Analyse hijackthis - Merci beaucoup !!!!

matland -  
loloetseb Messages postés 5684 Statut Membre -
Bonjour,

J'ai téléchargé un série, lost, apparemment un fake. il y avait plusieurs fichiers: la vidéo protéger par un code à l'extraction, et un nfo. Ce nfo était une application cachée. Quand j'ai voulu l'ouvrir, l'application a buggé et depuis j'entends mon disque dur qui broute brièvement toutes les 2 secondes, même après reboot. cela ralenti toutes mes applications, et semble vraiment louche !
Il n'y a pas de broutage en mode sans échec. ils apparaissent dès que windows est lancé.

J'ai donc fait la procédure d'" assiste.com "complète avant analyse. l'analyse en ligne trend micro a trouvé quelques virus notamment le vundo. Mais le disque broute toujours toutes les 2sec.
je ne vois rien de particulier d'instalé depuis et je ne décode pas bien les logs hijack.

voici donc les logs hijack2, navilog, et avgrep :

hijack 2 :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:04:34, on 22/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxdxcoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\MOTU\FireWire Audio\MFWAKeys.exe
C:\Program Files\Trend Micro\HijackThis\jackbauerthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: {ca11ab80-57fd-229b-e764-594036b042d5} - {5d240b63-0495-467e-b922-df7508ba11ac} - C:\WINDOWS\system32\vtgfkn.dll
O2 - BHO: (no name) - {74bf1f42-f1c6-40eb-954f-c0365a2b854f} - C:\WINDOWS\system32\qoMGawut.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - C:\WINDOWS\BricoPacks\LeopardXP\FindeXer.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [a821a207] rundll32.exe "C:\WINDOWS\system32\qehevadw.dll",b
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunServices: [Winzip Application] winzip81.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: MFWAKeys.lnk = C:\Program Files\MOTU\FireWire Audio\MFWAKeys.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: opnmlfcb - opnmLfcB.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdxserv.exe
O23 - Service: lxdx_device - - C:\WINDOWS\system32\lxdxcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 6206 bytes

=================================================

fixnavi :

Search Navipromo version 3.7.6 commencé le 22/03/2009 à 11:08:00,90

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : BIOS Date: 02/25/04 11:27:43 Ver: 08.00.09
USER : Bikini Rumble ( Administrator )
BOOT : Normal boot

Antivirus : AVG Anti-Virus 8.5 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:3 Go)
D:\ (Local Disk) - NTFS - Total:186 Go (Free:50 Go)
E:\ (Local Disk) - NTFS - Total:23 Go (Free:6 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (CD or DVD)
J:\ (Local Disk) - NTFS - Total:72 Go (Free:6 Go)
N:\ (USB)
O:\ (Local Disk) - NTFS - Total:465 Go (Free:349 Go)

Recherche executé en mode normal

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Bikini Rumble\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Bikini Rumble\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Bikini Rumble\startm~1\programs" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Bikini Rumble\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\Bikini Rumble\locals~1\applic~1" :

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

C:\WINDOWS\system32\tuwaGMoq.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 22/03/2009 à 11:14:46,01 ***

=====================================

avgrep :

Search Navipromo version 3.7.6 commencé le 22/03/2009 à 11:08:00,90

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : BIOS Date: 02/25/04 11:27:43 Ver: 08.00.09
USER : Bikini Rumble ( Administrator )
BOOT : Normal boot

Antivirus : AVG Anti-Virus 8.5 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:3 Go)
D:\ (Local Disk) - NTFS - Total:186 Go (Free:50 Go)
E:\ (Local Disk) - NTFS - Total:23 Go (Free:6 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (CD or DVD)
J:\ (Local Disk) - NTFS - Total:72 Go (Free:6 Go)
N:\ (USB)
O:\ (Local Disk) - NTFS - Total:465 Go (Free:349 Go)

Recherche executé en mode normal

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Bikini Rumble\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Bikini Rumble\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Bikini Rumble\startm~1\programs" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Bikini Rumble\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\Bikini Rumble\locals~1\applic~1" :

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

C:\WINDOWS\system32\tuwaGMoq.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 22/03/2009 à 11:14:46,01 ***

=======================

Merci beaucoup de votre aide !
Configuration: Windows XP
Firefox 3.0.7

9 réponses

  1. loloetseb Messages postés 5684 Statut Membre 174
     
    Ensuite afin de descendre en profondeur de tes infections,fais ceci

    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    -> http://images.malwareremoval.com/random/RSIT.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double-clique sur " RSIT.exe " pour le lancer .

    -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

    * Devant l'option "List files/folders created ..." , tu choisis : 2 months

    * clique ensuite sur " Continue " pour lancer l'analyse ...

    -> laisse faire le scan et ne touche pas au PC ...

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

    Important : poste un rapport, puis l'autre dans la réponse suivante
    Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
    1
    1. matland
       
      et voici le log RSIT :


      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Bikini Rumble at 2009-03-22 15:41:34
      Microsoft Windows XP Professional Service Pack 2
      System drive C: has 4 GB (18%) free of 20 GB
      Total RAM: 2047 MB (79% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 15:41:44, on 22/03/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\lxdxcoms.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\AVG\AVG8\avgam.exe
      C:\PROGRA~1\AVG\AVG8\avgemc.exe
      C:\PROGRA~1\AVG\AVG8\avgrsx.exe
      C:\PROGRA~1\AVG\AVG8\avgnsx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\AVG\AVG8\avgcsrvx.exe
      C:\PROGRA~1\AVG\AVG8\avgtray.exe
      C:\Program Files\MOTU\FireWire Audio\MFWAKeys.exe
      C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Bikini Rumble\Desktop\RSIT.exe
      C:\Program Files\Trend Micro\HijackThis\Bikini Rumble.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Program Files\AVG\AVG8\avgssie.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: (no name) - {ab7410c4-8d0e-448c-b511-c45905a3b445} - C:\WINDOWS\system32\qoMGawut.dll (file missing)
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - C:\WINDOWS\BricoPacks\LeopardXP\FindeXer.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [a821a207] rundll32.exe "C:\WINDOWS\system32\qehevadw.dll",b
      O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
      O4 - HKLM\..\RunServices: [Winzip Application] winzip81.exe
      O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
      O4 - Global Startup: MFWAKeys.lnk = C:\Program Files\MOTU\FireWire Audio\MFWAKeys.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
      O20 - Winlogon Notify: !saswinlogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
      O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
      O20 - Winlogon Notify: opnmlfcb - opnmLfcB.dll (file missing)
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
      O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
      O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdxserv.exe
      O23 - Service: lxdx_device - - C:\WINDOWS\system32\lxdxcoms.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\
      0
  2. loloetseb Messages postés 5684 Statut Membre 174
     
