infection koobface

Question

Bonjour,

Je pense avoir été infecté par le virus koobface aujourd'hui.
En attachement le log de hijackthis. Si quelqu'un peux m'aider a y voir plus clair? 

Merci beaucoup.
Alex

Logfile of HijackThis v1.99.1
Scan saved at 22:20:13, on 24/03/2009
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\mstre15.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\System32undll32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\steph\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.be/ig/dell?hl=fr&client=dell-row&channel=be&ibd=5070124
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.be/hws/sb/dell-row/fr/side.html?channel=be
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.be/hws/sb/dell-row/fr/side.html?channel=be
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.be/hws/sb/dell-row/fr/side.html?channel=be
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.be/ig/dell?hl=fr&client=dell-row&channel=be&ibd=5070124
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [sysldtray] C:\Windows\ld02.exe
O4 - HKLM\..\Run: [sysfbtray] C:\Windows\freddy39.exe
O4 - HKLM\..\Run: [sysmstray] C:\Windows\mstre15.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [NetSP - restore settings on power failure] "C:\Program Files\AT&T Global Network Client\NetSP.exe" -show
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [dll] rundll32 dll32,sm
O4 - Global Startup: AT&T Global Network Client Monitor.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://hoylegames.sierra.com
O15 - Trusted Zone: http://www.tellmemorecorporate.com
O15 - Trusted Zone: http://www.tellmemorecorporate.com (HKLM)
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www6.albatross18.com/?tdfs=1&kw=games
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {3DB148C9-F5C6-4922-9DBD-FC9DDDAE75C3} (SignXML.MyCertipost) - https://postbox.be/rem/activex/SignXML.cab
O16 - DPF: {49312E18-AA92-4CC2-BB97-55DEA7BCADD6} (WMI Class) - http://support.euro.dell.com/systemprofiler/SysProExe.CAB
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.geni.com/ImageUploader_5_5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://update.microsoft.com/...
O16 - DPF: {80AEEC0E-A2BE-4B8D-985F-350FE869DC40} (HPDDClientExec Class) - http://h30155.www3.hp.com/ediags/dd/install/HPDriverDiagnosticsVista.cab
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://hoylegames.sierra.com/cab/WONWebLauncherControl.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.33/g_bin/eng/wordssingle_2_0_0_48.cab
O16 - DPF: {C260BE74-C3C2-468C-97C5-F59F4202127B} (Attachment.UC) - https://postbox.be/rem/activex/Attachment.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F2A1830-2A9F-4EF1-B01C-BAECF10D3CA0}: NameServer = 135.76.195.40,135.76.52.40
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: WgaLogon - C:\Windows\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\Windows\system32\wpdshserviceobj.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kwari.xLoader - Unknown owner - C:\Users\steph\AppData\Local\Micro.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Network Configuration Service (netcfgsvr) - AT&T - C:\Program Files\AT&T Global Network Client
etcfgsvr.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Program Files\No-IP\DUC20.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Tor Win32 Service (tor) - Unknown owner - C:\Program Files\Vidalia Bundle\Tor	or.exe" --nt-service -f "C:\Users\steph\AppData\Roaming\Vidalia	orrc" ControlPort 9051 (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\TightVNC\WinVNC.exe" -service (file missing)
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

pimprenelle27 · Answer

AD-Remover : recherche

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#x25B6; Télécharge et enregistre le fichier d installation sur ton bureau :

  http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe  

&#x25B6; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

&#x25B6; Ouvre le dossier Ad-remover présent sur ton bureau

&#x25B6; Double clique sur Ad-remover.bat.

* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

&#x25B6; Au menu principal choisi l'option "A"

&#x25B6; Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Shemhazai · Answer

Bonsoir,

Un coup d'antivirus (type avast) et antispyware (style Spybot) pour vérifier tout çà et reviens :)

Cordialement

pimprenelle27 · Answer

Merci Shemhazai un antivirus surtout avast de merde ne fait pas tout désolé.

pretender · Answer

Bonjour,

MErci pour la reponse rapide...

J'ai fait comme indiqué mais a la fin de l'execution de Ad-remover (qui s"installe dans les programme) je ne retrouve le fichier de log (C:\Ad-report.log) nulle part :(
Je ne vois pas ce que j'ai mal fait...

Merci pour l'assitance,
Alex

pretender · Answer

Pour Shemhazai. Dsl je n'ai pas pensé à le dire mais j'ai bien passé avast et spybot mais j'ai vu que mes contacts on recu de nouveau le "message virus" sur la messagerie apres le notoyage donc je suis pas tout a fait sur que j'en suis debarassé...

Cordialement

pretender · Answer

Bonjour,

Oui j'ai lancé le scan, j'ai ensuite un message qui dit  de patienter puis tout de suite apres la fenetre se ferme mais je trouve le fi-hier de log nul part...

Cordialement,
Alex

pimprenelle27 · Answer

C'est bizarre dans ton rapport hijackthis il y a Boonty Games - BOONTY et adremove ne trouve rien bizarre ça.

Fait ceci : 

Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

pimprenelle27 · Answer

ok maintenant fais quand même ceci : 

Telecharge malwarebytes

NB : S'il te manque COMCTL32.OCX alors télécharge le ici

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log


Tutoriaux

pretender · Answer

Bonjour,

Voici le rapport, il trouvé des choses malgres Kaspersky !

