Antispyware 2009 - pb pr lancer maleware Fermé

Question

Bonjour,

Je me suis fait infecter par Antispyware 2009. Du coup, Antivir ne se lance plus au démarrage de Windows. J'ai tenté de regarder les sujets déjà existants à propos de cette infection mais je ne peux suivre les étapes: j'ai lancé Highjackthis mais Anti-Maleware refuse de se lancer que ce soit en mode normal ou en mode sans échec. C'est une véritable infection: certains liens google ne sont même pas cliquables et m'emmènent vers des pages de publicité. J'ai dû copier les liens afin de me rendre sur ce forum.

Désolée de vous importuner mais voilà: j'ai besoin d'aide. Je vous remercie d'avance.


Voici mon rapport HighjackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:55, on 02/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\TEMP\winlognn.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\EasyBox\EasyBox.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\TEMP\CAE2.tmp
C:\Program Files\EasyBox\Apache\Apache.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\EasyBox\VLC\VLC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\DOCUME~1\hynmaine\LOCALS~1\Temp\csrssc.exe
F:\Temp\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\makehm.exe,
O2 - BHO: C:\WINDOWS\system32\hgdfhsiueme.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hgdfhsiueme.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [jsf8uiw3jnjgffght] C:\WINDOWS\TEMP\winlognn.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LanceurEasyBox] "C:\Program Files\EasyBox\EasyBox.exe" -AutoStart
O4 - HKCU\..\Run: [MS AntiSpyware 2009] "C:\Documents and Settings\All Users.WINDOWS\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe" /autorun
O4 - HKCU\..\Run: [jsf8uiw3jnjgffght] C:\WINDOWS\TEMP\winlognn.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\hynmaine\LOCALS~1\Temp\csrssc.exe
O4 - HKUS\S-1-5-19\..\Run: [dihejafuho] Rundll32.exe "C:\WINDOWS\system32\subapade.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [dihejafuho] Rundll32.exe "C:\WINDOWS\system32\subapade.dll",s (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [plenkiyv.exe] C:\WINDOWS\plenkiyv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: c:\windows\ 
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hgdfhsiueme.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EasyBoxApache - Apache Software Foundation - C:\Program Files\EasyBox\Apache\Apache.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

V-X · Answer

Salut,

Tu es bien infecter.

Commence par sa:

&#x25B6 Installe - Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31)

&#x25B6 Option:1 => Recherche:

&#x25B6  Double cliquer sur SmitfraudFix.exe
    
&#x25B6 Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

&#x25B6 un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

système 

&#x25B6 C:\rapport.txt et colle le rapport génèrer sur le forum.

&#x25B6 Ne pas faire l'option 2 sans un avis d'une personne compétente*<=


Tutoriel Smitfraudix

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

sugaryin · Answer

Bonjour,

Je vous remercie pour votre intervention.

J'ai un problème lorsque je lance SmitFraudFix, le débogueur de Visual Studio 2005 se lance et je ne peux donc pas installer le programme. Que faire?

V-X · Answer

Re,

Désinstalle le et tu le remettra en fin de désinfection.

Désactive également l'antivirus le temps de le télécharger.

merci

sugaryin · Answer

Voilà, il m'est impossible de désinstaller Visual Studio. je reviens quand j'ai du neuf avec cette histoire. Encore désoler pour le dérangement.

V-X · Answer

Re,

&#x25B6 Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

&#x25B6 Mets le à jour

&#x25B6 Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.

&#x25B6 Sélectionne Exécuter un examen complet si ce n'est pas déjà fait

&#x25B6 clique sur Rechercher

&#x25B6 Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

&#x25B6 Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

&#x25B6 Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

&#x25B6 Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune. 


Tutoriel pour MalwareByte's

sugaryin · Answer

En fait, Anti-Maleware est déjà installé. Je ne peux l'exécuter, il ne se passe rien lorsque je double-clique. Sinon, le lien vers Anti-Maleware est mort du moins chez moi. Et lorsque je veux installer SmitFraudFix, celui-ci est intercepté par le débogueur de Visual Studio que je ne parviens pas à désinstaller :(.

V-X · Answer

Re,

Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

--->Je te conseil d'installer la console de récupération.(Voir le tutoriel).

Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp 

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

sugaryin · Answer

Bonjour,

Tout d'abord, je vous remercie de votre patience.

Je n'ai pu lancer Combofix que ce matin. J'ai bien installé la console de récupération, j'ai bien déconnecté Internet mais au dernier redémarrage pendant lequel Combofix génère le rapport, un logiciel s'est lancé au démarrage: EasyBox. Du coup, je n'ai pas de rapport. Dois-je lancer à nouveau Combofix pour générer un rapport?

Merci encore.

V-X · Answer

Re,

Le rapport ce trouve à la racine de ton disque dur : C:\Combofix.txt

sugaryin · Answer

Rien n'a été généré, pas de fichier Combofix.txt dans le C:\

V-X · Answer

Re,

Tu peut le désactiver et ou le désinstaller le temps de la manip.

Relance combofix.