    On va degrossir avec ca

    Télécharge Superantispyware (SAS)

    Choisis "enregistrer" et enregistre-le sur ton bureau.

    Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

    Créé une icône sur le bureau.

    Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

    - Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
    - Sous Configuration and Preferences, clique sur le bouton "Preferences"
    - Clique sur l'onglet "Scanning Control "
    - Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

    Close browsers before scanning
    Scan for tracking cookies
    Terminate memory threats before quarantining
    - Laisse les autres lignes décochées.

    - Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

    - Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

    Dans la colonne de gauche, coche C:\Fixed Drive.

    Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

    Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

    A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

    Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

    Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

    Pour recopier les informations sur le forum, fais ceci :

    - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
    - Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
    - Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

    - Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

    - Copie son contenu dans ta réponse.

    Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
    0
    1. matland
       
      Bonjour et merci pour ces instructions !

      voici le log de SAS qui a encore trouvé du vundo ...
      à la fin du scan j'ai eu un message : " le systeme va ferme dans 30 sec " avec un probleme sur ce fichier :lsaa.exe ( nom pas forcement exact, je le donne de mémoire )


      SUPERAntiSpyware Scan Log
      https://www.superantispyware.com/

      Generated 03/22/2009 at 03:29 PM

      Application Version : 4.25.1014

      Core Rules Database Version : 3808
      Trace Rules Database Version: 1763

      Scan type : Complete Scan
      Total Scan Time : 01:25:52

      Memory items scanned : 444
      Memory threats detected : 1
      Registry items scanned : 6637
      Registry threats detected : 28
      File items scanned : 96673
      File threats detected : 7

      Trojan.Vundo-Variant/Small-GEN
      C:\WINDOWS\SYSTEM32\QOMGAWUT.DLL
      C:\WINDOWS\SYSTEM32\QOMGAWUT.DLL
      HKU\s-1-5-21-1606980848-492894223-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{74bf1f42-f1c6-40eb-954f-c0365a2b854f}

      Trojan.Vundo-Variant/NextGen-Six
      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5d240b63-0495-467e-b922-df7508ba11ac}
      HKCR\CLSID\{5D240B63-0495-467E-B922-DF7508BA11AC}
      HKCR\CLSID\{5D240B63-0495-467E-B922-DF7508BA11AC}\inprocserver32
      HKCR\CLSID\{5D240B63-0495-467E-B922-DF7508BA11AC}\inprocserver32#ThreadingModel
      C:\WINDOWS\SYSTEM32\VTGFKN.DLL

      Trojan.Vundo-Variant/NextGen
      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74bf1f42-f1c6-40eb-954f-c0365a2b854f}
      HKCR\CLSID\{74BF1F42-F1C6-40EB-954F-C0365A2B854F}
      HKCR\CLSID\{74BF1F42-F1C6-40EB-954F-C0365A2B854F}\inprocserver32
      HKCR\CLSID\{74BF1F42-F1C6-40EB-954F-C0365A2B854F}\inprocserver32#ThreadingModel

      Adware.Vundo/Variant
      HKU\s-1-5-21-1606980848-492894223-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5d240b63-0495-467e-b922-df7508ba11ac}
      C:\WINDOWS\SYSTEM32\BWYWIHKV.DLL

      Unclassified.Unknown Origin
      HKU\s-1-5-21-1606980848-492894223-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}

      Adware.Vundo Variant/Rel
      HKLM\SOFTWARE\Microsoft\FCOVM
      HKLM\SOFTWARE\Microsoft\RemoveRP
      HKLM\SOFTWARE\Microsoft\contim
      HKLM\SOFTWARE\Microsoft\contim#SysShell
      HKLM\SOFTWARE\Microsoft\MS Track System
      HKLM\SOFTWARE\Microsoft\MS Track System#Uid
      HKLM\SOFTWARE\Microsoft\MS Track System#Shows
      HKLM\SOFTWARE\Microsoft\rdfa
      HKLM\SOFTWARE\Microsoft\rdfa#F
      HKLM\SOFTWARE\Microsoft\rdfa#N

      Rogue.Component/Trace
      HKLM\Software\Microsoft\A821B089
      HKLM\Software\Microsoft\A821B089#a821b089
      HKLM\Software\Microsoft\A821B089#Version
      HKLM\Software\Microsoft\A821B089#a8211d09
      HKLM\Software\Microsoft\A821B089#a82174ec
      HKU\s-1-5-21-1606980848-492894223-725345543-1003\Software\Microsoft\CS41275
      HKU\s-1-5-21-1606980848-492894223-725345543-1003\Software\Microsoft\FIAS4052N

      Adware.Vundo/Variant-MSFake
      C:\PROGRAM FILES\NAVILOG1\REG.EXE

      Trojan.SmartLoad
      C:\WINDOWS\DRSMARTLOAD2.DAT

      Trojan.Downloader-Gen
      C:\WINDOWS\SYSTEM32\STU.DLL

      Trojan.Unknown Origin
      C:\WINDOWS\TELLER2.CHK
      0
  3. loloetseb Messages postés 5684 Statut Membre 174
     
