Trojan Vundo

dlebrun Messages postés 18 Statut Membre -  
dlebrun Messages postés 18 Statut Membre -
Bonjour,
Ooops!
...et voila
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33, on 2009-01-01
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {68dd2bea-f08f-40b1-a4fb-99fcc500fabd} - C:\WINDOWS\system32\tilowuke.dll (file missing)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PDUiP6220DMon] C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [yebiganuzu] Rundll32.exe "C:\WINDOWS\system32\yufejonu.dll",s
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [yebiganuzu] Rundll32.exe "C:\WINDOWS\system32\yufejonu.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\kudupopu.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

--
End of file - 7130 bytes
Configuration: Windows XP
Firefox 2.0.0.18

28 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    On a du boulot,
    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! déconnecte toi, ferme toutes tes applications en cours et DÉSACTIVE TOUTES TES DÉFENSES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

    ---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

    Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :

    Double-clique sur C-Fix.exe (= combofix.exe ) .

    Appuie sur une touche pour démarrer le scan .

    Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

    Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp
    0
  2. dlebrun Messages postés 18 Statut Membre
     
    voila, c'est fait!
    ComboFix 09-01-01.01 - Utilisateur 2009-01-02 10:20:54.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1015.550 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
    * Un nouveau point de restauration a été créé
    * Resident AV is active

    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\patrice\Application Data\SCPSS5.DLL
    c:\documents and settings\Utilisateur\Application Data\SCPSS5.DLL
    c:\windows\system32\2Nlc778A.exe.a_a
    c:\windows\system32\FxO6NYxr.exe.a_a
    c:\windows\system32\PBDBC09.DLL

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-02 au 2009-01-02 ))))))))))))))))))))))))))))))))))))
    .