merci

sugaryin · Answer

Bonjour Voici le rapport Combofix. Merci encore pour votre patience. ComboFix 09-02-01.01 - hynmaine 2009-02-03 11:56:09.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.230 [GMT 1:00] Lancé depuis: c:\documents and settings\hynmaine\Bureau\sugaryin.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\services.exe . ---- Exécution préalable ------- . c:\documents and settings\All Users.WINDOWS\Application Data\CrucialSoft Ltd c:\documents and settings\All Users.WINDOWS\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090202142722015.log c:\documents and settings\All Users.WINDOWS\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090202142845109.log c:\documents and settings\All Users.WINDOWS\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe c:\windows\kernel32.exe c:\windows\services.exe c:\windows\system32.exe c:\windows\system32\3.tmp c:\windows\system32\4.tmp c:\windows\system32\404Fix.exe c:\windows\system32\9.tmp c:\windows\system32\actcontroller.exe c:\windows\system32\crypts.dll c:\windows\system32\drivers\protect.sys c:\windows\system32\drivers\TDSSpedj.sys c:\windows\system32\dumphive.exe c:\windows\system32\E.tmp c:\windows\system32\idaw64.exe c:\windows\system32\IEDFix.C.exe c:\windows\system32\IEDFix.exe c:\windows\system32\o4Patch.exe c:\windows\system32\Process.exe c:\windows\system32\SrchSTS.exe c:\windows\system32\TDSShqjx.dll c:\windows\system32\TDSSifun.dll c:\windows\system32\TDSSkbsp.dll c:\windows\system32\TDSSnmxh.log c:\windows\system32\TDSSnxmc.dll c:\windows\system32\TDSSpeql.log c:\windows\system32\TDSSursq.dll c:\windows\system32\TDSSusml.dat c:\windows\system32\TDSSvhhc.dll c:\windows\system32\TDSSxhov.log c:\windows\system32\tmp.reg c:\windows\system32\tuhinibo.dll c:\windows\system32\uwedidam.ini c:\windows\system32\VACFix.exe c:\windows\system32\VCCLSID.exe c:\windows\system32\windres.exe c:\windows\system32\WS2Fix.exe [COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!!/COLOR [COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infecté!!/COLOR [COLOR=RED] c:\windows\explorer.exe . . . est infecté!!/COLOR . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_TDSSserv.sys -------\Legacy_TDSSserv.sys -------\Legacy_PROTECT -------\Service_protect ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-03 au 2009-02-03 )))))))))))))))))))))))))))))))))))) . 2009-02-03 11:46 . 2009-02-03 11:46 66,560 ---h----- c:\windows\system32\secupdat.dat 2009-02-03 11:46 . 2009-02-03 11:46 53,248 --a------ c:\windows\system32\drivers\ndisio.sys 2009-02-03 11:46 . 2009-02-03 11:46 32,768 --ah----- c:\documents and settings\hynmaine\irwkj.exe 2009-02-03 11:39 . 2009-02-03 11:39 124 --a------ c:\windows\adobe.bat 2009-02-03 11:39 . 2009-02-03 11:39 0 --a------ c:\windows\_id.dat 2009-02-02 23:58 . 2009-02-02 23:58 3,584 --a------ c:\windows\bnadkndf.exe 2009-02-02 21:26 . 2009-02-02 21:26 0 --a------ c:\windows\system32\2D.tmp 2009-02-02 20:44 . 2009-02-02 20:44 3,584 --a------ c:\windows\xllvcamt.exe 2009-02-02 17:34 . 2009-02-02 17:34 0 --a------ c:\windows\system32\2C.tmp 2009-02-02 17:03 . 2009-02-02 17:03 64,512 --a------ c:\windows\system32\pdbcopy.exe 2009-02-02 16:58 . 2009-02-02 16:58 3,584 --a------ c:\windows\vxxmxnwt.exe 2009-02-02 15:59 . 2009-02-02 15:59 64,512 --a------ c:\windows\system32\deviceemulator.exe 2009-02-02 15:27 . 2009-02-02 15:27 64,512 --a------ c:\windows\system32\makehm.exe 2009-02-02 15:23 . 2009-02-02 15:23 3,584 --a------ c:\windows\plenkiyv.exe 2009-02-02 14:55 . 2009-02-02 14:55 0 --a------ c:\windows\system32\F1.tmp 2009-02-02 14:45 . 2004-08-05 13:00 221,184 --a------ c:\windows\system32\wmpns.dll 2009-02-02 14:45 . 2009-02-02 14:45 15,000 --a------ c:\windows\system32\hgdfhsiueme.dll 2009-02-02 14:45 . 2009-02-02 14:45 552 --a------ c:\windows\system32\d3d8caps.dat 2009-02-02 14:33 . 2009-02-02 23:58 137,152 --a------ c:\windows\system32\drivers\ethhjmaj.sys 2009-02-02 14:33 . 2009-02-02 14:33 3,584 --a------ c:\windows\dcavwjxp.exe 2009-02-02 14:29 . 2009-02-02 14:33 163,524 --a------ c:\windows\system32\D9.tmp 2009-01-23 18:35 . 2009-01-23 18:35 d-------- c:\program files\Opera 2009-01-04 20:13 . 2009-01-19 11:41 d-------- c:\program files\eMule . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-02 18:04 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2009-02-02 15:29 --------- d-----w c:\program files\Microsoft SQL Server 2009-02-02 15:28 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help 2009-02-02 15:27 --------- d-----w c:\program files\Microsoft Visual Studio 8 2009-02-02 15:24 --------- d-----w c:\program files\Microsoft.NET 2009-01-28 10:31 --------- d-----w c:\documents and settings\hynmaine\Application Data\FileZilla 2009-01-27 19:29 --------- d-----w c:\documents and settings\hynmaine\Application Data\uTorrent 2009-01-01 23:34 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy 2009-01-01 23:33 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-12-28 23:16 --------- d-----w c:\documents and settings\hynmaine\Application Data\dvdcss 2008-12-15 14:04 --------- d-----w c:\program files\Notepad++ 2008-12-13 13:23 49,152 ----a-w c:\documents and settings\hynmaine\Application Data\upd.exe 2008-12-11 22:54 --------- d-----w c:\program files\Visual CertExam Suite 2008-12-11 10:40 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-11 10:40 --------- d-----w c:\program files\Fichiers communs\InstallShield 2008-12-03 18:54 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-03 18:54 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL . ------- Sigcheck ------- 2007-06-13 14:22 1054720 9a0d580cf6307e23f742acc0d2271281 c:\windows\explorer.exe 2007-06-13 14:10 1054720 fc92de65c53bdc9c5cb433d00d536a69 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-05 13:00 1053696 757268b94390705b08a298fda3cd38ec c:\windows\$NtUninstallKB938828$\explorer.exe 2008-04-14 03:34 1055232 3a56e90f12ba59c7dd1f36775c4b115e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe 2007-06-13 14:22 1054720 8d12cb07b5df0ea1550d8be84b538be3 c:\windows\system32\dllcache\explorer.exe 2008-04-14 03:33 32768 19ff54ade8616f1471f6001268b4442f c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe 2004-08-05 13:00 32768 987354167f09295abd6d1724ef883541 c:\windows\system32\ctfmon.exe 2004-08-05 13:00 32768 10d0020456ab2371ac0901e84d7aac19 c:\windows\system32\dllcache\ctfmon.exe 2005-06-11 01:17 75264 3ba7e271107dbe795b7759faa44b2a38 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe 2004-08-05 