    Puis le rapport info
    0
    1. matland
       
      j'ai relancé vundofix qui n'a rien trouvé, mais j'ai une erreur au reboot :
      impossible de trouver le fichier qehevadw.dll" :


      et le rapport info de RSIT :
      =================


      info.txt logfile of random's system information tool 1.06 2009-03-22 15:41:46

      ======Uninstall list======

      -->MsiExec.exe /X{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
      -->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
      -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
      ABBYY FineReader 6.0 Sprint-->MsiExec.exe /X{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}
      Ableton Live v5.0.2-->C:\PROGRA~1\Ableton\LIVE50~1.2\UNWISE.EXE C:\PROGRA~1\Ableton\LIVE50~1.2\INSTALL.LOG
      Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
      Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
      Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
      Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
      Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
      Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
      Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
      Adobe Color EU Extra Settings-->MsiExec.exe /I{51846830-E7B2-4218-8968-B77F0FF475B8}
      Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
      Adobe Color NA Recommended Settings-->MsiExec.exe /I{95655ED4-7CA5-46DF-907F-7144877A32E5}
      Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
      Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
      Adobe Flash CS3 Professional-->C:\Program Files\Common Files\Adobe\Installers\c3c7fe8b09d497ab2b3fd91c9353390\Setup.exe
      Adobe Flash CS3-->MsiExec.exe /I{6B52140A-F189-4945-BFFC-DB3F00B8C589}
      Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
      Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
      Adobe Flash Player 9 ActiveX-->MsiExec.exe /X{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}
      Adobe Flash Video Encoder-->MsiExec.exe /I{2EFFFC71-1E66-454E-A6E6-CEEC800B96D2}
      Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
      Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
      Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
      Adobe Reader 6.0.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A00000000001}
      Adobe Setup-->MsiExec.exe /I{FFC1ADE3-944B-4231-894E-3903C37271D2}
      Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
      Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
      Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
      Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
      Antares Autotune VST v5.09-->"C:\Program Files\Antares Audio Technologies\Uninstall\unins000.exe"
      Antares Harmony Engine VST RTAS v1.0-->"C:\Program Files\Antares Audio Technologies\unins000.exe"
      Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
      Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
      ARP2600 V-->C:\WINDOWS\unvise32.exe C:\PROGRAM FILES\Arturia\ARP2600 V\uninstal.log
      Artillery-->C:\PROGRA~1\SUGARB~1\ARTILL~1\UNWISE.EXE C:\PROGRA~1\SUGARB~1\ARTILL~1\INSTALL.LOG
      ASUS WLAN Card Utilities/Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CD95913F-6E50-4AC9-BAD9-810A0A619438}\Setup.exe" -l0x40c
      Avery DesignPro-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2CC982C0-7EAE-11D4-ACC3-0050568AD318}\Setup.exe" -uninst
      AVG 8.5-->C:\Program Files\AVG\AVG8\setup.exe /UNINSTALL
      AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe"
      BBE Sonic Maximizer Plugin v2.0-->C:\BBESON~1\BBESON~1\UNWISE.EXE C:\BBESON~1\BBESON~1\INSTALL.LOG
      BBE Sonic Maximizer Plugin-->"E:\UninstallerData\Uninstall BBE Sonic Maximizer Plugin.exe"
      BFD Windows Setup 2-->C:\PROGRA~1\UNWISE.EXE C:\PROGRA~1\INSTALL.LOG
      BitLord 1.1-->C:\Program Files\BitLord\uninst.exe
      Bome's Midi Translator Classic 1.6.1-->"C:\Program Files\Bome's Midi Translator Classic\unins000.exe"
      Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
      Camtasia Studio 5-->MsiExec.exe /I{7EADB65C-70E8-4C94-AD0A-221462D41A85}
      Canon Camera Support Core Library-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{5662C158-CA24-4228-BF6C-596FADA08682} /l1036
      Canon Camera Window DS for ZoomBrowser EX-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{7B847C9D-6758-45E6-B598-3BD8F43EAE9E}
      Canon Camera Window DVC for ZoomBrowser EX-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{A70D14C6-FF2C-4B8E-A643-7E74EC607614}
      Canon Camera Window for ZoomBrowser EX-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{E73534D5-CC93-4C63-9072-5A9734255C74}
      Canon EOS 20D Pilote WIA -->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{ED9775A0-383E-4EAA-8DA5-8CC6860D60A3}
      Canon Internet Library for ZoomBrowser EX-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{954BF446-BBC9-42CC-87A6-EBF0D55CA19A}
      Canon PhotoRecord-->MsiExec.exe /X{862983D7-FA08-493E-A9ED-6B7859E069D3}
      Canon RAW Image Task for ZoomBrowser EX-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{A0F34E4E-25F0-4B68-AE8F-EF0C15CB1FED}
      Canon RemoteCapture Task for ZoomBrowser EX-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{28291BD5-92D2-4685-82DC-CCA925C53CCA}
      Canon Utilities Digital Photo Professional 1.6.1-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{789CF5F1-3326-4B7B-9D01-31047E0F5651}
      Canon Utilities EOS Capture 1.3-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{16480125-0428-4097-9A2A-74464004D169}
      Canon Utilities PhotoStitch 3.1-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}
      Canon ZoomBrowser EX-->MsiExec.exe /X{C1D76D7A-F3BB-47EA-A746-5B1E2FFC1DF2}
      CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
      CS-80V-->C:\WINDOWS\unvise32.exe C:\PROGRAM FILES\Arturia\CS-80V\uninstal.log
      CursorXP-->C:\Program Files\CursorXP\CurXPUtil.exe -u
      DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
      DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
      DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
      DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
      DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
      East West EWQLSO Silver Edition-->D:\PROGRA~1\EASTWE~1\EWQLSO~1\UNWISE.EXE D:\PROGRA~1\EASTWE~1\EWQLSO~1\INSTALL.LOG
      ffdshow [rev 1703] [2007-12-15]-->"C:\Program Files\ffdshow\unins000.exe"
      FileZilla Client 3.1.2-->C:\Program Files\FileZilla FTP Client\uninstall.exe
      Flash to Video Encoder Pro-->"C:\Program Files\GeoVid\Flash to Video Encoder Pro\unins000.exe"
      GIMP 2.6.4-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"
      GlaceVerb 1.01-->"C:\Program Files\Steinberg\Vstplugins\Dasample GlaceVerb\unins000.exe"
      Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
      Google Updater-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
      Guru-->"C:\Program Files\FXpansion\Guru\Guru Uninstall.exe"
      HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
      iColorFolder-->C:\Program Files\iColorFolder\uninstall.exe
      iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
      iZotope Ozone 4-->"C:\Program Files\iZotope\Ozone 4\unins000.exe"
      iZotope RX-->"C:\Program Files\iZotope\RX\unins000.exe"
      Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
      Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
      JXSynth v1.01-->C:\PROGRA~1\STEINB~1\VSTPLU~1\UNJXSY.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\jxsynth.LOG