Aurriez-vous des conseils sur les produits commerciaux ou non qui me permettent de proteger mon ordinatuer dans le futur? Merci encore !

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1910
Windows 6.0.6001 Service Pack 1

28/03/2009 11:33:09
mbam-log-2009-03-28 (11-33-09).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 285603
Temps écoulé: 1 hour(s), 37 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\pp04.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\msmark2.dat (Trojan.KoobFace) -> Quarantined and deleted successfully.
C:\Windows	55ft2792f44.dat (Trojan.KoobFace) -> Quarantined and deleted successfully.
C:\Windows	55ft2798f44.dat (Trojan.KoobFace) -> Quarantined and deleted successfully.
C:\Windows	55ft2810f44.dat (Trojan.KoobFace) -> Quarantined and deleted successfully.
C:\Windows\System32\~.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

pimprenelle27 · Answer

ok maintenant vide la quarantaine de malware et fait moi ceci ensuite : 

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner


Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

pretender · Answer

Bonjour,

Voici le log, j'ai mis que le resultat sans le details car ensuite suit une liste de 652 fichiers... Dis moi si tu as besoin de plus de details, je le posterai en plusieurs messages...

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 03/29/2009 at 01:24 AM

Application Version : 4.26.1000

Core Rules Database Version : 3816
Trace Rules Database Version: 1770

Scan type       : Complete Scan
Total Scan Time : 05:17:30

Memory items scanned      : 783
Memory threats detected   : 0
Registry items scanned    : 7400
Registry threats detected : 0
File items scanned        : 1043990
File threats detected     : 652

pimprenelle27 · Answer

et c'est quoi comme fichier trojan, cookies ou autre?

pretender · Answer

Bonjour,

Uniquement des "Adware.Tracking Cookie". 

Tu penses que c'en est terminé? Je voudrais aussi savoir quels logiciels, commerciaux ou non tu me conseilles d'utiliser pour me protéger dans le futur? 

Merci encore pour le temps consacré.

Cordialement,
Alex

pimprenelle27 · Answer

il n'ya a que ça du début jusqu'à la fin, si oui supprime tout ça et ensuite fais ceci : 

Télécharger RemoveIT Pro

Fais un scan et poste moi le full rapport log.

A la fin du 1er scan, s'il demande de faire un scan complet dite oui et à la fin du 2ème scan, si virus trouvé cliquez sur fix pour nettoyer des virus trouvés.

pretender · Answer

Bonjour,

Il a trouvé 14 virus ! :( a croire que mon ordi est verolé...

Voici le rapport:

RemoveIT Pro v4 - SE (Build date: 6.6.2008) full information log file.
Generated at: 31/03/2009 on 18:41:05
Microsoft Windows Vista Professional Service Pack 1 (Build 6001)
Author: Damjan Irgolic
https://www.incodesolutions.com/
support@incodesolutions.com


Running processes: (15)
C:\WINDOWS\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Windows\System32undll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32undll32.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\InCode Solutions\RemoveIT Pro v4 - SEemoveit.exe

Startup files:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Sidebar
[C:\Program Files\Windows Sidebar\sidebar.exe /autoRun]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
[C:\WINDOWS\system32\ctfmon.exe]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\IncrediMail
[C:\Program Files\IncrediMail\bin\IncMail.exe /c]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\msnmsgr
["C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ISUSPM Startup
[C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\DellSupportCenter
["C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Messenger (Yahoo!)
["C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\NetSP - restore settings on power failure
["C:\Program Files\AT&T Global Network Client\NetSP.exe" -show]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Vidalia
["C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Steam
["C:\Program Files\Steam\Steam.exe" -silent]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WMPNSCFG
[C:\Program Files\Windows Media Player\WMPNSCFG.exe]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SUPERAntiSpyware
[C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\dscactivate
["C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Spamihilator
["C:\Program Files\Spamihilator\spamihilator.exe"]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel and Hardware Abstraction Layer
[KHALMNPR.EXE]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\DellSupportCenter
["C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\NvSvc
[RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon
[RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\NvMediaCenter
[RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Mobile-based device management
[%windir%\WindowsMobile\wmdSync.exe]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AppleSyncNotifier
[C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task
["C:\Program Files\QuickTime\QTTask.exe" -atboottime]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper
["C:\Program Files\iTunes\iTunesHelper.exe"]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched
["C:\Program Files\Java\jre6\bin\jusched.exe"]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher
["C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AVP
["C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"]