13:00 75264 f7e948c3c285c3cc0e9f900719d51727 c:\windows\$NtUninstallKB896423$\spoolsv.exe 2008-04-14 03:34 75264 9d0997b79ab5fddb8033ce8d24b7adb8 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\spoolsv.exe 2005-06-11 00:53 75264 43b4d64240a5d4cc4d9438e0b96f4580 c:\windows\system32\spoolsv.exe 2005-06-11 00:53 75264 56e11d1512a722d85d8b9851da428bb7 c:\windows\system32\dllcache\spoolsv.exe 2008-04-14 03:34 44032 f9591c4b9231476b123507c4dad038f8 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe 2004-08-05 13:00 42496 10b2861ec6721879f70a1ec1ef9b27de c:\windows\system32\userinit.exe 2004-08-05 13:00 42496 f6364a8d009974fe833bdbc4c85c4528 c:\windows\system32\dllcache\userinit.exe . ((((((((((((((((((((((((((((( snapshot@2009-02-03_11.30.13.50 ))))))))))))))))))))))))))))))))))))))))) . - 2006-10-12 11:09:53 256,512 ----a-w c:\windows\msagent\agentsvr.exe + 2006-10-12 11:09:53 273,920 ----a-w c:\windows\msagent\agentsvr.exe - 2008-06-10 00:31:06 103,936 ----a-w c:\windows\system32\logagent.exe + 2008-06-10 00:31:06 121,344 ----a-w c:\windows\system32\logagent.exe - 2004-08-05 12:00:00 42,496 ----a-w c:\windows\system32\net.exe + 2004-08-05 12:00:00 59,904 ----a-w c:\windows\system32\net.exe - 2005-05-11 02:30:03 78,336 ----a-w c:\windows\system32\telnet.exe + 2005-05-11 02:30:03 95,744 ----a-w c:\windows\system32\telnet.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 32768] "jsf8uiw3jnjgffght"="c:\windows\TEMP\winlognn.exe" [BU] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 229432] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 176128] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-23 3756032] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-04-23 46080] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-12-11 307200] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-12-11 267048] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-20 185896] "PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-08 239616] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 286977] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "Cmaudio"="cmicnfg.cpl" [BU] "nwiz"="nwiz.exe" [2004-04-23 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "services"="7EACF5F5BB7CEDEBB521EDFBE22EB1D3ADE8ECE0F325F4D3B060FFF22CFDE2E3ADD3B0ECFBEDE8F525C9ACBFC2E9ECACF1E3EBE06E25EDE76F3F02E9A5EDFCEA2BFDFCFE60E7E8F3A9E733ACF5F1E8E2212E2EE6ED32256FE1FC3F2A2EFDEDE3EEE93B7273E0FDABA70E302AE9E7E8AC2A2EF1B4ECEB3F35E6A5EDE52A39E6A7A8A3F13A4AB4AA34E2BF‘=" [X] "PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1654784] "dcavwjxp.exe"="c:\windows\dcavwjxp.exe" [2009-02-02 3584] "jsf8uiw3jnjgffght"="c:\windows\TEMP\winlognn.exe" [BU] "plenkiyv.exe"="c:\windows\plenkiyv.exe" [2009-02-02 3584] "vxxmxnwt.exe"="c:\windows\vxxmxnwt.exe" [2009-02-02 3584] "xllvcamt.exe"="c:\windows\xllvcamt.exe" [2009-02-02 3584] [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "services"="7EACF5F5BB7CEDEBB521EDFBE22EB1D3ADE8ECE0F325F4D3B060FFF22CFDE2E3ADD3B0ECFBEDE8F525C9ACBFC2E9ECACF1E3EBE06E25EDE76F3F02E9A5EDFCEA2BFDFCFE60E7E8F3A9E733ACF5F1E8E2212E2EE6ED32256FE1FC3F2A2EFDEDE3EEE93B7273E0FDABA70E302AE9E7E8AC2A2EF1B4ECEB3F35E6A5EDE52A39E6A7A8A3F13A4AB4AA34E2BF‘=" [X] [HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run] "services"="7EACF5F5BB7CEDEBB521EDFBE22EB1D3ADE8ECE0F325F4D3B060FFF22CFDE2E3ADD3B0ECFBEDE8F525C9ACBFC2E9ECACF1E3EBE06E25EDE76F3F02E9A5EDFCEA2BFDFCFE60E7E8F3A9E733ACF5F1E8E2212E2EE6ED32256FE1FC3F2A2EFDEDE3EEE93B7273E0FDABA70E302AE9E7E8AC2A2EF1B4ECEB3F35E6A5EDE52A39E6A7A8A3F13A4AB4AA34E2BF‘=" [X] c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-23 131072] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\explorer.exe," [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\[u]0/uOODBS [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= "c:\Program Files\BitTornado\btdownloadgui.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Mozilla Firefox\firefox.exe"= "c:\Program Files\VideoLAN\VLC\vlc.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\Program Files\Notepad++\notepad++.exe"= "c:\Program Files\Macromedia\Dreamweaver 8\Dreamweaver.exe"= "c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"= "c:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"= "c:\Program Files\MSN Messenger\usnsvc.exe"= "c:\Program Files\eMule\emule.exe"= S1 ethhjmaj;ethhjmaj;c:\windows\system32\drivers\ethhjmaj.sys [2009-02-02 137152] S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [2008-10-20 21344] S4 msvsmon80;Débogueur distant Visual Studio 2005;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2005-09-23 2799808] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ff17242-9c74-11dd-bf1b-000b6a597d34}] \Shell\AutoRun\command - 2u.com \Shell\explore\Command - 2u.com \Shell\open\Command - 2u.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80800df2-d712-11dc-be14-0007cb0000ff}] \Shell\AutoRun\command - abk.bat \Shell\explore\Command - abk.bat \Shell\open\Command - abk.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9bf1b8d-b7eb-11dc-bdd7-0007cb0000ff}] \Shell\AutoRun\command - RavMon.exe \Shell\explore\Command - RavMon.exe -e \Shell\open\Command - RavMon.exe . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-LanceurEasyBox - c:\program files\EasyBox\EasyBox.exe . ------- Examen supplémentaire ------- . uInternet Connection Wizard,ShellNext = iexplore IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\hynmaine\Application Data\Mozilla\Firefox\Profiles\1nn2vxh1.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-03 11:58:48 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwOpenFile Recherche de processus cachés ... ? [38144] Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{2efa0970-dde7-4161-89fb-a2b72386ef19}] @Denied: (Full) (Everyone) "Model"=dword:00000074 "Therad"=dword:0000001e "MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26, 38,95,44,85,b1,12,f9,90,dd,23,a1,49,8c,bf,1a,9d,fe,41,71,cb,3f,46,a4,7c,ab,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}] @Denied: (Full) (Everyone) "scansk"=hex(0):da,e8,5f,47,1f,19,85,0a,6f,75,ef,aa,4a,82,fa,82,23,97,51,bf,7b, 67,99,00,a5,fb,32,19,be,17,59,dd,5f,ec,7b,42,57,ae,b3,67,00,00,00,00,00,00,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System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eure de fin: 2009-02-03 12:00:40 ComboFix-quarantined-files.txt 2009-02-03 11:00:17 Avant-CF: 8,761,221,120 octets libres Après-CF: 8,750,604,288 octets libres 254 --- E O F --- 2008-12-18 12:01:30