      Le Centre de Contrôle de Licences de Syncrosoft-->C:\PROGRA~1\SYNCRO~1\UNWISE.EXE C:\PROGRA~1\SYNCRO~1\INSTALL.LOG
      Lexmark 3600-4600 Series-->C:\Program Files\Lexmark 3600-4600 Series\Install\x86\Uninst.exe
      Lexmark Z25-Z35-->C:\WINDOWS\system32\spool\drivers\w32x86\3\LXAXUN5C.EXE -dLexmark Z25-Z35
      Macromedia Extension Manager-->MsiExec.exe /I{5546CDB5-2CE2-498B-B059-5B3BF81FC41F}
      Macromedia Flash 8 Video Encoder-->MsiExec.exe /X{8BF2C401-02CE-424D-BC26-6C4F9FB446B6}
      Macromedia Flash 8-->MsiExec.exe /I{2BD5C305-1B27-4D41-B690-7A61172D2FEB}
      Macromedia Flash Player 8-->MsiExec.exe /X{885A63EA-382B-4DD4-A755-14809B8557D6}
      Marvell Miniport Driver-->MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
      Max Runtime 5.0.3-->MsiExec.exe /I{B02794CA-CDCE-4EE8-AB16-F1A66C08ECD7}
      Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
      Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
      Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
      Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
      Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
      Microsoft Office XP Professional with FrontPage-->MsiExec.exe /I{90280409-6000-11D3-8CFE-0050048383C9}
      Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR)-->MsiExec.exe /X{E09B48B5-E141-427A-AB0C-D3605127224A}
      Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
      Midisport 2x4 1.0.1.0-->C:\WINDOWS\iun6002.exe "C:\Program Files\M-Audio Midisport 2x4\irunin.ini"
      minimoog V 1.6-->"C:\Program Files\Arturia\minimoog V\unins000.exe"
      Monkey's Audio-->"C:\Program Files\Monkey's Audio\unins000.exe"
      MOTU FireWire Audio-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\MOTU\FireWire Audio\Uninst.isu"
      Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
      MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
      N.I Pro-53 v3.0-OxYGeN-->C:\PROGRA~1\Pro-53\UNWISE.EXE C:\PROGRA~1\Pro-53\INSTALL.LOG
      Native Instruments Absynth 2-->C:\PROGRA~1\NATIVE~1\ABSYNT~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\ABSYNT~1\INSTALL.LOG
      Native Instruments Absynth 3-->C:\PROGRA~1\NATIVE~1\ABSYNT~2\UNWISE.EXE C:\PROGRA~1\NATIVE~1\ABSYNT~2\INSTALL.LOG
      Native Instruments B4 v1.11-->C:\PROGRA~1\NATIVE~1\B4\UNWISE.EXE C:\PROGRA~1\NATIVE~1\B4\INSTALL.LOG
      Native Instruments Elektrik Piano-->C:\PROGRA~1\NATIVE~1\ELEKTR~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\ELEKTR~1\INSTALL.LOG
      Native Instruments FM7-->C:\PROGRA~1\NATIVE~1\Fm7\UNWISE.EXE C:\PROGRA~1\NATIVE~1\Fm7\INSTALL.LOG
      Native Instruments Guitar Rig-->C:\PROGRA~1\NATIVE~1\GUITAR~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\GUITAR~1\INSTALL.LOG
      Native.Instruments.Kontakt.v2.0.2.007-->C:\PROGRA~1\NATIVE~1\KONTAK~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\KONTAK~1\INSTALL.LOG
      Navilog1 3.7.6-->"C:\Program Files\Navilog1\unins000.exe"
      Nero 6 Enterprise Edition-->C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
      Nero 8 Lite 8.1.1.0-->"C:\Program Files\Nero\unins000.exe"
      Nero Media Player-->C:\WINDOWS\UNNMP.exe /UNINSTALL
      Nokia Connectivity Cable Driver-->MsiExec.exe /X{972B1D9B-0EAD-49E8-B7D6-3B83FD5665B1}
      Nokia PC Suite-->C:\Documents and Settings\All Users\Application Data\Installations\{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}\Nokia_PC_Suite_683_rel_14_1_EA.exe /LANG="1036"
      Nokia PC Suite-->MsiExec.exe /I{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}
      NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
      Nvu 1.0-->"C:\Program Files\Nvu\unins000.exe"
      PACE System Files-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28F58CDE-6241-4B11-8232-6A5D4FB06E8B}\Setup.exe" -l0x9 FromUninstall
      Pack LeopardXP 1.0-->C:\WINDOWS\BricoPacks\LeopardXP\Remove.exe
      PC Connectivity Solution-->MsiExec.exe /I{066D65EA-ED53-44E4-A96A-F81B6E409D2E}
      PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
      PDFCreator-->C:\Program Files\PDFCreator\unins000.exe
      PowerISO-->"C:\Program Files\PowerISO\uninstall.exe"
      Prosoniq OrangeVocoder v1.4-->C:\PROGRA~1\STEINB~1\VSTPLU~1\ORANGE~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\ORANGE~1\INSTALL.LOG
      QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
      Reason-->MsiExec.exe /X{E52BFE61-E0FF-11D6-9D69-00065BABCB42}
      Solutions de télécopie Lexmark-->C:\Program Files\Lexmark Fax Solutions\Install\x86\Uninst.exe /R:faxunst
      Sonic Charge Synplant 1.0-->"C:\Program Files\Steinberg\Vstplugins\Synplant\Uninstall\unins000.exe"
      Sony Media Manager 2.0-->MsiExec.exe /X{C589B6DE-F7BF-4E22-8524-53E115EF6AB4}
      Sony Vegas Pro 8.0-->MsiExec.exe /X{B7E2A724-2774-4AC2-9F0A-B58C7319B6E6}
      Steinberg Cubase SX v2.0.2.31-->C:\PROGRA~1\STEINB~1\CUBASE~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\CUBASE~1\INSTALL.LOG
      Steinberg Cubase SX v3.1.1.944-->C:\PROGRA~1\STEINB~1\CUBASE~2\UNWISE.EXE C:\PROGRA~1\STEINB~1\CUBASE~2\INSTALL.LOG
      Steinberg GRM Tools Vol.2-->C:\PROGRA~1\STEINB~1\CUBASE~1\VSTPLU~1\GRMTOO~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\CUBASE~1\VSTPLU~1\GRMTOO~1\INSTALL.log
      Steinberg Nuendo v3.2.0.1128-->C:\PROGRA~1\STEINB~1\NUENDO~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\NUENDO~1\INSTALL.LOG
      Steinberg The Grand 2 v2.0.0.1152-->D:\THEGRA~1\UNWISE.EXE D:\THEGRA~1\Install.log
      Steinberg The Grand 2-->"D:\The Grand 2\Uninstall.exe" "D:\The Grand 2\Install.log"
      SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
      System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
      TC Bundle v2.0-->C:\WINDOWS\UNWISE.EXE C:\Audio\TC\Bundle\INSTALL.LOG
      Timeworks Millenium Pack-->C:\Audio\TIMEWO~1\UNWISE.EXE C:\Audio\TIMEWO~1\INSTALL.LOG
      Trilogy-->"C:\Program Files\Spectrasonics\Trilogy\unins000.exe"
      Update for Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
      VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
      VLC media player 0.9.4-->C:\Program Files\VideoLAN\VLC\uninstall.exe
      Waldorf.PPG.Wave2.V-OxYGeN-->C:\PROGRA~1\STEINB~1\VSTPLU~1\Waldorf\UNWISE.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\Waldorf\INSTALL.LOG
      Waves Mercury Complete VST DX RTAS v1.01-->"C:\Program Files\Waves\Uninstall\unins000.exe"
      Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
      Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
      Windows Driver Package - Nokia (WUDFRd) WPD (03/19/2007 6.83.31.1)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccswpddri_039E7E24575DBAE6A389611AF28F4EB97729D33E\pccswpddriver.inf
      Windows Driver Package - Nokia Modem (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293B\pccs_bluetooth.inf
      Windows Driver Package - Nokia Modem (11/03/2006 6.82.0.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_4EFFAAE27A08EDFDE145390033D8EF099DA65567\nokbtmdm.inf
      Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
      Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
      Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
      Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
      Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
      Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
      Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
      Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
      WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
      Xilisoft DVD Ripper Platinum-->C:\Program Files\Xilisoft\DVD Ripper Platinum 4\Uninstall.exe
      Xvid 1.2.1 final uninstall-->"C:\Program Files\Xvid\unins000.exe"