Detail report: (87)
Clsid c:\progra~1\kasper~1\kasper~1\mzvkbd.dll[42d13f21ac4dc7f5674d18697ccfc8ab][79112]
Clsid c:\program files\superantispyware\saswinlo.dll[972edede23ac8d59aac0c09799c6f18a][356352]
Clsid C:\Windows\system32\iconcodecservice.dll[08578f3ca5365f896d90ce2bf97fd000][9728]
Clsid c:\windows\system32\klogon.dll[a09ef6a4793948a74060c70ad423f067][218376]
Clsid C:\Windows\system32\wgalogon.dll[90261fa191103a9912ead72a77909089][236928]
Proc C:\Program Files\Dell Support Center\bin\sprtcmd.exe[3917664c26b4344768c288bba6fefcb6][206064]
Proc C:\Program Files\InCode Solutions\RemoveIT Pro v4 - SEemoveit.exe[0852da33822cd6d79e71416cc199656d][551424]
Proc C:\Program Files\iTunes\iTunesHelper.exe[e6a4e341e4304b34aa280d3e73818c90][290088]
Proc C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe[df5cf18a5d452a1634ced071c82834de][250368]
Proc C:\Program Files\Windows Media Player\wmpnscfg.exe[35937ead711207544e219c2a19a78a7d][202240]
Proc C:\Program Files\Windows Sidebar\sidebar.exe[fd278e51a7d6f52d22fce6c67e037ad6][1233920]
Proc C:\Windows\Explorer.EXE[4f554999d7d5f05daaebba7b5ba1089d][2927104]
Proc C:\Windows\system32\Dwm.exe[59903071d7ace6a02093c47e9e38af97][81920]
Proc C:\Windows\System32\mobsync.exe[9b89b3bb79ea1acf041f40a7b6fc5827][95744]
Proc C:\Windows\System32undll32.exe[4b555106290bd117334e9a08761c035a][44544]
Proc C:\WINDOWS\system32	askeng.exe[5f109032ce46b7184ed9e50f9fe8489e][169472]
Proc C:\Windows\system32\wbem\unsecapp.exe[25873356e52849c3f5b3f1b02317e8c8][37888]
Proc C:\Windows\WindowsMobile\wmdSync.exe[4ab05041d5c922b9a7a5d9059f5538cd][215552]
RegRun c:\progra~1\common~1\instal~1\update~1\isuspm.exe [053d8d245118bea6e21e1812871f67ba][221184]
RegRun c:\program files\adobeeader 9.0eadereader_sl.exe[452fa961163ef4aee4815796a13ab2cf][35696]
RegRun c:\program files\at&t global network client
etsp.exe [7ff7716f17077ff79ae96d24d045d0a2][87320]
RegRun c:\program files\common files\apple\mobile device support\bin\applesyncnotifier.exe[3c59cb80d1849128c14ff2b3245419be][111936]
RegRun c:\program files\dell support center\bin\sprtcmd.exe [3917664c26b4344768c288bba6fefcb6][206064]
RegRun c:\program files\dell support center\gs_agent\custom\dsca.exe[267b3a856e9f4db1cabd4e6db71e07d2][16384]
RegRun c:\program files\incredimail\bin\incmail.exe [3d5cbe4f8f35dd2c26f9951b5a2ebeaf][251264]
RegRun c:\program files\itunes\ituneshelper.exe[e6a4e341e4304b34aa280d3e73818c90][290088]
RegRun c:\program files\java\jre6\bin\jusched.exe[b98ffa8288efaabc436c30d198608345][136600]
RegRun c:\program files\kaspersky lab\kaspersky internet security 2009\avp.exe[b66d20e5ee3082c5d9ca008e412572d2][206088]
RegRun c:\program files\quicktime\qttask.exe [9c9b6807425cef840c117654d8b033d1][413696]
RegRun c:\program files\spamihilator\spamihilator.exe[f4c1ac3cffbe8dbaa61be070159b952e][1223680]
RegRun c:\program files\steam\steam.exe [e2f041f209d4adda9882778a11eab922][1410296]
RegRun c:\program files\superantispyware\superantispyware.exe[b715b35ca9c21e511ec83a316e20a466][1830128]
RegRun c:\program files\vidalia bundle\vidalia\vidalia.exe[2a689d76966099942827ac29ee772706][4033618]
RegRun c:\program files\windows live\messenger\msnmsgr.exe [35b9fa77b73358d9063cd61aa3d83ee8][3885408]
RegRun c:\program files\windows media player\wmpnscfg.exe[35937ead711207544e219c2a19a78a7d][202240]
RegRun c:\program files\windows sidebar\sidebar.exe [fd278e51a7d6f52d22fce6c67e037ad6][1233920]
RegRun c:\program files\yahoo!\messenger\yahoomessenger.exe [165a310ca2d2b167354a61514409adc9][4347120]
RegRun C:\Windows\khalmnpr.exe[90e4ed0445f73ca0d625023bbbf426d1][69632]
RegRun c:\windows\system32\ctfmon.exe[22bfd03df51065a9ed8d17f8fb72296b][8704]
RegRun c:\windows\system32
vcpl.dll[8cb1418febc2dff96e5682ffd1da714b][8497696]
RegRun c:\windows\system32
vmctray.dll[2c9d055c83da968f2b7c6377899a91c3][81920]
RegRun c:\windows\system32
vsvc.dll[ce7da358e05f2beeee7b3f5b65e6c5ee][86016]
RegRun c:\windows\windowsmobile\wmdsync.exe[4ab05041d5c922b9a7a5d9059f5538cd][215552]
Service c:\program files\at&t global network client
etcfgsvr.exe[7dad09ba92d3660088673ca8cd11d37e][562456]