V-X · Answer

Re,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
SDFix (créé par AndyManchesta)

ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.

ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe?thread

ou http://sdfix.net/SDFix.exe

--> Double-cliques sur SDFix.exe et choisis "Install" . 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur

• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis. pour lancer le script.

• Appuie sur une touche pour commencer le processus de nettoyage.

• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

• Appuie sur Y pour commencer le processus de nettoyage. 

• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.


• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

•NOTE:Si SDFix ne se lance pas
Clique sur=> Démarrer => Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok.

Redémarre et essaie de relance SDFix.

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

sugaryin · Answer

Bonjour,

Encore merci pour votre aide.

Voici le rapport de SDFix:


[b]SDFix: Version 1.240 [/b]
Run by hynmaine on 03/02/2009 at 13:54

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\mupadmvhnjyoqkmo.exe - Deleted
C:\WINDOWS\system32\2C.tmp - Deleted
C:\WINDOWS\system32\2D.tmp - Deleted
C:\WINDOWS\services.exe - Deleted
C:\WINDOWS\system32\pdbcopy.exe  - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-03 14:06:46
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:97,0e,0e,9e,2c,f0,06,e3,16,c5,61,bd,ea,62,32,81,6c,27,cd,1a,9a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,f1,5c,4b,ea,ee,15,f3,ff,c1,0b,b8,35,2f,66,aa,ae,57,..
"khjeh"=hex:fd,ab,89,1a,b4,01,a1,54,af,3d,e3,58,db,19,cd,2b,6e,47,be,3a,4e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:91,11,13,29,b3,1d,af,44,28,b7,c6,d8,c3,ec,01,11,88,d7,41,8b,b1,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:97,0e,0e,9e,2c,f0,06,e3,16,c5,61,bd,ea,62,32,81,6c,27,cd,1a,9a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,f1,5c,4b,ea,ee,15,f3,ff,c1,0b,b8,35,2f,66,aa,ae,57,..
"khjeh"=hex:fd,ab,89,1a,b4,01,a1,54,af,3d,e3,58,db,19,cd,2b,6e,47,be,3a,4e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:91,11,13,29,b3,1d,af,44,28,b7,c6,d8,c3,ec,01,11,88,d7,41,8b,b1,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="039F3D2B67CF7A627596BD98F358E9BD8E59A7BD8F54A60C4330A965CD3CBB581358E70D786F4BE0A49C34BE7C74DA6003BACD44E5081721D41F3F99E6FE366337EA3F45F6F4E50D9B4D2A687751CC343E2E89B7739093EDA323A5AEE8EB05F62EBA339EA0C3C1A7C192828D1A6677B472414C5F0A1BB449CA8F02D5DC84C2689C81BAD8D7D2189F61292418C2415690B3D60EF11E685740C70DFB357160C93F06CB4EA726ACE61CAA23796A7001282979A54B9EC84F9A90FA17BFE6F829BEB7D679EC313571F0F53267F0D6C6DAEF9620B88305C6B7E4AEA9FB80F7689D83C3DCC11791D255BC3A6C2FFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933BA7FD869164D6794C038D530D6EB34528EDD5E5BE2F6E667C6C85F99A9C7972AAB8D3A5F5D9EDBC75B827294B6F0ED02B3502F61DFD358612AF7DA3BF69351F467E37A4B3AA5616F873E1BBAC86F92875923CB3B6FD731BB389A28698BB0A4CD73627081F2684DA5421038D7F60D7576CA7A1EB17122DA343A74155E63C837DF69DC442E252C6C1F95F9E92E214D32A424A2DCBB2614D5E67B419462413693ACE69BBF8FB4E7F460116DF30FEBE3C1BC85DCE7E090BF88C4CCAFBA532A0B29880ED7D07846CB7CC247D43D65BB3F083F935FBDC07B6C3B1005DE42A4E58A481D83410C52C3387FF4CD0C53ABBE7AC67C7451840AEF959DE0F9E70ADB812FA86572FA28165C435BF7BFE0E3F2E06A281D54508304BFEB3E2409D39214D0A365B3871B7F54023656A2BD1AC55E5814371A626EA98700521418149F81FAE549FAAC74AF8F2FE90E161DE66E6EA89A33E445532E07818760F8517E3EA2521CB4CDC86FB37EDF8E7CA6E6E409F99B62B5853EDE8C50F2F2E1A9B73295E2F00EAEA255311D113130E77650DF0C2A9831BDD1FC3FF2DE7121D546061A805241A0B22572F75132804DE85B808989611447A1E54D34442F27B76FD6CD284C2A4275726394052DF242AF4E8970120BA7162E6DC1CC8254624F1F97C2F0D03A4205F6D1CE859E7C037EDE981EED300C293AAEDECB6EF16D3E3D82E857A80C81192FD2693F610E85BACE2A7C189A217B35B25A6749784D4CA9D552B2C780D74ACF7C7A066E99217E94E423E4DB6C9FBEC0C103AF6807E4213211427828D73436AE3CA1277A72A911B10221EE2F2DF0ADE2403F90BA870B928A7DCBF272E125D39C4DC2836604FCDDD1FDBC6CBFFADB93D71B6B98323E1937853CAA0C032733AA28A81A0118BCF4F7DD44D5E19AC7AA328051A68BA8C0EA9E1D02DD659C836DB48458A93E5ADB6E64DF548C0AB3D82BBA5EF8535FDA79DDC76E19A94FE4A6E0DE8779368A5BF5CC2087C0C8516347AFD79AB899BD6729D7A9385D9755E215A58D293FC8EA"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\BitTornado\btdownloadgui.exe"="C:\Program Files\BitTornado\btdownloadgui.exe:*:Enabled:btdownloadgui"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Program Files\VideoLAN\VLC\vlc.exe"="C:\Program Files\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Program Files\Notepad++\notepad++.exe"="C:\Program Files\Notepad++\notepad++.exe:*:Enabled:Notepad++ : a free (GNU) source code editor"
"C:\Program Files\Macromedia\Dreamweaver 8\Dreamweaver.exe"="C:\Program Files\Macromedia\Dreamweaver 8\Dreamweaver.exe:*:Enabled:Dreamweaver 8"
"C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"="C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:*:Enabled:Apache HTTP Server"
"C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe:*:Enabled:AppleMobileDeviceService"
"C:\Program Files\MSN Messenger\usnsvc.exe"="C:\Program Files\MSN Messenger\usnsvc.exe:*:Enabled:usnsvc"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue  3 Feb 2009        32,768 A..H. --- "C:\Documents and Settings\hynmaine\irwkj.exe"
Wed 13 Oct 2004     1,711,616 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Mon  2 Feb 2009        23,040 A..H. --- "C:\Program Files\Mozilla Firefox\a.exe"
Mon  7 Jul 2008     1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008     4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon  7 Jul 2008     2,156,368 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