      =====HijackThis Backups=====

      O20 - AppInit_DLLs: vtgfkn.dll [2009-03-21]

      ======Security center information======

      AV: AVG Anti-Virus

      ======System event log======

      Computer Name: BR
      Event Code: 4226
      Message: TCP/IP has reached the security limit imposed on the number of concurrent TCP connect attempts.

      Record Number: 15577
      Source Name: Tcpip
      Time Written: 20090317190451.000000+060
      Event Type: warning
      User:

      Computer Name: BR
      Event Code: 4226
      Message: TCP/IP has reached the security limit imposed on the number of concurrent TCP connect attempts.

      Record Number: 15573
      Source Name: Tcpip
      Time Written: 20090317183436.000000+060
      Event Type: warning
      User:

      Computer Name: BR
      Event Code: 1007
      Message: Your computer has automatically configured the IP address for the Network
      Card with network address 000EA68CDFEB. The IP address being used is 169.254.164.139.

      Record Number: 15567
      Source Name: Dhcp
      Time Written: 20090317182320.000000+060
      Event Type: warning
      User:

      Computer Name: BR
      Event Code: 1003
      Message: Your computer was not able to renew its address from the network (from the
      DHCP Server) for the Network Card with network address 000EA68CDFEB. The following
      error occurred:
      The semaphore timeout period has expired.
      .
      Your computer will continue to try and obtain an address on its own from
      the network address (DHCP) server.

      Record Number: 15566
      Source Name: Dhcp
      Time Written: 20090317182317.000000+060
      Event Type: warning
      User:

      Computer Name: BR
      Event Code: 36
      Message: The time service has not been able to synchronize the system time
      for 49152 seconds because none of the time providers has been able to
      provide a usable time stamp. The system clock is unsynchronized.

      Record Number: 15562
      Source Name: W32Time
      Time Written: 20090315233707.000000+060
      Event Type: warning
      User:

      =====Application event log=====

      Computer Name: BR
      Event Code: 19011
      Message:
      Record Number: 1504
      Source Name: MSSQL$SONY_MEDIAMGR
      Time Written: 20090130170621.000000+060
      Event Type: warning
      User:

      Computer Name: BR
      Event Code: 1000
      Message: Faulting application cubasesx3.exe, version 3.1.1.944, faulting module a1.dll, version 1.0.1.0, fault address 0x0000cc27.