    2009-01-01 22:10 . 2009-01-02 10:15 <REP> d-------- c:\program files\SUPERAntiSpyware
    2009-01-01 19:10 . 2009-01-01 19:10 1,294,028 ---hs---- c:\windows\system32\iwudebez.ini
    2009-01-01 14:26 . 2009-01-01 14:26 <REP> d-------- C:\VundoFix Backups
    2009-01-01 11:02 . 2009-01-01 11:02 151 --a------ c:\windows\wininit.ini
    2009-01-01 07:08 . 2009-01-01 07:08 1,294,028 ---hs---- c:\windows\system32\iwofevav.ini
    2008-12-29 20:07 . 2007-06-26 07:00 572,557 -----c--- c:\windows\system32\dllcache\rtuner.wmv
    2008-12-29 20:06 . 2008-09-10 02:15 1,307,648 -----c--- c:\windows\system32\dllcache\msxml6.dll
    2008-12-29 20:05 . 2007-06-26 07:00 381,425 -----c--- c:\windows\system32\dllcache\copycd.wmv
    2008-12-29 19:40 . 2008-12-12 18:02 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
    2008-12-29 19:40 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
    2008-12-29 19:40 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
    2008-12-29 19:40 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
    2008-12-29 19:40 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
    2008-12-29 19:40 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
    2008-12-29 19:40 . 2008-10-16 02:01 1,499,648 -----c--- c:\windows\system32\dllcache\shdocvw.dll
    2008-12-29 19:40 . 2008-10-16 02:01 670,208 -----c--- c:\windows\system32\dllcache\wininet.dll
    2008-12-29 19:40 . 2008-10-16 02:01 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
    2008-12-29 19:40 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
    2008-12-29 19:40 . 2008-06-14 18:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
    2008-12-29 19:40 . 2008-08-14 11:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys
    2008-12-29 19:39 . 2008-04-11 20:05 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
    2008-12-29 19:39 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
    2008-12-29 19:39 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
    2008-12-29 19:39 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
    2008-12-29 17:53 . 2006-03-23 05:18 151,552 -ra------ c:\windows\system32\igfxres.dll
    2008-12-29 17:47 . 2008-04-14 03:31 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll
    2008-12-29 17:46 . 2006-03-02 13:00 1,817,687 --a--c--- c:\windows\system32\dllcache\bckgres.dll
    2008-12-29 17:44 . 2006-03-02 13:00 16,384 --a--c--- c:\windows\system32\dllcache\isignup.exe
    2008-12-29 17:44 . 2008-12-29 17:44 749 -rah----- c:\windows\WindowsShell.Manifest
    2008-12-29 17:44 . 2008-12-29 17:44 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest
    2008-12-29 17:44 . 2008-12-29 17:44 749 -rah----- c:\windows\system32\sapi.cpl.manifest
    2008-12-29 17:44 . 2008-12-29 17:44 749 -rah----- c:\windows\system32\ncpa.cpl.manifest
    2008-12-29 17:44 . 2008-12-29 17:44 488 -rah----- c:\windows\system32\logonui.exe.manifest
    2008-12-29 17:29 . 2006-03-02 13:00 1,013,912 --a--c--- c:\windows\system32\dllcache\SP2.CAT
    2008-12-29 17:29 . 2006-03-02 13:00 809,394 --a--c--- c:\windows\system32\dllcache\NT5IIS.CAT
    2008-12-29 17:29 . 2006-03-02 13:00 399,670 --a--c--- c:\windows\system32\dllcache\MAPIMIG.CAT
    2008-12-29 17:29 . 2006-03-02 13:00 37,509 --a--c--- c:\windows\system32\dllcache\MW770.CAT
    2008-12-29 17:29 . 2006-03-02 13:00 24,661 --a------ c:\windows\system32\spxcoins.dll
    2008-12-29 17:29 . 2006-03-02 13:00 24,661 --a--c--- c:\windows\system32\dllcache\spxcoins.dll
    2008-12-29 17:29 . 2006-03-02 13:00 14,573 -ra------ c:\windows\SETB2.tmp
    2008-12-29 17:29 . 2006-03-02 13:00 13,497 --a--c--- c:\windows\system32\dllcache\HPCRDP.CAT
    2008-12-29 17:29 . 2006-03-02 13:00 13,312 --a------ c:\windows\system32\irclass.dll
    2008-12-29 17:29 . 2006-03-02 13:00 13,312 --a--c--- c:\windows\system32\dllcache\irclass.dll
    2008-12-29 17:29 . 2006-03-02 13:00 8,599 --a--c--- c:\windows\system32\dllcache\IASNT4.CAT
    2008-12-29 17:29 . 2006-03-02 13:00 7,407 --a--c--- c:\windows\system32\dllcache\OEMBIOS.CAT
    2008-12-29 17:28 . 2006-03-02 13:00 1,086,058 -ra------ c:\windows\SET72.tmp
    2008-12-29 17:28 . 2006-03-02 13:00 1,013,912 -ra------ c:\windows\SET6F.tmp
    2008-12-29 17:28 . 2006-03-02 13:00 14,043 -ra------ c:\windows\SET7E.tmp
    2008-12-29 14:33 . 2006-03-02 13:00 1,086,058 -ra------ c:\windows\SETA3.tmp
    2008-12-29 14:33 . 2006-03-02 13:00 1,013,912 -ra------ c:\windows\SETA0.tmp
    2008-12-29 14:33 . 2006-03-02 13:00 14,573 -ra------ c:\windows\SETE2.tmp
    2008-12-29 14:33 . 2006-03-02 13:00 14,043 -ra------ c:\windows\SETAF.tmp
    2008-12-29 13:29 . 2008-12-29 13:29 <REP> d-------- c:\documents and settings\patrice\Application Data\Uniblue
    2008-12-29 13:24 . 2008-12-29 13:24 <REP> d-------- c:\documents and settings\Utilisateur\Application Data\Uniblue
    2008-12-26 17:20 . 2008-12-26 17:20 <REP> d-------- c:\program files\IDEA
    2008-12-25 17:00 . 2008-12-25 17:00 <REP> d-------- c:\documents and settings\patrice\Application Data\Violet
    2008-12-25 16:59 . 2008-12-25 16:59 <REP> d-------- c:\program files\mirware
    2008-12-14 18:10 . 2008-12-14 18:10 23,664 --a------ c:\documents and settings\patrice\Application Data\GDIPFONTCACHEV1.DAT
    2008-12-12 15:00 . 2008-12-12 15:00 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
    2008-12-12 14:59 . 2008-03-21 13:57 14,640 --a------ c:\windows\system32\spmsgXP_2k3.dll
    2008-12-12 14:59 . 2008-12-12 14:59 0 --ah----- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
    2008-12-11 15:52 . 2008-12-11 15:52 1,107,296 --a------ c:\windows\system32\WdfCoInstaller01007.dll
    2008-12-10 21:27 . 2008-12-10 21:27 <REP> d-------- c:\documents and settings\Utilisateur\Application Data\Babylon