[b]Finished![/b]


Ainsi que le rapport HighJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:59, on 03/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\Temp\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [jsf8uiw3jnjgffght] C:\WINDOWS\TEMP\winlognn.exe
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [dcavwjxp.exe] C:\WINDOWS\dcavwjxp.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [jsf8uiw3jnjgffght] C:\WINDOWS\TEMP\winlognn.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [plenkiyv.exe] C:\WINDOWS\plenkiyv.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [vxxmxnwt.exe] C:\WINDOWS\vxxmxnwt.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [xllvcamt.exe] C:\WINDOWS\xllvcamt.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [services] o many connections&tick=992828&ver=400&smtp=ok (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [vybmnjiq.exe] C:\WINDOWS\vybmnjiq.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

V-X · Answer

Re,

Fait malwarebyte

sugaryin · Answer

Bonjour,

Voici mon rapport Maleware:

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1718
Windows 5.1.2600 Service Pack 2

03/02/2009 14:56:26
mbam-log-2009-02-03 (14-56-21).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 126834
Temps écoulé: 24 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dcavwjxp.exe (Trojan.Downloader) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\plenkiyv.exe (Trojan.Downloader) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vxxmxnwt.exe (Trojan.Downloader) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xllvcamt.exe (Trojan.Downloader) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vybmnjiq.exe (Trojan.Downloader) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\dcavwjxp.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\plenkiyv.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\vxxmxnwt.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\xllvcamt.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\vybmnjiq.exe (Trojan.Downloader) -> No action taken.
C:\Program Files\eMule\Uninstall.exe (Trojan.Downloader) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\crypts.dll.vir (Trojan.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSShqjx.dll.vir (Trojan.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSifun.dll.vir (Trojan.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnxmc.dll.vir (Trojan.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSursq.dll.vir (Trojan.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32	uhinibo.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\protect.sys.vir (Trojan.NtRootkit.Agent) -> No action taken.
C:\WINDOWS\bnadkndf.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\drivers
disio.sys (Backdoor.Bot) -> No action taken.

V-X · Answer

Re,

Dans l'ordre:

Pour Supprimer Combofix:

Cliquer sur "Démarrer"/ "Exécuter", saisir combofix /u (espace avant "/") et presser la touche "Entrée".
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
&#x25B6 Ouvre Malwarebyte,

&#x25B6 Clic sur l'onglet Quarantaine,

&#x25B6 Supprime tout ce que la quarantaine contient,

&#x25B6 Si il te propose de redémarrer ton PC =>Accepte

&#x25B6 Si il ne te le propose pas =>Redémarre normalement ton PC

&#x25B6 Poste le rapport suite à la suppression sur le forum.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
&#x25B6 Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.

&#x25B6 Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6 Clique sur ' continue ' à l'écran Disclaimer.

&#x25B6 Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6 Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports séparément.
( log.txt & info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

sugaryin · Answer

Bonjour,

Je suis désolée de ne répondre que maintenant mais suite au rapport généré, il fut impossible de se connecter sur Internet. De ce fait et vu que la moitié de mes applications n'était plus utilisable, j'ai dû réinstaller Windows.

Que pouvez-vous me conseiller aujourd'hui pour protéger au mieux mon ordinateur? J'avais Antivir d'installé et jadis, Avast. Antivir a été désactivé par Antispyware 2009 lorsque j'ai créé le topic.

Merci encore.

V-X · Answer

Re,

Tu as formater ?