Service c:\program files\bonjour\mdnsresponder.exe[3f56903e124e820aeece6d471583c6c1][238888]
Service c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe[a8aa9d47f971570a5162b862b80f87e8][132424]
Service c:\program files\common files\boonty shared\service\boonty.exe[f347f272c27aef22cd97e943c1418030][69120]
Service c:\program files\common files\logishrd\bluetooth\lbtserv.exe[45b7d6bd6f59cba3fb6bf202223f4264][121360]
Service c:\program files\common files\microsoft shared\source engine\ose.exe[7a56cf3e3f12e8af599963b16f50fb6a][89136]
Service c:\program files\common files\steam\steamservice.exe [5a64a3645a6364126b6764a416845674][316664]
Service c:\program files\dell support center\bin\sprtsvc.exe [777115c9cc675bd98127660712d2f784][201968]
Service c:\program files\ipod\bin\ipodservice.exe[62937a89470af8ff172f0980ca8aefc9][536872]
Service c:\program files\kaspersky lab\kaspersky internet security 2009\avp.exe [b66d20e5ee3082c5d9ca008e412572d2][206088]
Service c:\program files
o-ip\duc20.exe [74d679b8f4331e453431efb423aecece][1172992]
Service c:\program files	ightvnc\winvnc.exe [390caf4986e4cbc18e5abf9825895b40][589824]
Service c:\program files\vidalia bundle	or	or.exe [1a60f36f543e2b7f316d40aed2724fdf][2151936]
Service c:\program files\windows media player\wmpnetwk.exe[3978704576a121a9204f8cc49a301a9b][896512]
Service c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe[d87acaed61e417bba546ced5e7e36d9c][69632]
Service c:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe[7b630acaed64fef0c3e1cf255cb56686][881664]
Service c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe[0ad5876ef4e9eb77c8f93eb5b2fff386][132096]
Service c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe[c9be08664611ddaf98e2331e9288b00b][46104]
Service c:\windows\servicing	rustedinstaller.exe[16613a1bad034d4ecf957af18b7c2ff5][39424]
Service c:\windows\system32\alg.exe[a1545b731579895d8cc44fc0481c1192][59392]
Service c:\windows\system32\dfsr.exe[fa3463f25f9cc9c3bcf1e7912feff099][2091520]
Service c:\windows\system32\dllhost.exe [be01e566d1f569aab32d0335613e1eea][7168]
Service c:\windows\system32\fxssvc.exe[dfba0f60fa301e5b1bfb1403a93ee23e][523776]
Service c:\windows\system32\locator.exe[5123f83cbc4349d065534eeb6bbdc42b][7680]
Service c:\windows\system32\lsass.exe[dcf733788c7d088d814e5f80eb4b3e0f][9728]
Service c:\windows\system32\msdtc.exe[fd7520cc3a80c5fc8c48852bb24c6ded][105984]
Service c:\windows\system32\searchindexer.exe [7778bdfa3f6f6fba0e75b9594098f737][439808]
Service c:\windows\system32\slsvc.exe[0ba91e1358ad25236863039bb2609a2e][2623488]
Service c:\windows\system32\snmptrap.exe[2a146a055b4401c16ee62d18b8e2a032][12800]
Service c:\windows\system32\spoolsv.exe[846cdf9a3cf4da9b306adfb7d55ee4c2][125952]
Service c:\windows\system32\svchost.exe [3794b461c45882e06856f282eef025af][21504]
Service c:\windows\system32	lntsvr.exe[a33dbe2e8a58319e03b4c98507a3c9b4][75776]
Service c:\windows\system32\ui0detect.exe[ecef404f62863755951e09c802c94ad5][35840]
Service c:\windows\system32\vds.exe[b13bc395b9d6116628f5af47e0802ac4][382976]
Service c:\windows\system32\vssvc.exe[d5fb73d19c46ade183f968e13f186b23][1054720]
Service c:\windows\system32\wbem\wmiapsrv.exe[aba4cf9f856d9a3a25f4ddd7690a6e9d][137728]
Service c:\windows\system32\wbengine.exe[f0e594dd07b2163df9f5d5b6b471ddfa][917504]
Startup c:\program files\hp\digital imaging\bin\hpqtra08.exe[1ba45cdef852381da4a95d056ddb4b48][210520]
Startup c:\program files\logitech\setpoint\setpoint.exe[bee697e8f1c3d88f5dcb14e3b246b6cb][809488]
Startup c:\program files\vidalia bundle\privoxy\privoxy.exe[df5cf18a5d452a1634ced071c82834de][250368]
Startup c:\programdata\microsoft\windows\start menu\programs\startup\desktop.ini 53ecf44e868145468a128bdc83.exe[7f1698bab066b764a314a589d338daae][174]
Startup c:\users\steph\appdataoaming\microsoft\windows\start menu\programs\startup\desktop.ini[7f1698bab066b764a314a589d338daae][174]
Startup c:\windows\installer\{2019affe-e71f-4ba3-9ac4-4bac6641ed91}
etgm1_89563e53ecf44e868145468a128bdc83.exe[af02eea1e0ab88ff65cf22a8cdf4e246][69632]
System.ini c:\windows\system32\svchost.exe [3794b461c45882e06856f282eef025af][21504]