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-01-02 09:15 --------- d-----w c:\documents and settings\Utilisateur\Application Data\SUPERAntiSpyware.com
    2009-01-01 13:08 --------- d-----w c:\documents and settings\Utilisateur\Application Data\utorrent
    2008-12-29 17:48 --------- d-----w c:\documents and settings\Utilisateur\Application Data\Skype
    2008-12-29 17:21 --------- d-----w c:\documents and settings\Utilisateur\Application Data\skypePM
    2008-12-23 20:31 --------- d-----w c:\program files\Spybot - Search & Destroy
    2008-12-21 08:44 --------- d-----w c:\program files\Conduit
    2008-12-20 19:39 --------- d-----w c:\program files\Fichiers communs\Apple
    2008-12-20 19:23 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-12-16 09:37 --------- d-----w c:\documents and settings\All Users\Application Data\McAfee
    2008-12-11 14:52 22,368 ----a-w c:\windows\system32\drivers\ggsemc.sys
    2008-12-11 14:52 10,976 ----a-w c:\windows\system32\drivers\ggflt.sys
    2008-12-10 09:47 --------- d-----w c:\program files\Bonjour
    2008-12-08 08:41 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2008-12-07 06:44 --------- d-----w c:\program files\TomTom HOME
    2008-11-27 14:29 --------- d-----w c:\program files\iTunes
    2008-11-27 14:29 --------- d-----w c:\program files\iPod
    2008-11-27 14:29 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
    2008-11-27 14:27 --------- d-----w c:\program files\QuickTime
    2008-11-20 22:26 --------- d-----w c:\documents and settings\patrice\Application Data\Skype
    2008-11-20 13:51 --------- d-----w c:\documents and settings\patrice\Application Data\skypePM
    2008-11-13 17:58 --------- d-----w c:\program files\Skype
    2008-11-13 17:58 --------- d-----w c:\program files\Fichiers communs\Skype
    2008-11-13 17:58 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
    2008-03-01 10:26 836 ----a-w c:\documents and settings\Utilisateur\Application Data\ViewerApp.dat
    2008-01-24 21:04 836 ----a-w c:\documents and settings\patrice\Application Data\ViewerApp.dat
    2007-12-22 11:05 19,000 ----a-w c:\documents and settings\Utilisateur\Application Data\GDIPFONTCACHEV1.DAT
    2006-11-24 20:08 774,144 ----a-w c:\program files\RngInterstitial.dll
    2008-11-21 12:29 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
    2008-11-21 12:29 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
    2008-11-21 12:29 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
    2008-11-21 12:29 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
    2008-11-21 12:29 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
    2007-01-25 16:45 10,022 --sha-w c:\windows\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NBJ"="c:\progra~1\Ahead\NEROBA~1\NBJ.exe" [2005-07-14 1961984]
    "updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "PDUiP6220DMon"="c:\program files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe" [2005-05-06 69632]
    "Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
    "ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2007-02-22 112216]
    "McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2006-12-19 136768]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
    "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2006-08-01 c:\windows\RTHDCPL.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\system32\kudupopu.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\WINDOWS\\system32\\dpvsetup.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Sony Ericsson\\Update Service\\Update Service.exe"=
    "c:\\Topaze8.1\\topwin.exe"=
    "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
    "c:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\WINDOWS\\system32\\ftp.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\WINDOWS\\system32\\taskmgr.exe"=
    "c:\\WINDOWS\\system32\\igfxpers.exe"=
    "c:\\Program Files\\McAfee\\Common Framework\\naPrdMgr.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R0 tffsport;M-Systems DiskOnChip 2000;c:\windows\system32\DRIVERS\tffsport.sys [2006-03-02 149376]
    R3 phil2vid;Appareil photo VGA USB Philips PCVC690;c:\windows\system32\DRIVERS\philcam2.sys [2006-11-25 173696]
    S3 ATMELFVNETusb(AR)(R);ATMEL FVNETusb(AR)(R) Service for ATMEL USB FastVNET (AR);c:\windows\system32\DRIVERS\vnetusbr.sys [2007-12-26 99200]
    S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2007-12-09 10976]
    .
    Contenu du dossier 'Tâches planifiées'