Ben tu peut réinstaller antivir et malwarebyte et en pare feu comodo ....

sugaryin · Answer

Lors de mon installation d'Antivir, j'ai eu un message d'erreur: Le crc de l'exe a été changé cela est sûrement dû à un virus...

V-X · Answer

Re,

Tu as formater ou pas ?

Si non refait un log avec RSIT.

sugaryin · Answer

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1725
Windows 5.1.2600 Service Pack 2

04/02/2009 17:17:17
mbam-log-2009-02-04 (17-17-13).txt

Type de recherche: Examen rapide
Eléments examinés: 62257
Temps écoulé: 4 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services	icwxkur (Rootkit.Pakes) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services	icwxkur (Rootkit.Pakes) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services	icwxkur (Rootkit.Pakes) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\passthru (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Backdoor.Bot) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vxvejhxq.exe (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\vxvejhxq.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\drivers	icwxkur.sys (Rootkit.Pakes) -> No action taken.
C:\WINDOWS\system32\kamsoft.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers
disio.sys (Backdoor.Bot) -> No action taken.


J'ai fait un rapport mais Malewarebytes qui a détecté 12 infections.

J'ai réinstallé Windows XP sur la même partition, c'est censé écraser...

sugaryin · Answer

Voici mes rapports RSIT


Log.txt

Logfile of random's system information tool 1.05 (written by random/random)
Run by terane at 2009-02-04 17:20:09
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 12 GB (62%) free of 20 GB
Total RAM: 511 MB (13% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:20, on 04/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\142.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
F:\Temp\RSIT.exe
C:\Program Files	rend micro	erane.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings	erane\cixhgx.exe \s
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

V-X · Answer

Re, Supprime la quarantaine de malwarebyte et fait ce qui suit: Désactive ton antivirus. ▶ Télécharge RAV Antivirus (d'Evosla) ▶ Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX ▶ Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau ▶ Doucle-clique sur >> RAV.exe << afin de lancer l'outil. ▶ Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) ▶ Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . ▶ Retire tes disques amovibles et redémarrez votre ordinateur. ▶ Poste le rapport, si infection! Flash_Disinfector : ▶ Télécharge l'outil Flash_Disinfector de sUBs et enregistre le sur ton bureau ▶Double clique sur Flash_Disinfector.exe pour l'exécuter. ▶Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. ▶Puis clic sur Ok ▶Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!] ▶Appuie ensuite sur OK, pour faire réapparaître le bureau.

sugaryin · Answer

Bonjour,

J'ai cette fois formaté. A chaque suppression de la quarantaine de Malewarebytes, je perdais la connexion Internet. Je pense qu'un fichier me permettant de me connecter était infecté.

Comme vous me l'avez conseillé, j'ai donc réinstallé Antivir (sans problème) et je vais réinstaller Malewarebytes ainsi que Comodo en pare feu.

Merci encore pour votre aide.

sugaryin · Answer

Je poste ici mon rapport HijackThis suite au blocage d'Antivir


SmitFraudFix v2.392

Rapport fait à 16:43:49,84, 05/02/2009
Executé à partir de C:\Documents and Settings\sugaryin\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\codeblocks.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\svchost.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\sugaryin


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\sugaryin\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\sugaryin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\sugaryin\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\sugaryin\ofwr.exe \s"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{700A83CD-399A-4AEB-9679-6720563CD91C}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{700A83CD-399A-4AEB-9679-6720563CD91C}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{700A83CD-399A-4AEB-9679-6720563CD91C}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

V-X · Answer

Re,

1)Tu as fait smithfraudix,pas hijackthis.
2)Tu as formater,pourquoi refaire des analyse ou rapport de diagnostic?

sugaryin · Answer

Pardon c'était pour avoir le coeur net. Après Malwarebytes, hop Antivir s'est bloqué. Il est actuellement impossible de désinstaller ou quoique ce soit, il est infecté.

V-X · Answer

Re,

Tu as formater ou pas ?

Tu as télécharger un crack et ouvert ce crack?

As tu un message te disant "Win 32........"

sugaryin · Answer

Oui j'avais formaté. J'avais un logiciel à installer nécessitant un crack. Par le passé, je n'ai jamais eu de problème avec lui mais après cette installation, scan et hop... Je précise que c'est un logiciel me permettant de réviser, VisualCert Exam et que je ne l'ai jamais trouvé autrement que comme cela... Si une alternative gratuite s'offre, j'aimerais bien la connaître car il m'est indispensable en ce moment.

V-X · Answer

Re,

OKI.

Pour vérifier cela:

FindyKill de Chiquitine29

&#x25B6 Fais un clique droit sur le lien et choisis ( "enregistrer la cible sous ...." )( , destination le bureau .


&#x25B6 Laisse toi guider pour l'installer.

&#x25B6 Double clic sur " FindyKill." pour lancer l'outil .

&#x25B6 Choisis La langue:F pour français

&#x25B6 Choisis  l'option 1 . Puis laisses travailler ...

&#x25B6 Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

Les-risques-securitaires-du-peer-to-peer

Tutoriel

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

sugaryin · Answer

Voilà le scan

###################### [ FindyKill V4.715 ]

# User : terane - TERANE-7C3683A9
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 17:16:01 le 05/02/2009
# Windows XP - Internet Explorer 6.0.2900.2180
 
# [ FindyKill V4.715 - Scan ] ############## 
 
\\\\\\\\\\  [ Processus actifs ]  ///////////////////  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\codeblocks.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
 
\\\\\\\\\  [ Fichiers/Dossiers infectieux ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\Prefetch ] 
 
Found ! - C:\WINDOWS\Prefetch\O4PATCH.EXE-1302773A.pf 
Found ! - C:\WINDOWS\Prefetch\PATCH.EXE-29D39D0A.pf 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\Documents and Settings	erane\Application Data ] 
 
 
################## [ C:\DOCUME~1	erane\LOCALS~1\Temp ] 
 
 
\\\\\\\\\  [ Registre / Startup ]  ///////////////////  
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
   PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
   PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
   avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
   services=C:\WINDOWS\services.exe
   KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
 
 
\\\\\\\\\  [ Registre / Clés infectieuses ] ///////////////////  
 
 
 
 
\\\\\\\\\  [ Etat / Services ]  ///////////////////  
 

# Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

Ndisuio - # Type de démarrage = 3 
 
Ip6Fw - # Type de démarrage = 3 
 
/!\ SharedAccess - # Type de démarrage = 4 
 
wuauserv - # Type de démarrage = 2 
 
/!\ wscsvc - # Type de démarrage = 4 
 
 
\\\\\\\\\  [ Recherche dans supports amovibles]  ///////////////////  
 
 
# Informations : 

C: - Lecteur fixe

D: - Lecteur fixe

 
# Contenu de l'autorun : D:\autorun.inf  


 
# presence des fichiers :  

Found ! [04/02/2009 22:58][d--------] - D:\autorun.inf 
D:\autorun.inf - This folder was created by flash disinfector !
 