Startup folder: (6)
Startup name: desktop.ini
Command: C:\Users\steph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
Startup name: AT&T Global Network Client Monitor.lnk
Command: C:\Windows\Installer\{2019AFFE-E71F-4BA3-9AC4-4BAC6641ED91}\NetGM1_89563E53ECF44E868145468A128BDC83.exe
Startup name: desktop.ini
Command: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini 53ECF44E868145468A128BDC83.exe
Startup name: HP Digital Imaging Monitor.lnk
Command: C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
Startup name: Logitech SetPoint.lnk
Command: C:\Program Files\Logitech\SetPoint\SetPoint.exe
Startup name: Privoxy.lnk
Command: C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe

Win.ini Startup: (1)
Path: No additional driver found!

Win.ini Startup: (1)
Path: No additional driver found!

Keyboard drivers: (1)
Name: No Keyboard Filter driver found!

Services: (149)
Service Name: Accès du périphérique d'interface utilisateur [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Acquisition d'image Windows (WIA) [Running], 
Path: C:\Windows\system32\svchost.exe -k imgsvc
Service Name: Agent de protection d’accès réseau [Stopped], 
Path: C:\Windows\System32\svchost.exe -k NetworkService
Service Name: Agent de stratégie IPsec [Running], 
Path: C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
Service Name: Appel de procédure distante (RPC) [Running], 
Path: C:\Windows\system32\svchost.exe -k rpcss
Service Name: Apple Mobile Device [Running], 
Path: "C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
Service Name: Application système COM+ [Stopped], 
Path: C:\Windows\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
Service Name: Assistance IP [Running], 
Path: C:\Windows\System32\svchost.exe -k NetSvcs
Service Name: Assistance NetBIOS sur TCP/IP [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Audio Windows [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Boonty Games [Stopped], 
Path: "C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe"
Service Name: Cache de police de Windows Presentation Foundation 3.0.0.0 [Stopped], 
Path: C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
Service Name: Carte à puce [Stopped], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Carte de performance WMI [Stopped], 
Path: C:\Windows\system32\wbem\WmiApSrv.exe
Service Name: Centre de sécurité [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Cliché instantané de volume [Stopped], 
Path: C:\Windows\system32\vssvc.exe
Service Name: Client de stratégie de groupe [Running], 
Path: C:\Windows\system32\svchost.exe -k GPSvcGroup
Service Name: Client de suivi de lien distribué [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Client DHCP [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Client DNS [Stopped], 
Path: C:\Windows\system32\svchost.exe -k NetworkService
Service Name: Collecteur d'événements de Windows [Stopped], 
Path: C:\Windows\system32\svchost.exe -k NetworkService
Service Name: Configuration automatique de réseau câblé [Stopped], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Configuration des services Terminal Server [Stopped], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Connaissance des emplacements réseau [Running], 
Path: C:\Windows\System32\svchost.exe -k NetworkService
Service Name: Connectivité de l'appareil Windows Mobile [Running], 
Path: C:\Windows\system32\svchost.exe -k WindowsMobile
Service Name: Connectivité de l'appareil Windows Mobile 2003 [Running], 
Path: C:\Windows\system32\svchost.exe -k WindowsMobile
Service Name: Connexions réseau [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Coordinateur de transactions distribuées [Stopped], 
Path: C:\Windows\System32\msdtc.exe
Service Name: Découverte SSDP [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Détection de services interactifs [Stopped], 
Path: C:\Windows\system32\UI0Detect.exe
Service Name: Détection matériel noyau [Running], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Disque virtuel [Stopped], 
Path: C:\Windows\System32\vds.exe
Service Name: Emplacement protégé [Running], 
Path: C:\Windows\system32\lsass.exe
Service Name: Énumérateur de bus IP PnP-X [Stopped], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Expérience audio-vidéo haute qualité Windows [Stopped], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Expérience d’application [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Explorateur d'ordinateurs [Running], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Fichiers hors connexion [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Fournisseur de cliché instantané de logiciel Microsoft [Stopped], 
Path: C:\Windows\System32\svchost.exe -k swprv
Service Name: Générateur de points de terminaison du service Audio Windows [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Gestion à distance de Windows (Gestion WSM) [Stopped], 
Path: C:\Windows\System32\svchost.exe -k NetworkService
Service Name: Gestion d'applications [Stopped], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Gestion des clés et des certificats d'intégrité [Stopped], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Gestionnaire de comptes de sécurité [Running], 
Path: C:\Windows\system32\lsass.exe
Service Name: Gestionnaire de connexion automatique d'accès distant [Stopped], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Gestionnaire de connexions d'accès distant [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Gestionnaire de sessions du Gestionnaire de fenêtrage [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Gestionnaire d'identité réseau homologue [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Groupement de mise en réseau de pairs [Stopped], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Horloge Windows [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Hôte de périphérique UPnP [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Hôte du fournisseur de découverte de fonctions [Stopped], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Hôte système de diagnostics [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: hpqcxs08 [Running], 
Path: C:\Windows\system32\svchost.exe -k hpdevmgmt
Service Name: Informations d'application [Stopped], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Infrastructure de gestion Windows [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Interruption SNMP [Stopped], 
Path: C:\Windows\System32\snmptrap.exe
Service Name: Isolation de clé CNG [Running], 
Path: C:\Windows\system32\lsass.exe
Service Name: Journal d’événements Windows [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Journaux & alertes de performance [Stopped], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork
Service Name: Kaspersky Internet Security [Running], 
Path: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" -r
Service Name: Kwari.xLoader [Stopped], 
Path: C:\Users\steph\AppData\Local\Micro Forte\Kwari\Kwari.xLoader.32
Service Name: Lanceur de processus serveur DCOM [Running], 
Path: C:\Windows\system32\svchost.exe -k DcomLaunch
Service Name: Licence du logiciel [Running], 
Path: C:\Windows\system32\SLsvc.exe
Service Name: Localisateur d'appels de procédure distante (RPC) [Stopped], 
Path: C:\Windows\system32\locator.exe
Service Name: Logitech Bluetooth Service [Stopped], 
Path: C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
Service Name: Mappage de découverte de topologie de la couche de liaison [Stopped], 
Path: C:\Windows\System32\svchost.exe -k LocalService
Service Name: Microsoft .NET Framework NGEN v2.0.50727_X86 [Stopped], 
Path: C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
Service Name: Modules de génération de clés IKE et AuthIP [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Moteur de filtrage de base [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
Service Name: Net Driver HPZ12 [Running], 
Path: C:\Windows\System32\svchost.exe -k HPZ12
Service Name: Netlogon [Stopped], 
