| Serwab Attack.....à l'aide Marie! |    |
|
| Aller à la page : 1, 2 |
| Auteur | Message |
|---|
Marc
Nouveau
 
Age : 38
Inscrit le : 31 Déc 2006
Messages : 12
Configuration : windows XP
|  Sujet: Serwab Attack.....à l'aide Marie!  Dim 31 Déc 2006 - 13:47 | |
| Bonjour Marie,
Je viens de voir que tu avais sauvé Stephanie de serwab...c'est absolument insupportable tous ces pop-ups et fenêtres qui s'ouvrent de manière intempestive...
J'ai les mêmes messages que Stéphanie, mais n'ai rien downloadé en me doutant que c'était pipo...j'utilise norton comme antivirus...et il semble impuissant face à serwab?!
Puis-je solliciter ton aide? J'imagine que je dois suivre la même procédure que celle que tu as indiquée à Stéphanie, et te poster les rapports Blacklight et Hijackthis?
Merci
Pour info, j'ai aussi eu: C:\windows\system32\spoolsv.exe tente d'accéder à internet...que j'ai bloqué avec norton.... |
|
 | |
InfoPC
Administrateur
 
Age : 23
Inscrit le : 14 Avr 2005
Messages : 3044
Localisation : 93150 Seine Saint Denis
Configuration : Intel Core 2 Duo E6400, 2048Mo DDR2 PC6400, X1950Pro 256Mo DDR3, Vista Premium
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Dim 31 Déc 2006 - 14:57 | |
| Bonjour et bienvenue,
En effet, pour désinfecter il lui faut ces deux rapports.
 |
|
| | |
Marc
Nouveau
Age : 38
Inscrit le : 31 Déc 2006
Messages : 12
Configuration : windows XP
| | Sujet: Serwab attack: raports Blacklight et HijackThis Lun 1 Jan 2007 - 13:38 | |
| Je vous remercie de votre réactivité.
Voilà donc les 2 rapports:
Blacklight: (à noter 0 hidden found)
01/01/07 12:12:26 [Info]: BlackLight Engine 1.0.55 initialized
01/01/07 12:12:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/01/07 12:12:26 [Note]: 7019 4
01/01/07 12:12:26 [Note]: 7005 0
01/01/07 12:12:40 [Note]: 7006 0
01/01/07 12:12:40 [Note]: 7011 716
01/01/07 12:12:40 [Note]: 7026 0
01/01/07 12:12:40 [Note]: 7026 0
01/01/07 12:12:47 [Note]: FSRAW library version 1.7.1021
01/01/07 12:19:32 [Note]: 4020 12425 65536
01/01/07 12:19:32 [Note]: 4018 12425 65536
01/01/07 12:19:32 [Note]: 4013 62220
01/01/07 12:19:32 [Note]: 4020 12425 65536
01/01/07 12:19:32 [Note]: 4018 12425 65536
01/01/07 12:21:15 [Note]: 7007 0
HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 12:28:03, on 01/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\EzButton\CplBTQ00.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\system32\spooIsv.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Larousse\Petit Larousse 2002\bin\HIPL2002Popup.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Messenger\msmsgs.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spooIsv.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Petit Larousse 2002.lnk = C:\Program Files\Larousse\Petit Larousse 2002\bin\HIPL2002Popup.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167414979879
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167415324629
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
A noter le message suivant " HijackThis a rencontré un problème et doit fermer...."
Je profite de l'occasion pour vous souhaiter une excellente année 2007. |
|
| | |
Marie
Informaticien
 
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Mer 3 Jan 2007 - 2:57 | |
| Bonsoir et Bonne année 2007 à toi aussi 
Ton rapport BlackLight est vierge. Donc, à priori, il ne s'agit pas de la même infection que Stéphanie.
 Affiche les fichiers cachés: Pour afficher les fichiers cachés
Dans C:/HijackThis, renomme le programme HijackThis.exe en scanner.exe
(Le message d'erreur d'HijackThis prouve qu'il est gêné par le malware.)
Fais Ctrl+Alt+Suppr et choisis l'onglet Processus.
Recherche le processus nommé spooIsv.exe. Ne confonds pas avec Spoolsv.exe qui lui est légitime.