 
\\\\\\\\\  [ Registre / Mountpoint2 ]  ///////////////////  
 
 
-> Not found ! 
 
 
################## [ ! Fin du rapport # FindyKill V4.715 ! ]

V-X · Answer

Re,

Findykill de chiquitine29 option 2:

&#x25B6 Branche tes disques amovibles à ton PC ( (clefs USB, disque dur externe, etc...) sans les ouvrir

&#x25B6 Double-clique sur le raccourci FindyKill sur ton bureau

&#x25B6 Au menu principal, choisisl'option 2 (Suppression)

/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

&#x25B6 Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

sugaryin · Answer

Voici le rapport généré après le nettoyage:




###################### [ FindyKill V4.715 ]

# User : sugaryin - SUGARYIN-7C3683A9
# Executed from : C:\Program Files\FindyKill
# Update on 29/01/09Nby Chiquitine29
# Start at 17:40:04 the 05/02/2009
# Windows XP - Internet Explorer 6.0.2900.2180
 
# [ FindyKill V4.715 - Deleting ] ############### 
 
\\\\\\\\\  [ Active Processes ]  ///////////////////  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\idaw64.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
 
\\\\\\\\\  [ Infected Files / Folders ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\Prefetch ] 
 
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-238AA5EF.pf 
Deleted ! - C:\WINDOWS\prefetch\O4PATCH.EXE-1302773A.pf 
Deleted ! - C:\WINDOWS\prefetch\PATCH.EXE-29D39D0A.pf 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\Documents and Settings	erane\Application Data ] 
 
 
################## [ C:\DOCUME~1	erane\LOCALS~1\Temp ] 
 
 
################## [ C:\Documents and Settings	erane\Local Settings\Temporary Internet Files\Content.IE5 ] 
 
 
\\\\\\\\\  [  Registry / Infected keys ]  ///////////////////  
 
 
\\\\\\\\\  [ States / Restarting of services ]  ///////////////////  
 

# Services : [ Auto=2 / Request=3 / Disable=4 ] 

Ndisuio - # Type of startup  = 3 
 
Ip6Fw - # Type of startup  = 2 
 
/!\ SharedAccess - # Type of startup  = 4 
 
wuauserv - # Type of startup  = 2 
 
/!\ wscsvc - # Type of startup  = 4 
 
 
\\\\\\\\\  [ Cleaning Removable drives ]  ///////////////////  
 
# Informations : 

C: - Lecteur fixe

D: - Lecteur fixe

G: - Lecteur fixe

 
# deleting files : 
 
Not deleted !! - D:\autorun.inf  
 
\\\\\\\\\  [ Registry / Mountpoint2 ]  ///////////////////  
 
 
 -> Not found ! 
 
 
\\\\\\\\\  [ Searching Other Infections ]  ///////////////////  
 
 
\\\\\\\\\  [ Searching Cracks / Keygen ]  ///////////////////  
 
G:\Crack.exe   
G:\Backup Laptop\Music\Korean\CB Mass\MASSMATICS\10 - CB.Mass - New Joint feat. DJ Honda, Parrish 'PMD' Smith & Headcrack.mp3   
G:\IEF2I\CERTIF\Avolys\Certif\Advanced PDF Password Recovery v2.21\Advanced PDF Recovery 2.21 Crack   
G:\IEF2I\CERTIF\Logiciel d'examens - Certifs\Visual.CertExam.Suite.v1.9.815.WinAll\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked+tests   
G:\IEF2I\Septembre\visualCert\Visual.CertExam.Suite.1.5.410_CRK-FFF\Crack.exe   
G:\Virtual CertExam Suite no virus\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked   
 
################## [ ! End of report #   ! ]

V-X · Answer

Re,

Il faut que tu supprime tes cracks.

Pour ce faire fait ce qui suit si tu le désire bien sur:

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :

:processes
explorer.exe

:files
G:\Crack.exe
G:\Backup Laptop\Music\Korean\CB Mass\MASSMATICS\10 - CB.Mass - New Joint feat. DJ Honda, Parrish 'PMD' Smith & Headcrack.mp3
G:\IEF2I\CERTIF\Avolys\Certif\Advanced PDF Password Recovery v2.21\Advanced PDF Recovery 2.21 Crack
G:\IEF2I\CERTIF\Logiciel d'examens - Certifs\Visual.CertExam.Suite.v1.9.815.WinAll\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked+tests
G:\IEF2I\Septembre\visualCert\Visual.CertExam.Suite.1.5.410_CRK-FFF\Crack.exe
G:\Virtual CertExam Suite no virus\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked 

:commands
[purity]
[emptytemp]
[reboot] 