    2008-12-31 c:\windows\Tasks\At1.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-02 c:\windows\Tasks\At10.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-02 c:\windows\Tasks\At11.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At12.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At13.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At14.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At15.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At16.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At17.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At18.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At19.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At2.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At20.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At21.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At22.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At23.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At24.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At25.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At26.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At27.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At28.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At29.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At3.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At30.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At31.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At32.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At33.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-02 c:\windows\Tasks\At34.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-02 c:\windows\Tasks\At35.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At36.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At37.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At38.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At39.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At4.job
    - c:\windows\system32\2Nlc778A.exe []

    2008-12-31 c:\windows\Tasks\At40.job
    - c:\windows\system32\FxO6NYxr.exe []

    2008-12-31 c:\windows\Tasks\At41.job
    - c:\windows\system32\FxO6NYxr.exe []

    2008-12-31 c:\windows\Tasks\At42.job
    - c:\windows\system32\FxO6NYxr.exe []

    2008-12-31 c:\windows\Tasks\At42.job
    - ?:\ []

    2008-12-31 c:\windows\Tasks\At43.job
    - c:\windows\system32\FxO6NYxr.exe []

    2008-12-31 c:\windows\Tasks\At44.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At45.job
    - c:\windows\system32\FxO6NYxr.exe []

    2008-12-31 c:\windows\Tasks\At46.job
    - c:\windows\system32\FxO6NYxr.exe []

    2008-12-31 c:\windows\Tasks\At47.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At48.job
    - c:\windows\system32\FxO6NYxr.exe []

    2009-01-01 c:\windows\Tasks\At5.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At6.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At7.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At8.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-01 c:\windows\Tasks\At9.job
    - c:\windows\system32\2Nlc778A.exe []

    2009-01-02 c:\windows\Tasks\jnjtapud.job
    - c:\windows\system32\rundll32.exe [2008-04-14 03:34]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{68dd2bea-f08f-40b1-a4fb-99fcc500fabd} - c:\windows\system32\tilowuke.dll
    HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
    HKLM-Run-yebiganuzu - c:\windows\system32\yufejonu.dll

    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.orange.fr/
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\3ttdj41o.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FF - prefs.js: browser.startup.homepage - hxxp://webmail26.orange.fr/webmail/fr_FR/inbox.html?FromSubmit=true&dub=1
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-01-02 10:26:10
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Bonjour\mDNSResponder.exe
    c:\windows\system32\Crypserv.exe
    c:\program files\McAfee\Common Framework\FrameworkService.exe
    c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe
    c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    c:\program files\McAfee\Common Framework\naPrdMgr.exe
    c:\program files\McAfee\Common Framework\Mctray.exe
    c:\progra~1\MICROS~3\rapimgr.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\system32\wscntfy.exe
    c:\program files\McAfee\VirusScan Enterprise\mcconsol.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-01-02 10:28:32 - La machine a redémarré [Utilisateur]
    ComboFix-quarantined-files.txt 2009-01-02 09:28:16