Clique droit sur spooIsv.exe et choisis Terminer le processus.
Double-clique sur Scanner.exe
Coche les lignes suivantes
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spooIsv.exe
Clique sur Fix Checked et confirme le message qui suit.
Avec l'explorateur Windows, recherche les fichiers/Dossiers suivants et supprime les:
C:\WINDOWS\system32\spooIsv.exe. (Avec un I majuscule)
Attention: Ne confonds pas avec spoolsv.exe qui lui est un fichier légitime de Windows.
C:\Program Files\VSAdd-in <-- Le dossier complet
Vide ensuite la corbeille.
Redémarre le PC et retire un log en double-cliquant sur Scanner.exe. Poste le dans ta prochaine réponse.
Dis moi si cette fois, il n'y a pas eu de message d'erreur.
Fais aussi un scan antivirus en ligne avec Panda.
Si tu ne sais pas comment faire, consulte ce tuto
Poste le rapport généré par Panda dans ta prochaine réponse. |
|
| | |
Marc
Nouveau
Age : 38
Inscrit le : 31 Déc 2006
Messages : 12
Configuration : windows XP
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Jeu 4 Jan 2007 - 1:04 | |
| Merci Marie
J'ai suivi tes instructions à la lettre, et voici le 1er rapport:
Scanner.exe
Logfile of HijackThis v1.99.1
Scan saved at 21:12:27, on 03/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\EzButton\CplBTQ00.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Larousse\Petit Larousse 2002\bin\HIPL2002Popup.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\scanner.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\bewavcyb.dll
O2 - BHO: support - {991EF04C-93CF-469b-A2BE-CC1B3347566F} - C:\Program Files\BHO\plugin1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FBCE75B6-015E-4BD0-94DA-926440D90CDA} - C:\WINDOWS\System32\mllji.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Petit Larousse 2002.lnk = C:\Program Files\Larousse\Petit Larousse 2002\bin\HIPL2002Popup.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167414979879
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167415324629
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: mllji - C:\WINDOWS\System32\mllji.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
et je n'ai pas eu de message d'erreur cette fois 
mais ça ne veut pas dire que je suis sauvé, comme le montre le rapport de Panda 
(2ème message car trop long sinon) |
|
| | |
Marc
Nouveau
Age : 38
Inscrit le : 31 Déc 2006
Messages : 12
Configuration : windows XP
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Jeu 4 Jan 2007 - 1:08 | |
| ....suite du 1er message, avec le rapport Panda
Incident Statut Analyse
Adware:adware/keenvalue No Désinfecté c:\program files\BHO
Outil indésirable:application/winantivirus2006 No Désinfecté c:\program files\WinAntiVirus Pro 2006
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[stats1.reliablestats.com/]
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.stats1.reliablestats.com/]
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[stats1.reliablestats.com/]
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.stats1.reliablestats.com/]
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.smartadserver.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.errorsafe.com/]
Spyware:Cookie/Adviva No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.adviva.net/]
Spyware:Cookie/SexList No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.sexlist.com/]
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.adultfriendfinder.com/]
Spyware:Cookie/cs.sexcounter No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.cs.sexcounter.com/]
Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.casalemedia.com/]
Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.stats.drivecleaner.com/]
Spyware:Cookie/did-it No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.did-it.com/]
Spyware:Cookie/Findwhat No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.findwhat.com/]
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Bfast No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.bfast.com/]
Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.ad.yieldmanager.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.overture.com/]
Spyware:Cookie/Clickbank No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.clickbank.net/]
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.systemdoctor.com/]
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.www.drivecleaner.com/]
Spyware:Cookie/Adrevolver No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.adrevolver.com/]
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.questionmarket.com/]
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Marc\Application Data\Mozilla\Firefox\Profiles\ii9q0ow2.default\cookies.txt[.drivecleaner.com/]
Spyware:Cookie/2o7 No Désinfecté ....... |
|
| | |
Marc
Nouveau
Age : 38
Inscrit le : 31 Déc 2006
Messages : 12
Configuration : windows XP
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Jeu 4 Jan 2007 - 1:09 | |
| .......suite du 2ème message (rapport Panda)
C:\Documents and Settings\Marc\Cookies\marc@2o7[2].txt
Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@ad.yieldmanager[1].txt
Spyware:Cookie/Adrevolver No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@adrevolver[2].txt
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@adtech[2].txt
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@advertising[1].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@atdmt[2].txt
Spyware:Cookie/Bfast No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@bfast[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@bluestreak[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@bs.serving-sys[1].txt
Spyware:Cookie/Clickbank No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@clickbank[2].txt
Spyware:Cookie/did-it No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@did-it[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@doubleclick[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@drivecleaner[1].txt
Spyware:Cookie/Findwhat No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@findwhat[1].txt
Spyware:Cookie/Adrevolver No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@media.adrevolver[3].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@mediaplex[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@overture[1].txt
Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@questionmarket[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@serving-sys[1].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@statcounter[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@stats.drivecleaner[2].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@stats1.reliablestats[2].txt
Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@statse.webtrendslive[2].txt
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@systemdoctor[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@tradedoubler[2].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@weborama[2].txt
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@winantivirus[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@www.drivecleaner[2].txt
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@www.systemdoctor[1].txt
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@www.winantivirus[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Marc\Cookies\marc@xiti[1].txt
Outil indésirable:Application/DriveCleaner No Désinfecté C:\Documents and Settings\Marc\Local Settings\Temporary Internet Files\Content.IE5\QZ3MU23F\installdrivecleanerstart_fr[1].exe
Outil indésirable:Application/Winantivirus2006 No Désinfecté C:\Documents and Settings\Marc\Local Settings\Temporary Internet Files\Content.IE5\ZV3YP1H7\SysProtectScannerInstall[1].exe
Quelques remarques:
le fichier spooIsv.exe portait une date de création du 28/08/2003?
le dossier VSAdd-in était (apparemment?) vide! (ce qui n'a pas empêché de le supprimer complètement comme tu l'indiquais!)
j'ai eu un peu de mal à faire tourner Panda...WinAntivirusPro2006 n'arrêtait pas de m'enquiquiner! et j'avais des pop-ups qui me disaient que l'ordinateur était infecté par Serxab...
et finalement ...comment diantre Norton peut-il me dire que tout va bien?!
Bonne lecture et merci beaucoup pour ton aide
Marc
PS que recommandes tu comme anti-spam? Spamfighter? |
|
| | |
Marie
Informaticien
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Jeu 4 Jan 2007 - 1:23 | |
| Salut Marc
| Citation: | | et finalement ...comment diantre Norton peut-il me dire que tout va bien?! |
Norton est un incorrigible optimiste! 
Désinstalle Winantivirus Pro 2006 par Ajout/Suppression de programmes.
Télécharge VundoFix.exe de Atribune sur ton Bureau.
- Double-clique sur VundoFix.exe
- Clique sur Scan for Vundo
- Quand le scan est terminé, clique sur Remove Vundo
- Une invite te demandera si tu veux supprimer les fichiers, clique YES. Les icônes du bureau vont disparaitre, c'est normal.
- Ensuite un message va te prévenir que le PC doit redémarrer; clique OK
- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
Remarque: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur Scan for Vundo".
@+ |
|
| | |
Marc
Nouveau
Age : 38
Inscrit le : 31 Déc 2006
Messages : 12
Configuration : windows XP
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Ven 5 Jan 2007 - 1:02 | |
| Bonsoir Marie
Heureusement que tu es là pour me sauver...je me sens désarmé face à cet intrus qui me pollue mon ordinateur...
Ce soir Norton est sorti de sa réserve pour m'annoncer qu'il avait courageusement (ça c'est moi qui le rajoute ) combattu le HTTP MS IIS NTLM AS1 BO...je ne sais pas trop à quoi ressemble cette bête? J'ai l'impression que mon ordinateur devient un vrai zoo...
Bref, pour en revenir à nos moutons, et à Winantivirus Pro 2006 en particulier, je n'ai pas été si surpris de ne pas le trouver dans Ajout/Suppression de programmes...c'est que la bête se cache!
Alors je suis allé voir sous C:\Program Files et il existe un répertoire Winantivirus Pro 2006. Dedans pas grand-chose, si ce n'est msvcp71.dll et msvcr71.dll....dois-je balancer ça à la poubelle et la vider avant de poursuivre avec VundoFix.exe?