Path: C:\Windows\system32\lsass.exe
Service Name: Network Configuration Service [Running], 
Path: "C:\Program Files\AT&T Global Network Client
etcfgsvr.exe"
Service Name: NoIPDUCService [Running], 
Path: C:\Program Files\No-IP\DUC20.exe -service
Service Name: Office Source Engine [Stopped], 
Path: "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE"
Service Name: Ouverture de session secondaire [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Pare-feu Windows [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
Service Name: Partage de connexion Internet (ICS) [Stopped], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Planificateur de classes multimédias [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Planificateur de tâches [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Plug-and-Play [Running], 
Path: C:\Windows\system32\svchost.exe -k DcomLaunch
Service Name: Pml Driver HPZ12 [Running], 
Path: C:\Windows\System32\svchost.exe -k HPZ12
Service Name: Prise en charge de l’application Rapports et solutions aux problèmes du Panneau de configuration [Stopped], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Programme d’installation de modules Windows [Running], 
Path: C:\Windows\servicing\TrustedInstaller.exe
Service Name: Propagation du certificat [Stopped], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Protocole de résolution de noms d'homologues [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Protocole EAP (Extensible Authentication Protocol) [Running], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Publication des ressources de découverte de fonctions [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Redirecteur de port du mode utilisateur des services Terminal Server [Stopped], 
Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Registre à distance [Stopped], 
Path: C:\Windows\system32\svchost.exe -k regsvc
Service Name: Réplication DFS [Stopped], 
Path: C:\Windows\system32\DFSR.exe
Service Name: Routage et accès distant [Stopped], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Sauvegarde Windows [Stopped], 
Path: C:\Windows\system32\svchost.exe -k SDRSVC
Service Name: Serveur [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Serveur de priorités des threads [Stopped], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Service Bonjour [Running], 
Path: "C:\Program Files\Bonjour\mDNSResponder.exe"
Service Name: Service de configuration automatique WLAN [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Service de découverte automatique de Proxy Web pour les services HTTP Windows [Stopped], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Service de l’Assistant Compatibilité des programmes [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Service de l’iPod [Running], 
Path: "C:\Program Files\iPod\bin\iPodService.exe"
Service Name: Service de la passerelle de la couche Application [Stopped], 
Path: C:\Windows\System32\alg.exe
Service Name: Service de moteur de sauvegarde en mode bloc [Stopped], 
Path: "C:\Windows\system32\wbengine.exe"
Service Name: Service de notification d’événements système [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Service de notification de l’interface utilisateur SL [Stopped], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Service de partage de ports Net.Tcp [Stopped], 
Path: "C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"
Service Name: Service de prise en charge Bluetooth [Running], 
Path: C:\Windows\system32\svchost.exe -k bthsvcs
Service Name: Service de profil utilisateur [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Service de publication des noms d’ordinateurs PNRP [Stopped], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
Service Name: Service de rapport d'erreurs Windows [Running], 
Path: C:\Windows\System32\svchost.exe -k WerSvcGroup
Service Name: Service de stratégie de diagnostic [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork
Service Name: Service de transfert intelligent en arrière-plan [Running], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Service Énumérateur d’appareil mobile [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Service hôte WDIServiceHost [Stopped], 
Path: C:\Windows\System32\svchost.exe -k wdisvc
Service Name: Service HP CUE DeviceDiscovery [Running], 
Path: C:\Windows\system32\svchost.exe -k hpdevmgmt
Service Name: Service Initiateur iSCSI de Microsoft [Stopped], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Service Interface du magasin réseau [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Service KtmRm pour Distributed Transaction Coordinator [Running], 
Path: C:\Windows\System32\svchost.exe -k NetworkService
Service Name: Service Liste des réseaux [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalService
Service Name: Service Panneau de saisie Tablet PC [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Service Partage réseau du Lecteur Windows Media [Running], 
Path: "C:\Program Files\Windows Media Player\wmpnetwk.exe"
Service Name: Service ReadyBoost [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Service SSTP (Secure Socket Tunneling Protocol) [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Services de base de module de plateforme sécurisée [Stopped], 
Path: C:\Windows\System32\svchost.exe -k LocalService
Service Name: Services de chiffrement [Running], 
Path: C:\Windows\system32\svchost.exe -k NetworkService
Service Name: Services Terminal Server [Running], 
Path: C:\Windows\System32\svchost.exe -k NetworkService
Service Name: Spouleur d'impression [Running], 
Path: C:\Windows\System32\spoolsv.exe
Service Name: Station de travail [Running], 
Path: C:\Windows\System32\svchost.exe -k LocalService
Service Name: Steam Client Service [Stopped], 
Path: C:\Program Files\Common Files\Steam\SteamService.exe /RunAsService
Service Name: Stratégie de retrait de la carte à puce [Stopped], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: Superfetch [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: SupportSoft Sprocket Service (dellsupportcenter) [Running], 
Path: C:\Program Files\Dell Support Center\bin\sprtsvc.exe /service /p dellsupportcenter
Service Name: Système de couleurs Windows [Stopped], 
Path: C:\Windows\system32\svchost.exe -k wcssvc
Service Name: Système d'événement COM+ [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Télécopie [Stopped], 
Path: C:\Windows\system32\fxssvc.exe
Service Name: Téléphonie [Running], 
Path: C:\Windows\System32\svchost.exe -k NetworkService
Service Name: Telnet [Stopped], 
Path: C:\Windows\System32	lntsvr.exe
Service Name: Thèmes [Running], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: Tor Win32 Service [Running], 
Path: "C:\Program Files\Vidalia Bundle\Tor	or.exe" --nt-service -f "C:\Users\steph\AppData\Roaming\Vidalia	orrc" ControlPort 9051
Service Name: User Privilege Service [Stopped], 
Path: C:\Windows\System32\svchost.exe -k netsvcs
Service Name: VNC Server [Running], 
Path: "C:\Program Files\TightVNC\WinVNC.exe" -service
Service Name: WebClient [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalService
Service Name: Windows CardSpace [Stopped], 
Path: "C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"
Service Name: Windows Connect Now - Registre de configuration [Stopped], 
Path: C:\Windows\System32\svchost.exe -k LocalService
Service Name: Windows Defender [Running], 
Path: C:\Windows\System32\svchost.exe -k secsvcs
Service Name: Windows Driver Foundation - Infrastructure de pilote mode-utilisateur [Running], 
Path: C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Service Name: Windows Installer [Stopped], 
Path: C:\Windows\system32\msiexec /V
Service Name: Windows Search [Running], 
Path: C:\Windows\system32\SearchIndexer.exe /Embedding
Service Name: Windows Update [Running], 
Path: C:\Windows\system32\svchost.exe -k netsvcs
Service Name: WMP54Gv4SVC [Stopped], 
Path: "C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe"
Finished...

