Forum Clubic

Possible virus ou autre connerie dans le genre

salut à vous, depuis peu j’ai des pages mozilla qui ne s’ouvrent sans que je ne demande rien; et j’aimerai que vous jetiez un coup d’oeil au log hiijackthis si vous voulez bien.
le voici :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:25:14, on 12/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\OLITEC\Common\Olitec.exe
F:\Program Files\GrabIt\GrabIt.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\nabil\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [SkyTel] SkyTel.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe
O4 - HKLM…\Run: [BDAgent] “C:\Program Files\Softwin\BitDefender10\bdagent.exe”
O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKCU…\Run: [speedfan] C:\Program Files\SpeedFan\speedfan.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: OLITEC Wireless Utility.lnk = C:\Program Files\OLITEC\Common\Olitec.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - messenger.zone.msn.com…
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe


End of file - 6693 bytes

merci bien.

ça arrive quand je suis sur internet, c’est des fenetres du genre que j’ai soi disant un virus; et il m’est proposé de faire un scan en ligne. sinon des invitations à des voyages, la plupart du temps j’ai ça quand je suis sur le site de l’équipe.

Salut ,

Quitte BitD en barre de tâches .

passe SmitfraudFix , option 2 et poste ensuite le rapport créé :
siri.urz.free.fr…

Redémarre le pc .

Passe BlacklLight de F-Secure et poste également le rapport créé :
www.f-secure.com…
Edité le 13/08/2007 à 01:49

ok je vais le faire merci.

voilà les rapports que j’ai fait avec les programmes indiqués:

SmitFraudFix v2.212

Rapport fait à 12:31:16,53, 16/08/2007
Executé à partir de C:\Documents and Settings\nabil\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Olitec Wireless Card - Miniport d’ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip…{19C703D3-2A71-4B9B-BC86-7BF88010C422}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip…{19C703D3-2A71-4B9B-BC86-7BF88010C422}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip…{19C703D3-2A71-4B9B-BC86-7BF88010C422}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“System”=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

08/16/07 12:37:02 [Info]: BlackLight Engine 1.0.64 initialized
08/16/07 12:37:02 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/16/07 12:37:02 [Note]: 7019 4
08/16/07 12:37:02 [Note]: 7005 0
08/16/07 12:37:07 [Note]: 7006 0
08/16/07 12:37:07 [Note]: 7011 1700
08/16/07 12:37:07 [Note]: 7026 0
08/16/07 12:37:07 [Note]: 7026 0
08/16/07 12:37:07 [Note]: 7024 3
08/16/07 12:37:07 [Info]: Hidden process: C:\windows\system32\yrnveleg.exe
08/16/07 12:37:10 [Note]: FSRAW library version 1.7.1022
08/16/07 12:37:50 [Info]: Hidden file: c:\WINDOWS\system32\yrnveleg.dat
08/16/07 12:37:50 [Note]: 10002 1
08/16/07 12:37:50 [Info]: Hidden file: C:\windows\system32\yrnveleg.exe
08/16/07 12:37:51 [Note]: 10002 1
08/16/07 12:37:51 [Info]: Hidden file: c:\WINDOWS\system32\yrnveleg_nav.dat
08/16/07 12:37:51 [Note]: 10002 1
08/16/07 12:37:51 [Info]: Hidden file: c:\WINDOWS\system32\yrnveleg_navps.dat
08/16/07 12:37:51 [Note]: 10002 1
08/16/07 12:38:11 [Note]: 2000 1012
08/16/07 12:38:27 [Note]: 7007 0

Télécharge Avenger :
snooky730.free.fr…

Clique sur ok , puis sélectionne " Input script manually "
Clique sur la loupe.
Copie/colle ce texte :

files to delete:
C:\windows\system32\yrnveleg.exe
c:\WINDOWS\system32\yrnveleg.dat
C:\windows\system32\yrnveleg.exe
c:\WINDOWS\system32\yrnveleg_nav.dat
c:\WINDOWS\system32\yrnveleg_navps.dat

Clique sur “Done”
Clique sur le " Feu vert"
Puis ok … ok … reboot …

Un log est créé , il devrait dire que les fichiers ont bien été supprimés.

Relance BlackLight et poste le nouveau rapport.

et bien voila le rapport d’avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\odhigmrw


Script file located at: ??\C:\WINDOWS\hsjdmcnv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger


Beginning to process script file:

File C:\windows\system32\yrnveleg.exe not found!
Deletion of file C:\windows\system32\yrnveleg.exe failed!

Could not process line:
C:\windows\system32\yrnveleg.exe
Status: 0xc0000034

File c:\WINDOWS\system32\yrnveleg.dat not found!
Deletion of file c:\WINDOWS\system32\yrnveleg.dat failed!

Could not process line:
c:\WINDOWS\system32\yrnveleg.dat
Status: 0xc0000034

File C:\windows\system32\yrnveleg.exe not found!
Deletion of file C:\windows\system32\yrnveleg.exe failed!

Could not process line:
C:\windows\system32\yrnveleg.exe
Status: 0xc0000034

File c:\WINDOWS\system32\yrnveleg_nav.dat not found!
Deletion of file c:\WINDOWS\system32\yrnveleg_nav.dat failed!

Could not process line:
c:\WINDOWS\system32\yrnveleg_nav.dat
Status: 0xc0000034

File c:\WINDOWS\system32\yrnveleg_navps.dat not found!
Deletion of file c:\WINDOWS\system32\yrnveleg_navps.dat failed!

Could not process line:
c:\WINDOWS\system32\yrnveleg_navps.dat
Status: 0xc0000034

Completed script processing.


Finished! Terminate.

et celui de black light

08/16/07 18:26:26 [Info]: BlackLight Engine 1.0.64 initialized
08/16/07 18:26:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/16/07 18:26:27 [Note]: 7019 4
08/16/07 18:26:27 [Note]: 7005 0
08/16/07 18:26:28 [Note]: 7006 0
08/16/07 18:26:28 [Note]: 7011 1504
08/16/07 18:26:28 [Note]: 7026 0
08/16/07 18:26:29 [Note]: 7026 0
08/16/07 18:26:30 [Note]: FSRAW library version 1.7.1022
08/16/07 18:27:41 [Note]: 2000 1012
08/16/07 18:27:49 [Note]: 7007 0

je crois que ça a l’air bon.

Oui :slight_smile:

Tu nous diras si tu as encore des pages web qui s’ouvrent toutes seules …

++

merci à vous de votre aide; aucun pop up à signaler pour l’instant.
au revoir