Par ailleurs j'ai un drôle de dossier BHO sous Program Files? (mais apparemment pas de Winantivirus Pro 2006 dedans)
Oups, je viens de voir que la bestiole se réplique...j'ai du Winantivirus Pro 2006 sous C:\Program Files\Fichiers communs; C:\Documents and Settings\Marc\Application Data;C:\Documents and Settings\All Users\Application Data.....mais pas de fichiers .exe?!
Au secours..... |
|
| | |
Marie
Informaticien
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Ven 5 Jan 2007 - 1:06 | |
| 
Pas grave pour Winantivirus Pro.
Fais la manip avec VundoFix.
C'est Vundo qui t'affiche toutes ces pubs et permet à d'autres malwares de s'installer sur ton PC.
Donc, c'est à lui qu'il faut s'attaquer en priorité. |
|
| | |
Marc
Nouveau
Age : 38
Inscrit le : 31 Déc 2006
Messages : 12
Configuration : windows XP
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Ven 5 Jan 2007 - 9:09 | |
| Merci Marie,
J'ai l'impression que les choses vont mieux...
Vundofix.txt
VundoFix V6.2.13
Checking Java version...
Scan started at 00:10:22 05/01/2007
Listing files found while scanning....
C:\WINDOWS\System32\mllji.dll
C:\WINDOWS\System32\ijllm.ini
C:\WINDOWS\System32\ijllm.bak1
C:\WINDOWS\System32\ijllm.bak2
Beginning removal...
Attempting to delete C:\WINDOWS\System32\mllji.dll
C:\WINDOWS\System32\mllji.dll Has been deleted!
Attempting to delete C:\WINDOWS\System32\ijllm.ini
C:\WINDOWS\System32\ijllm.ini Has been deleted!
Attempting to delete C:\WINDOWS\System32\ijllm.bak1
C:\WINDOWS\System32\ijllm.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\System32\ijllm.bak2
C:\WINDOWS\System32\ijllm.bak2 Has been deleted!
Performing Repairs to the registry.
Done!
HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 08:05:33, on 05/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\EzButton\CplBTQ00.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Larousse\Petit Larousse 2002\bin\HIPL2002Popup.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\HijackThis\scanner.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\bewavcyb.dll
O2 - BHO: support - {991EF04C-93CF-469b-A2BE-CC1B3347566F} - C:\Program Files\BHO\plugin1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DC3B71C5-40D0-4C94-B8F1-D46E2BE08679} - C:\WINDOWS\System32\mllji.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\xygcqxib.dll",setvm
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Petit Larousse 2002.lnk = C:\Program Files\Larousse\Petit Larousse 2002\bin\HIPL2002Popup.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167414979879
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167415324629
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
Bonne journée
Marc |
|
| | |
Marie
Informaticien
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: Serwab Attack.....à l'aide Marie! Ven 5 Jan 2007 - 10:43 | |
| Bonjour
Relance VundoFix en double-cliquant dessus.
Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found") ou si le fichier bewavcyb.dll n'apparait pas dans les fichiers détectés, fais un clic droit dans la fenêtre blanche et clique "Add more files?"
Dans la nouvelle fenêtre qui apparait, Copie/colle ce qui est dans le cadre ci-dessous (dans la 1ère ligne) :
| Citation: | | C:\WINDOWS\SYSTEM32\bewavcyb.dll |
Clique sur le bouton "Add File(s)"
Clique sur le bouton "Close Window"
Clique à nouveau sur "Remove Vundo"
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HiJackThis dans ta prochaine réponse.
--------------------------------
En attendant la réouverture du forum Sécurité et Virus d'Informastuce vous pouvez demander de l'aide pour désinfecter votre pc sur mon forum perso http://www.vista-xp.fr/forum/aide-pour-supprimer-les-virus-analyses-hijackthis-f30.html
Inscrivez-vous puis postez votre demande d'aide.
Marie
Dernière édition par le Mar 18 Déc 2007 - 19:32, édité 1 fois |
|
| | |
| Serwab Attack.....à l'aide Marie! | |
|