    Avant-CF: 72,636,375,040 octets libres
    AprÞs-CF: 73,401,126,912 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

    328 --- E O F --- 2008-12-30 19:36:36
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. dlebrun Messages postés 18 Statut Membre
     
    voila le log:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:00:54, on 02/01/09
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\McAfee\Common Framework\FrameworkService.exe
    C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
    C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
    C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
    C:\Program Files\McAfee\Common Framework\UdaterUI.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\Program Files\McAfee\Common Framework\McTray.exe
    C:\PROGRA~1\MICROS~3\rapimgr.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PDUiP6220DMon] C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\WINDOWS\system32\kudupopu.dll
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
    O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
    O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    0
  5. Utilisateur anonyme
     
    1) Télécharge et installe Malwarebyte's Anti-Malware:

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
    Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.

    Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK

    Laisse les Mises à jour se télécharger
    *** Referme le programme ***

    2) Redémarre en "Mode sans échec"

    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
    Regarde ici si besoin : https://www.malekal.com/demarrer-windows-mode-sans-echec/

    Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

    3) Scan avec Malwarebyte's Anti-Malware

    Lance Malwarebyte's Anti-Malware
    Onglet "Recherche" >>> coche Executer un examem complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
    A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
    Suppression des éléments détectés >>>>
    supprime ce qu'il a trouvé vide également les éléments de la quarantaine
    S'il t'es demandé de redémarrer >>> clique sur "Yes"

    --> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.
    0
  6. elouakylya Messages postés 1 Statut Membre
     
    http://www.commentcamarche.net/faq/sujet 6862 supprimer le trojan vundo virtumonde
    0
  7. Utilisateur anonyme
     
    elouakylya,, je lui est fait faire les deux donc......
    0
  8. dlebrun Messages postés 18 Statut Membre
     
    apparemment il y en avait encore qui trainait!!

    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1596
    Windows 5.1.2600 Service Pack 3

    02/01/09 16:43:05
    mbam-log-2009-01-02 (16-43-05).txt

    Type de recherche: Examen complet (C:\|E:\|)
    Eléments examinés: 119228
    Temps écoulé: 43 minute(s), 33 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{5A8C76FD-4178-424F-B512-695238997CD9}\RP11\A0005763.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{5A8C76FD-4178-424F-B512-695238997CD9}\RP11\A0005764.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{5A8C76FD-4178-424F-B512-695238997CD9}\RP11\A0005765.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{5A8C76FD-4178-424F-B512-695238997CD9}\RP11\A0005766.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    0
  9. Utilisateur anonyme
     
    Fait démarrer, clique droit sur poste de travail, propriétés, Restauration du système, coche "désactiver la restauration su système", fait appliquer, ensuite, recoche la cas puis refait appliquer

    Après avoir fait ça, refait un hijack
    0
  10. dlebrun Messages postés 18 Statut Membre
     
    et voila!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:08:00, on 02/01/09
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
    C:\Program Files\McAfee\Common Framework\UdaterUI.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\McAfee\Common Framework\McTray.exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\PROGRA~1\MICROS~3\rapimgr.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\McAfee\Common Framework\FrameworkService.exe
    C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
    C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PDUiP6220DMon] C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\WINDOWS\system32\kudupopu.dll
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
    O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
    O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    0
  11. Utilisateur anonyme
     