---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

sugaryin · Answer

Voilà le rapport généré:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
G:\Crack.exe moved successfully.
G:\Backup Laptop\Music\Korean\CB Mass\MASSMATICS\10 - CB.Mass - New Joint feat. DJ Honda, Parrish 'PMD' Smith & Headcrack.mp3 moved successfully.
G:\IEF2I\CERTIF\Avolys\Certif\Advanced PDF Password Recovery v2.21\Advanced PDF Recovery 2.21 Crack moved successfully.
G:\IEF2I\CERTIF\Logiciel d'examens - Certifs\Visual.CertExam.Suite.v1.9.815.WinAll\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked+tests\Exams - 70-290 (EXEMPLE) moved successfully.
G:\IEF2I\CERTIF\Logiciel d'examens - Certifs\Visual.CertExam.Suite.v1.9.815.WinAll\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked+tests moved successfully.
G:\IEF2I\Septembre\visualCert\Visual.CertExam.Suite.1.5.410_CRK-FFF\Crack.exe moved successfully.
G:\Virtual CertExam Suite no virus\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1	erane\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1	erane\LOCALS~1\Temp\Historique\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1	erane\LOCALS~1\Temp\Cookies\index.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1	erane\LOCALS~1\Temp\etilqs_sYe8W6gC0uRUSjXjb7dp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_175628

Files moved on Reboot...
C:\DOCUME~1	erane\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat moved successfully.
C:\DOCUME~1	erane\LOCALS~1\Temp\Historique\History.IE5\index.dat moved successfully.
C:\DOCUME~1	erane\LOCALS~1\Temp\Cookies\index.dat moved successfully.
File C:\DOCUME~1	erane\LOCALS~1\Temp\etilqs_sYe8W6gC0uRUSjXjb7dp not found!
C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings	erane\Local Settings\Application Data\Mozilla\Firefox\Profiles\6so0qdty.default\XUL.mfl moved successfully.


A chaque redémarrage, voici le message d'erreur que je reçois au sujet de Antivir:

The application module

c:\program files\avira\antivir personaledition classic\avgnt.exe

cannot be found or has been modified or destroyed
The AVGNT.EXE cannot be started.
Please check your installation!

V-X · Answer

Re,

comment désinstaller correctement antivir

Ensuite fait sa et réinstalle le:

&#9654; Télécharge RegCleaner

&#9654; Une fois installé, double-clique sur son icône pour l'exécuter

&#9654; Dans la barre de menu, clique sur Options puis sélectionne Language => Choose the language

&#9654; recherche French.rlg et double-clique dessus pour appliquer la langue

&#9654; Clique ensuite sur Outils dans la barre de menu

&#9654; Sélectionne Nettoyage du registre => Nettoyeur de registre automatique

&#9654; RegCleaner va alors lancer le nettoyage automatiquement

&#9654; Coche ensuite les entrées invalides et clique sur Supprimer sélections => Terminer => Quitter 

Tutoriel REG-CLEANER

sugaryin · Answer

Impossible de désinstaller Antivir que ce soit par le Panneau de configuration ou encore par le tuto donné sur le site. je n'ai rien dans la barre des tâches concernant Antivir donc pas de Antivir Guard enable.

Voilà ce que j'obtiens quand je tente de désinstaller Antivir:

La somme CRC de c:\Program Files\Avira\Antivir PersonnalEdition Classic\Setup.exe a été modifiée! Cela pourrait avoir été provoqué par un virus!

sugaryin · Answer

Je viens de désinstaller Antivir en utilisant un utilitaire appelé Revo Uninstaller.

Au redémarrage, j'ai aussi eu ce message, avant ma désinstallation de Antivir déjà:

L'application ou la DLL C:\windows\system32\ws3_32.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation.

Dois-je réparer l'installation de Windows XP?

V-X · Answer

Re,

Tu as fait regcleaner ?

Si non fait avant et aprés désinstallation.

Sinon essai une réparation ;

sugaryin · Answer

J'ai fait un regcleaner.

Voilà le message lorsque je tente de réinstaller Antivir:

La somme CRC de C:\docume~1\sugaryin\locals~1\Temp\rarsfx0\basic\setup.exe a été modifiée! Cela pourrait avoir été provoqué par un virus!

V-X · Answer

Re,

Tu as encore malwarebyte ?

Si oui met le a jour et lance un scan rapide.

sugaryin · Answer

Je fais un scan rapide là. Que faire de la quarantaine? Supprimer tout ? les dernières fois, le Net a disparu avec cette opération.

V-X · Answer

Re,

Poste moi le rapport.

je te dirait quoi faire.

sugaryin · Answer

Voici le rapport de Malwarebytes

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1731
Windows 5.1.2600 Service Pack 2

05/02/2009 18:49:41
mbam-log-2009-02-05 (18-49-38).txt

Type de recherche: Examen rapide
Eléments examinés: 42366
Temps écoulé: 2 minute(s), 24 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 26

Processus mémoire infecté(s):
C:\WINDOWS\system32
detect.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\services.exe (Backdoor.ProRat) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\qobitmdb (Rootkit.Pakes) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\qobitmdb (Rootkit.Pakes) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qobitmdb (Rootkit.Pakes) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\passthru (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\passthru (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Backdoor.Bot) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zzcbwauw.exe (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Backdoor.ProRat) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Backdoor.ProRat) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Backdoor.ProRat) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\services (Backdoor.ProRat) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32
detect.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32
detect.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\deviceemulator.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\deviceemulator.exe -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\zzcbwauw.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\qobitmdb.sys (Rootkit.Pakes) -> No action taken.
C:\WINDOWS\system32\c++.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32
detect.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\codeblocks.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\deviceemulator.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\idaw64.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\makehm.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vmware-ufad.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\7.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\9.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\A.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\B.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\C.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\D.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\E.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\F.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers
disio.sys (Backdoor.Bot) -> No action taken.

V-X · Answer

Re,

Supprime la quarantaine.

sugaryin · Answer

Bonsoir,

J'ai supprimé le tout et comme jadis, plus de Net. J'ai dû formater et réinstaller. L'installation d'Antivir est très lente. 

Bon, que faire pour avoir un PC protégé? Comodo et Antivir? Malheureusement, je ne sais pas s'il serait judicieux de changer d'antivirus maintenant qu'Antivir a été infecté (deux fois).

Merci encore.

V-X · Answer

Re,

Passe sa pour voir réellement:Seulement si ta version et légal et que tu es sur a 100%

Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

--->Je te conseil d'installer la console de récupération.(Voir le tutoriel).

Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp 

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

Antispyware 2009 - pb pr lancer maleware

48 réponses

Discussions similaires