.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\WINDOWS\system32\inetdns.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

Merci de ta lecture C'est bon

OK!

Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] Thumbs

Au tour des infections Vundo maintenant.

Télécharge VundoFix V4.2 de Atribune.

Double-clique sur VundoFix.exe. Tu dois obtenir cette fenêtre:

Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] VundoFix_1

Tu coches la case Run VundoFix as a task.
Clique sur OK au message qui va apparaitre.
Moins d'1 minute après, VundoFix.exe devrait redémarrer. Si ce n'est pas le cas, redémarre le PC et retente.

Si vraiment il ne redémarre pas tout seul, relance le et passe à la suite.
(Chez moi il redémarre mais 1 h. après. Confus

)

Clique sur le bouton Scan for Vundo.
Quand il a fini de scanner, clique sur le bouton Remove Vundo.
Il va te demander si tu veux supprimer les fichiers. Clique sur Yes.
Les icones du bureau vont disparaitre, c'est normal car pour supprimer les fichiers il arrête Explorer.exe.
A la fin de la suppression, il va te proposer de redémarrer l'ordi. Accepte.

Autre log HijackThis après redémarrage du PC.

C'est curieux que le rapport Panda soit vierge: Il aurait du au moins trouver la dll de Look2Me qui apparaissait dans le log HijackThis. Comprend pas

@+

C'est bon !!

Voilà le new rapport :

Logfile of HijackThis v1.99.1
Scan saved at 11:07:02, on 22/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\apvxdwin.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [SySSL] syssl.exe
O4 - HKLM\..\RunServices: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114856002722
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Program Files\Anuman Interactive\Train électrique 3D\monki.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: mllif - mllif.dll (file missing)
O20 - Winlogon Notify: rqrss - rqrss.dll (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\s8rs0i97e8.dll (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\WINDOWS\system32\inetdns.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

Et celui de Vundo :

VundoFix V4.2.26
Scan started at 10:57:53 22/02/2006

Listing files found while scanning....

C:\WINDOWS\system32\tusrs.dll
C:\WINDOWS\System32\jkhig.dll
C:\WINDOWS\System32\gihkj.ini

Attempting to delete C:\WINDOWS\system32\tusrs.dll
C:\WINDOWS\system32\tusrs.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\jkhig.dll
C:\WINDOWS\System32\jkhig.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\gihkj.ini
C:\WINDOWS\System32\gihkj.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V4.2.26
Scan started at 11:04:20 22/02/2006

Listing files found while scanning....

No infected files were found.

Merci...on continue ? Content

Parfait!

Maintenant on va s'occuper des "bricoles". Lol

Je dois analyser en profondeur le log HijackThis.
Je te préviens dès que j'ai fini. Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] Icon_biggrin

Qustion lenteur, il va mieux le PC?

@+

Oui, il est encore plus lent qu'avant, c'est nickel. C'est bon

Mheuuu, non, j'déconne!! Lol

Il a récupéré en vitesse, c'est clair.
Je peux l'explorer sans avoir le sablier ou la torche.

Renard a écrit:: Oui, il est encore plus lent qu'avant, c'est nickel.

Mheuuu, non, j'déconne!!

Tu me le fais plus ça, hein! Mrgreen

Mets le programme HijackThis.exe dans un répertoire dédié à la racine de C/ (C:/HJT par exemple) pour sauvegarder les entrèes fixées.

Relance HijackThis et coche les lignes suivantes.

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"
O4 - HKLM\..\RunServices: [SySSL] syssl.exe
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O20 - Winlogon Notify: mllif - mllif.dll (file missing)
O20 - Winlogon Notify: rqrss - rqrss.dll (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\s8rs0i97e8.dll (file missing)

Clique sur Fix Checked et valide.

Supprime les fichiers/dossiers suivants si encore présents:
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe
C:\WINDOWS\System32\syssl.exe
C:\WINDOWS\System32\mllif.dll (ne devrait plus être présent)
C:\WINDOWS\System32\rqrss.dll (ne devrait plus être présent)
C:\WINDOWS\System32\s8rs0i97e8.dll (ne devrait plus être présent).

Vide la corbeille.

Passe un coup de Cleanup pour nettoyer complètement les fichiers temporaires. http://downloads.stevengould.org/cleanup/CleanUp40.exe

Redémarre le PC.

Cherche le fichier ms32sgss.exe en précisant bien dans les options de recherche de chercher dans les fichiers cachés et dans les sous répertoires.
Si tu le trouves, par clic droit Propriété, donne moi tous les renseignements que tu as.
Ce fichier est fortement suspect mais je n'ai trouvé aucun renseignement dessus.

De même pour les services
HAL Security Control (HALSC) dont l'executable est C:\WINDOWS\system32\hal.exe
et
inetdns (InetDns) (inetdns) dont l'executable est C:\WINDOWS\system32\inetdns.exe

Recherche ces 2 .EXE et donne moi les informations que tu as dessus.

Poste un nouveau log HijackThis.

@+

Les deux .exe en 023 n'existent pas.

Logfile of HijackThis v1.99.1
Scan saved at 17:06:45, on 22/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114856002722
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Program Files\Anuman Interactive\Train électrique 3D\monki.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: HAL Security Control (HALSC) - Unknown owner - C:\WINDOWS\system32\hal.exe (file missing)
O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\WINDOWS\system32\inetdns.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

Le PC répond super bien maintenant.

Et celui là? ms32sgss.exe, tu as des infos dessus?
Si tu le trouve metts le sur une disquette ou clé USB et fais le analyser chez Joti

Puisque les exe n'existent pas, on va virer les services:
Par services.msc, arrête les 2 services et mets les en démarrage désactivés.
Relance HijackThis.
Clique sur None of the above Just start The Program. Clique sur le bouton Config puis sur le bouton Misc Tools. Ensuite choisis Delete a NT Service.
Dans le champ tu copies exactement le nom suivant:
HAL Security Control (HALSC) puis OK.

Recommence pour le service inetdns (InetDns) (inetdns)

Je regrde ton log en détail mais je vois déjà que la ligne F2 n'est pas partie. Pas content

Tu l'as trouvé et effacé le fichier C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe

@+

ms32sgss.exe

Il n'existe pas non plus.

Et la ligne F2, tu l'as bien cochée tout à l'heure? Tu as bien supprimé le fichier Ibm00019.exe?

C'est le troyen IBM.

Mets HijackThis.exe dans un répertoire qui lui est propre: Dans Program files, je ne sais pas s'il fait une sauvegarde.

Après avoir supprimé les 2 services précédents, relance HijackThis et coche les lignes suivantes:

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe"
O4 - HKLM\..\RunServices: [Microsoft SDKb] ms32sgss.exe
O4 - HKCU\..\Run: [Microsoft SDKb] ms32sgss.exe

Clique sur Fix Checked et confirme.

Supprime ensuite le fichier C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00019.exe. Et regarde dans le répertoire Web Folders s'il n'y a pas d'autres ibm000**.exe. Si c'est le cas, supprime les aussi.

Redémarre le PC et poste un nouveau log HijackThis.

@+

Je ne peux pas fixer la ligne F2.

Si je vire manuellement windows cherche le fichier au démarrage et cela provoque un message d'erreur.

» rapport panda highjack (javaro32.dll)
» rapport 2 panda et highjack
» Rapport du 27/09/2005 sur les virus et les intrusions