      Record Number: 1503
      Source Name: Application Error
      Time Written: 20090130165129.000000+060
      Event Type: error
      User:

      Computer Name: BR
      Event Code: 1002
      Message: Hanging application Cubasesx3.exe, version 3.1.1.944, hang module hungapp, version 0.0.0.0, hang address 0x00000000.

      Record Number: 1500
      Source Name: Application Hang
      Time Written: 20090130152447.000000+060
      Event Type: error
      User:

      Computer Name: BR
      Event Code: 19011
      Message:
      Record Number: 1455
      Source Name: MSSQL$SONY_MEDIAMGR
      Time Written: 20090129063743.000000+060
      Event Type: warning
      User:

      Computer Name: BR
      Event Code: 19011
      Message:
      Record Number: 1446
      Source Name: MSSQL$SONY_MEDIAMGR
      Time Written: 20090129025616.000000+060
      Event Type: warning
      User:

      ======Environment variables======

      "ComSpec"=%SystemRoot%\system32\cmd.exe
      "Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Microsoft SQL Server\80\Tools\Binn\;C:\Program Files\Common Files\iZotope\Runtimes;C:\Program Files\QuickTime\QTSystem\
      "windir"=%SystemRoot%
      "OS"=Windows_NT
      "PROCESSOR_ARCHITECTURE"=x86
      "PROCESSOR_LEVEL"=15
      "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 5, GenuineIntel
      "PROCESSOR_REVISION"=0205
      "NUMBER_OF_PROCESSORS"=2
      "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
      "TEMP"=%SystemRoot%\TEMP
      "TMP"=%SystemRoot%\TEMP
      "FP_NO_HOST_CHECK"=NO
      "CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
      "QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

      -----------------EOF-----------------
      0
  4. loloetseb Messages postés 5684 Statut Membre 174
     
    Relances hijack this "do a scan only" et coches les cases ci dessous,puis fix

    O4 - HKLM\..\Run: [a821a207] rundll32.exe "C:\WINDOWS\system32\qehevadw.dll",b
    O4 - HKLM\..\RunServices: [Winzip Application] winzip81.exe
    O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O20 - Winlogon Notify: opnmlfcb - opnmLfcB.dll (file missing)

    Ensuite:

    ---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :

    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe

    :files
    c:\windows\system32\qehevadw.dll
    c:\program files\bitlord\bitlord.exe
    c:\windows\system32\tuwagmoq.ini
    c:\program files\bitlord\uninst.exe

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "a821a207"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
    "Winzip Application"=-

    :commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]

    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    0
    1. Utilisateur anonyme
       
      Hello

      Fait supprimer carrément le dossier Bitlord.

      c:\program files\bitlord\uninst.exe

      ;)
      ++
      0
    2. matland
       
      ok : voici le log oldtimer :
      (je n'ai plus de message d'erreur au reboot )



      ========== PROCESSES ==========
      Process explorer.exe killed successfully.
      ========== FILES ==========
      File/Folder c:\windows\system32\qehevadw.dll not found.
      c:\program files\bitlord\BitLord.exe moved successfully.
      c:\windows\system32\tuwaGMoq.ini moved successfully.
      c:\program files\bitlord\uninst.exe moved successfully.
      ========== REGISTRY ==========
      Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\a821a207 not found.
      Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\Winzip Application not found.
      ========== COMMANDS ==========
      File delete failed. C:\DOCUME~1\BIKINI~1\LOCALS~1\Temp\~DFB4CD.tmp scheduled to be deleted on reboot.
      User's Temp folder emptied.
      User's Temporary Internet Files folder emptied.
      User's Internet Explorer cache folder emptied.
      Local Service Temp folder emptied.
      File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
      Local Service Temporary Internet Files folder emptied.
      File delete failed. C:\WINDOWS\temp\15ddc9aa-cc06-464f-a7d3-a270053bec50.tmp scheduled to be deleted on reboot.
      File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_6e4.dat scheduled to be deleted on reboot.
      Windows Temp folder emptied.
      Java cache emptied.
      FireFox cache emptied.
      Temp folders emptied.
      Explorer started successfully

      OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03222009_163647

      Files moved on Reboot...
      C:\DOCUME~1\BIKINI~1\LOCALS~1\Temp\~DFB4CD.tmp moved successfully.
      File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
      C:\WINDOWS\temp\15ddc9aa-cc06-464f-a7d3-a270053bec50.tmp moved successfully.
      File C:\WINDOWS\temp\Perflib_Perfdata_6e4.dat not found!
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. loloetseb Messages postés 5684 Statut Membre 174
     
    Ensuite:

    Télécharge SDFix sur ton bureau :
    ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
    ou ici http://download.bleepingcomputer.com/andymanchesta/SDFix.exe­
    ou ici http://sdfix.net/SDFix.exe

    --> Double-clique sur SDFix.exe et choisis "Install" .

    ( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

    Puis une fois l'installe faite ,

    Impératif : Démarrer en mode sans echec .

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarre ton ordi .
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).
    attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

    Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil .
    -->Tapes Y pour lancer le script ...
    Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
    presses une touche pour redémarrer quand il te le sera demandé .

    Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

    Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
    C:\SDFix sous le nom "Report.txt".
    0
  7. loloetseb Messages postés 5684 Statut Membre 174
     
    Ok tu peux continuer la procedure post 8.

    Verifies que le fichier signalait par cxx a bien disparu,mais a priori oui car Ot move it l'a supprimé

    Hello

    Fait supprimer carrément le dossier Bitlord.

    c:\program files\bitlord\uninst.exe

    Ca va CXX super le site Ad remover et Findy kill
    0
    1. matland
       
      Et voila le log SD fix ...
      ça a l'air pas mal ! ...

      je fait un pti reboot et chack un peu
      Merci beaucoup pour vos conseil ! vraiment efficaces et rapide, c'est top !