    Télécharge GenProc sur ton bureau : http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
    Dézippe le dossier, double-clique sur GenProc.bat : http://forum.telecharger.01net.com/forum/­jeanchretien1-3.gif
    En final, poste le contenu du rapport qui s'affiche.
    Comment utiliser GenProc : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    0
  12. dlebrun Messages postés 18 Statut Membre
     
    ce n'est pas fini...
    Rapport GenProc 2.320 [1] - 02/01/09 - Windows XP

    # Etape 1/ Télécharge :

    - CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
    Ce logiciel va permettre de supprimer tous les fichiers temporaires.
    Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
    Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

    - SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri)
    Double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1 ; il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

    Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** Utilisateur ***

    # Etape 2/

    Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste, dans la même réponse :

    - Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
    - Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    ____________________________________________________________________________________________________________

    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    ...je suis la procédure décrite?
    0
  13. Utilisateur anonyme
     
    - Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

    - Enregistre-le sur le bureau

    - Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

    - Un rapport sera généré, poste-le dans ta prochaine réponse.

    [*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

    ** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix
    0
  14. dlebrun Messages postés 18 Statut Membre
     
    SmitFraudFix v2.388

    Rapport fait à 18:18:13.96, 02/01/09
    Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
    C:\Program Files\McAfee\Common Framework\UdaterUI.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\McAfee\Common Framework\McTray.exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\PROGRA~1\MICROS~3\rapimgr.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\McAfee\Common Framework\FrameworkService.exe
    C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
    C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    C:\WINDOWS\Tasks\At?.job PRESENT !
    C:\WINDOWS\Tasks\At??.job PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\WINDOWS\\system32\\kudupopu.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 80.10.246.2
    DNS Server Search Order: 212.94.174.95
    DNS Server Search Order: 81.253.149.9
    DNS Server Search Order: 80.10.246.132
    DNS Server Search Order: 192.168.10.254

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE03A4DA-02C3-412E-BCC5-12C62C5998CB}: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE03A4DA-02C3-412E-BCC5-12C62C5998CB}: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{AE03A4DA-02C3-412E-BCC5-12C62C5998CB}: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    je sais plus si ma session était ouverte!
    0
  15. Utilisateur anonyme
     
    * Imprimer ceci.
    * Redémarrer l'ordinateur en mode sans échec en tapotant sur F5 (ou F8). L'accès à Internet devient alors impossible.
    * Double cliquer sur Smitfraudfix.exe.
    * Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
    * A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté.
    * A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
    * Quitter le programme en appuyant sur Q.
    * Redémarrer normalement et coller sur le forum le rapport généré.
    0
  16. Utilisateur anonyme
     
    J'ai oublier de dire, prend ta session et non celle administrateur
    0
  17. dlebrun Messages postés 18 Statut Membre
     
    il ne m'a pas proposé de corriger les fichiers infectés!!
    SmitFraudFix v2.388

    Rapport fait à 18:33:59.48, 02/01/09
    Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\Tasks\At?.job supprimé
    C:\WINDOWS\Tasks\At??.job supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{AE03A4DA-02C3-412E-BCC5-12C62C5998CB}: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{AE03A4DA-02C3-412E-BCC5-12C62C5998CB}: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{AE03A4DA-02C3-412E-BCC5-12C62C5998CB}: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=80.10.246.2 212.94.174.95 81.253.149.9 80.10.246.132 192.168.10.254

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  18. Utilisateur anonyme
     
    - CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
    Ce logiciel va permettre de supprimer tous les fichiers temporaires.
    Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
    Par la suite, laisse-le avec ses réglages par défaut.
    Fait le registre + le nettoyeur et supprime tout ce qui trouve, ensuite, refait un hijack
    0
  19. dlebrun Messages postés 18 Statut Membre
     
    log du hijeack!
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:57:46, on 02/01/09
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
    C:\Program Files\McAfee\Common Framework\UdaterUI.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\McAfee\Common Framework\McTray.exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\PROGRA~1\MICROS~3\rapimgr.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\McAfee\Common Framework\FrameworkService.exe
    C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
    C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PDUiP6220DMon] C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\WINDOWS\system32\kudupopu.dll
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
    O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
    O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    0
  • 1
  • 2