      [b]SDFix: Version 1.240 [/b]
      Run by Bikini Rumble on 22/03/2009 at 16:55

      Microsoft Windows XP [Version 5.1.2600]
      Running From: C:\SDFix

      [b]Checking Services [/b]:


      Restoring Default Security Values
      Restoring Default Hosts File

      Rebooting


      [b]Checking Files [/b]:

      Trojan Files Found:

      C:\-14741~1 - Deleted





      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-03-22 17:29:11
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\835450c2]
      "ImagePath"="\SystemRoot\System32\drivers\835450c2.sys"
      "Type"=dword:00000001
      "Start"=dword:00000001
      "ErrorControl"=dword:00000001
      "F96ZK6nPB"="YmluZGVyeXNlcnZpY2UubW9iaQ=="
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthabhgyruktoarigosbjbthnmahimtqqqo]
      "start"=dword:00000001
      "type"=dword:00000001
      "group"="file system"
      "imagepath"=str(2):"\systemroot\system32\drivers\ovfsthtopbanpbccmshfatbrwcfyhmqpegrvdg.sys"
      "inst"=dword:00000000

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthabhgyruktoarigosbjbthnmahimtqqqo\main]
      "ver"="icv190309"
      "cid"="01"
      "bid"="2820776616-1606980848-492894223-725345543"
      "aid"="303568"
      "sid"="167"
      "feed"=hex:22,64,78,36,3c,2e,3b,29,39,3b,3b,3a,04,4f,01,0c,09,65
      "cmddelay"=dword:00003841

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthabhgyruktoarigosbjbthnmahimtqqqo\modules]
      "ovfsth.dll"="\systemroot\system32\ovfsthljnnkxubvrfqeotcmswrcvstnhaqdplf.dll"
      "ovfsth.sys"="\systemroot\system32\drivers\ovfsthtopbanpbccmshfatbrwcfyhmqpegrvdg.sys"
      "ovfsthlog.dat"="\systemroot\system32\ovfsthfqwkwvfqvirradwsjxwdfeirjcefwywb.dat"
      "ovfsthwi.dll"="\systemroot\system32\ovfsthjkllpinvwaeamyocfjdwipmmpyvnmlfg.dll"
      "ovfsthff.dll"="\systemroot\system32\ovfsthrlxfysaplhsghpghutwbnjiqwrgkeuny.dll"
      "ovfsth.dat"="\systemroot\system32\ovfsthpirecpiwdfatagjbdfbahqjnmiottsbb.dat"
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\835450c2]
      "ImagePath"="\SystemRoot\System32\drivers\835450c2.sys"
      "Type"=dword:00000001
      "Start"=dword:00000001
      "ErrorControl"=dword:00000001
      "F96ZK6nPB"="YmluZGVyeXNlcnZpY2UubW9iaQ=="
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthabhgyruktoarigosbjbthnmahimtqqqo]
      "start"=dword:00000001
      "type"=dword:00000001
      "group"="file system"
      "imagepath"=str(2):"\systemroot\system32\drivers\ovfsthtopbanpbccmshfatbrwcfyhmqpegrvdg.sys"
      "inst"=dword:00000000

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthabhgyruktoarigosbjbthnmahimtqqqo\main]
      "ver"="icv190309"
      "cid"="01"
      "bid"="2820776616-1606980848-492894223-725345543"
      "aid"="303568"
      "sid"="167"
      "feed"=hex:22,64,78,36,3c,2e,3b,29,39,3b,3b,3a,04,4f,01,0c,09,65
      "cmddelay"=dword:00003841

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthabhgyruktoarigosbjbthnmahimtqqqo\modules]
      "ovfsth.dll"="\systemroot\system32\ovfsthljnnkxubvrfqeotcmswrcvstnhaqdplf.dll"
      "ovfsth.sys"="\systemroot\system32\drivers\ovfsthtopbanpbccmshfatbrwcfyhmqpegrvdg.sys"
      "ovfsthlog.dat"="\systemroot\system32\ovfsthfqwkwvfqvirradwsjxwdfeirjcefwywb.dat"
      "ovfsthwi.dll"="\systemroot\system32\ovfsthjkllpinvwaeamyocfjdwipmmpyvnmlfg.dll"
      "ovfsthff.dll"="\systemroot\system32\ovfsthrlxfysaplhsghpghutwbnjiqwrgkeuny.dll"
      "ovfsth.dat"="\systemroot\system32\ovfsthpirecpiwdfatagjbdfbahqjnmiottsbb.dat"

      scanning hidden registry entries ...

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
      "DisplayName"="Alcohol 120%"
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts]
      "Il\16x\x20ac{Ñ~ØS ?(?T?r?u?e?T?y?p?e?)?"="HDZB_35.TTF"

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\BitLord\\BitLord.exe"="C:\\Program Files\\BitLord\\BitLord.exe:*:Enabled:BitLord"
      "C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
      "C:\\WINDOWS\\system32\\lxdxcoms.exe"="C:\\WINDOWS\\system32\\lxdxcoms.exe:*:Enabled:Lexmark Communications System"
      "C:\\Program Files\\Lexmark 3600-4600 Series\\lxdxamon.exe"="C:\\Program Files\\Lexmark 3600-4600 Series\\lxdxamon.exe:*:Enabled:Lexmark Device Monitor"
      "C:\\Program Files\\Lexmark 3600-4600 Series\\frun.exe"="C:\\Program Files\\Lexmark 3600-4600 Series\\frun.exe:*:Enabled:Lexmark Productivity Studio"
      "C:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe"="C:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe:*:Enabled:Fax software"
      "C:\\Program Files\\Lexmark 3600-4600 Series\\lxdxmon.exe"="C:\\Program Files\\Lexmark 3600-4600 Series\\lxdxmon.exe:*:Enabled:Printer Device Monitor"
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxpswx.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxpswx.exe:*:Enabled:Printer Status Window Interface"
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxtime.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxtime.exe:*:Enabled:Lexmark Connect Time Executable"
      "C:\\Program Files\\Lexmark 3600-4600 Series\\lxdxlscn.exe"="C:\\Program Files\\Lexmark 3600-4600 Series\\lxdxlscn.exe:*:Enabled: "
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxjswx.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdxjswx.exe:*:Enabled:Job Status Window Interface"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
      "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
      "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
      "C:\\Program Files\\AVG\\AVG8\\avgam.exe"="C:\\Program Files\\AVG\\AVG8\\avgam.exe:*:Enabled:avgam.exe"
      "C:\\Program Files\\AVG\\AVG8\\avgdiag.exe"="C:\\Program Files\\AVG\\AVG8\\avgdiag.exe:*:Enabled:avgdiag.exe"
      "C:\\Program Files\\AVG\\AVG8\\avgdiagex.exe"="C:\\Program Files\\AVG\\AVG8\\avgdiagex.exe:*:Enabled:avgdiagex.exe"
      "C:\\Program Files\\AVG\\AVG8\\avgemc.exe"="C:\\Program Files\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"
      "C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
      "C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="C:\\Program Files\\AVG\\AVG8\\avgnsx.exe:*:Enabled:avgnsx.exe"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

      [b]Remaining Files [/b]:


      File Backups: - C:\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:

      Tue 3 Aug 2004 1,667,584 A..H. --- "C:\Program Files\Messenger\msmsgs.exe"
      Tue 16 Oct 2007 56 ..SHR --- "C:\WINDOWS\system32\58C37A460B.sys"
      Tue 16 Oct 2007 11,270 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
      Mon 23 Feb 2009 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
      Fri 16 Jan 2009 67,498,308 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\43e6d0380ceb871aaff3660af7090072\BIT2.tmp"

      [b]Finished![/b]
      0
  8. loloetseb Messages postés 5684 Statut Membre 174
     
    ce fichier apparait toujours sur sdfix,peux tu controler s'il est encore present?Si oui mets le à la poubelle

    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    - Coche Afficher les fichiers et dossiers cachés
    - Décoche Masquer les extensions des fichiers dont le type est connu
    - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    c:\program files\bitlord\bitlord.exe
    0
    1. matland
       
      A priori tout est ok.

      Un grand merci pour tous vos conseils !!
      Bonne soirée.
      0
  9. loloetseb Messages postés 5684 Statut Membre 174
     
    Supprimes les logiciels de desinfections inutiles avec tool cleaner

    http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
    ---> Télécharge ToolsCleaner2 sur ton Bureau.
    * Double-clique sur ToolsCleaner2.exe pour le lancer.
    * Clique sur Recherche et laisse le scan agir.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options Facultatives.
    * Clique sur Quitter pour obtenir le rapport.
    * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
    _________________________________________________

    Ensuite un scan de controle sur mks

    On va faire un scan en ligne avec mks anti trojans ,malwares et vers divers

    http://www.mks.com.pl/skaner/skaner.html

    Utilises ie car tu dois accepter un active x,installe le programme,une fenetre de scan et la mise a jour de la base doit s'effectuer (si elle ne s'effectue pas,cliques sur scan (skanej)sans cocher de case,la mise a jour va s'effectuer).

    Ensuite coches,c et d et lances le scan.

    Si mks te trouve des infections,il te proposera 5 choix (vacciner,renommer,supprimer,déplacer,ignorer).Cliques sur supprimer (skasuj).

    Supprimes tout ce qu'il te trouve

    Le site est en polonais.
    0
    1. matland
       
      voici le log de toolcleaner :

      [ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ]

      -->- Recherche:

      C:\VundoFix.txt: trouvé !
      C:\fixnavi.txt: trouvé !
      C:\SDFIX: trouvé !
      C:\Vundofix backups: trouvé !
      C:\_OtMoveIt: trouvé !
      C:\Rsit: trouvé !
      C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: trouvé !
      C:\Documents and Settings\All Users\Start Menu\Programs\Navilog1: trouvé !
      C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
      C:\Documents and Settings\All Users\Start Menu\Programs\Navilog1\Navilog1.lnk: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\SdFix.exe: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\HijackThis.lnk: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\VirtumundoBeGone.exe: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\Navilog1.exe: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\vundoFix.exe: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\SmitFraudFix.exe: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\fixnavi.txt: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\VBG.txt: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\OTMoveIt3.exe: trouvé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\Rsit.exe: trouvé !
      C:\Program Files\Navilog1: trouvé !
      C:\Program Files\Navilog1\Navilog1.bat: trouvé !
      C:\Program Files\Trend Micro\HijackThis: trouvé !
      C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !


      Corbeille vidée!
      ---------------------------------
      -->- Suppression:
      C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
      C:\Documents and Settings\All Users\Start Menu\Programs\Navilog1\Navilog1.lnk: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\SdFix.exe: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\HijackThis.lnk: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\VirtumundoBeGone.exe: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\Navilog1.exe: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\vundoFix.exe: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\SmitFraudFix.exe: supprimé !
      C:\Program Files\Navilog1\Navilog1.bat: supprimé !
      C:\VundoFix.txt: supprimé !
      C:\fixnavi.txt: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\fixnavi.txt: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\VBG.txt: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\OTMoveIt3.exe: supprimé !
      C:\Documents and Settings\Bikini Rumble\Desktop\Virus\Rsit.exe: supprimé !
      C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
      C:\SDFIX: supprimé !
      C:\Vundofix backups: supprimé !
      C:\_OtMoveIt: supprimé !
      C:\Rsit: supprimé !
      C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: supprimé !
      C:\Documents and Settings\All Users\Start Menu\Programs\Navilog1: supprimé !
      C:\Program Files\Navilog1: supprimé !
      C:\Program Files\Trend Micro\HijackThis: supprimé !
      0
  10. loloetseb Messages postés 5684 Statut Membre 174
     
    ok
    0