pimprenelle27 · Answer

tu as pu supprimer les 14 virus? fait moi un hijackthis, j'ai vu encore quelque chose dans ce dernier rapport.

pretender · Answer

Salut,

Oui j'ai pu supprimer les virus.
Voici le rapport demandé:

Logfile of HijackThis v1.99.1
Scan saved at 12:27:50, on 12/04/2009
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\steph\Desktop\hijackthis_199\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.be/ig/dell?hl=fr&client=dell-row&channel=be&ibd=5070124
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.be/hws/sb/dell-row/fr/side.html?channel=be
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.be/hws/sb/dell-row/fr/side.html?channel=be
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.be/hws/sb/dell-row/fr/side.html?channel=be
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.be/ig/dell?hl=fr&client=dell-row&channel=be&ibd=5070124
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://hoylegames.sierra.com
O15 - Trusted Zone: http://www.tellmemorecorporate.com
O15 - Trusted Zone: http://www.tellmemorecorporate.com (HKLM)
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www6.albatross18.com/?tdfs=1&kw=games
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {3DB148C9-F5C6-4922-9DBD-FC9DDDAE75C3} (SignXML.MyCertipost) - https://postbox.be/rem/activex/SignXML.cab
O16 - DPF: {49312E18-AA92-4CC2-BB97-55DEA7BCADD6} (WMI Class) - http://support.euro.dell.com/systemprofiler/SysProExe.CAB
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.geni.com/ImageUploader_5_5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://update.microsoft.com/...
O16 - DPF: {80AEEC0E-A2BE-4B8D-985F-350FE869DC40} (HPDDClientExec Class) - http://h30155.www3.hp.com/ediags/dd/install/HPDriverDiagnosticsVista.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.33/g_bin/eng/wordssingle_2_0_0_48.cab
O16 - DPF: {C260BE74-C3C2-468C-97C5-F59F4202127B} (Attachment.UC) - https://postbox.be/rem/activex/Attachment.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: klogon - C:\Windows\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\Windows\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\Windows\system32\wpdshserviceobj.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" -r (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kwari.xLoader - Unknown owner - C:\Users\steph\AppData\Local\Micro.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Program Files\No-IP\DUC20.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Tor Win32 Service (tor) - Unknown owner - C:\Program Files\Vidalia Bundle\Tor	or.exe" --nt-service -f "C:\Users\steph\AppData\Roaming\Vidalia	orrc" ControlPort 9051 (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\TightVNC\WinVNC.exe" -service (file missing)
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Merci,
Alex

pimprenelle27 · Answer

Il reste encore une infection boonty : 

AD-Remover : recherche

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#x25B6; Télécharge et enregistre le fichier d installation sur ton bureau :

  http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe  

&#x25B6; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

&#x25B6; Ouvre le dossier Ad-remover présent sur ton bureau

&#x25B6; Double clique sur Ad-remover.bat.

* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

&#x25B6; Au menu principal choisi l'option "A"

&#x25B6; Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

pretender · Answer

Bonjour,

Comme j'avais deja dis la derniere fois, le programe Ad-remover s'execute mais des que je presse l'option A il s'arrete quasi tout de suite en fermant la fenetrre (pas le temps de lire le message). Ensuite je trouve aucun rappport. J'ai essayé aussi en desactivant kaspersky mais meme resultat...

A propos de boonty, je suis surpris que tu trouves que ce soit une infection car j'ai plusieurs jeux de ce distributeur installé sur ma machine...

Alex

pimprenelle27 · Answer

s'il y a des programme fais pour l'enlever, c'est ce que boonty n'est bon du tout, après c'est pour ton pc que je te dis ça.


As tu désactivé le contrôle des comptes et redémaré?

pretender · Answer

Bonjour,

Oui le controle des comptes utilisateurs est desactivé.
A chaque fois que je lance l'application, il semble qu'il y ai unmessage d'erreur mais je n'ai pas le temps de lire et la fenetre se ferme automatiquement.

Alex

pimprenelle27 · Answer

Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.



Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,

:Processes
explorer.exe

:Files 
C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe 

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


ensuite ceci : 

Télécharger AVPTool

La page qui vous accueille comporte en général les 12 dernières versions générées. Regardez attentivement l'heure et la date affichées dans le nom du logiciel pour déterminer celle qui est la plus récente. Téléchargez-la sans hésiter sur le bureau de votre PC. Double-cliquez dessus pour lancez l'installation.

Attention : AVPTool (tout comme d'autres outils du même acabit tels que Antivir, BitDefender Free, etc.) n'est pas une protection. C'est un détecteur et un nettoyeur d'infections déjà présentes sur le PC. Pour vous protéger efficacement contre les menaces modernes que sont les Drive-by Downloads, les Stage Downloads, les Banking Trojans, les Webstorms, il faut disposer d'authentiques suites de sécurité comme Kaspersky Antivirus 8.0 (KAV) ou Kaspersky Internet Security 8.0 (KIS).

AVPTool fonctionne sous Windows 2000, XP, Vista 32 bits. Il ne doit pas être utilisé sur des machines déjà équipées de KAV 8.0 ou KIS 8.0.

pretender · Answer

Bonjour,

Voici le rapport:


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe moved successfully.
========== COMMANDS ==========
File delete failed. C:\Users\steph\AppData\Local\Temp\~DF3670.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\steph\AppData\Local\Temp\~DF3687.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\steph\AppData\Local\Temp\~DF522D.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\steph\AppData\Local\Temp\~DF5242.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\steph\AppData\Local\Temp\~DFDFDC.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\steph\AppData\Local\Temp\~DFE021.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\steph\AppData\Local\Temp\~DFE5B5.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\steph\AppData\Local\Temp\~DFE5BE.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Windows	emp\cch~c171368a8e.htp scheduled to be deleted on reboot.
File delete failed. C:\Windows	emp\cch~c17136bc34.htp scheduled to be deleted on reboot.
File delete failed. C:\Windows	emp\FXSAPIDebugLogFile.txt scheduled to be deleted on reboot.
File delete failed. C:\Windows	emp\FXSTIFFDebugLogFile.txt scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04152009_184728

Files moved on Reboot...
File C:\Users\steph\AppData\Local\Temp\~DF3670.tmp not found!
File C:\Users\steph\AppData\Local\Temp\~DF3687.tmp not found!
File C:\Users\steph\AppData\Local\Temp\~DF522D.tmp not found!
File C:\Users\steph\AppData\Local\Temp\~DF5242.tmp not found!
File C:\Users\steph\AppData\Local\Temp\~DFDFDC.tmp not found!
File C:\Users\steph\AppData\Local\Temp\~DFE021.tmp not found!
File C:\Users\steph\AppData\Local\Temp\~DFE5B5.tmp not found!
File C:\Users\steph\AppData\Local\Temp\~DFE5BE.tmp not found!
File C:\Windows	emp\cch~c171368a8e.htp not found!
File C:\Windows	emp\cch~c17136bc34.htp not found!
C:\Windows	emp\FXSAPIDebugLogFile.txt moved successfully.
C:\Windows	emp\FXSTIFFDebugLogFile.txt moved successfully.


Pour AVPTOOL, il semble que ca soit lié a KAspersky or j'ai deja installé Kaspersky internet security depuis que j'ai eu l'infection de facebook. Comme il est indiqué dans le tuto de ne pas installé AVPTOOL si on avait deja KIS 8.0.

Bien à vous,
Alex

pimprenelle27 · Answer

ok donc fait un scan complet avec kaspersky.

pretender · Answer

Bonjour,
Voila scan complet effectué pas de virus trouvé.
J'arrive au bout de ma periode d'essai de kaspersky internet security. Me conseillez-vous d'acheter une licence?

Alex

pimprenelle27 · Answer

il est très bon et efficace, si tu as l'argent pour l'acheter oui.

Ensuite un dernier hijackthis.

pimprenelle27 · Answer

tu vas me faire un scan complet kaspersky et ensuite me faire ceci : 


* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#x25B6; Télécharge et enregistre le fichier d installation sur ton bureau :

  http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

&#x25B6; tutoriel installation

&#x25B6; tutoriel recherche

/!\ Ne fait pas le nettoyage tout dessuite /!\ 

&#x25B6; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

&#x25B6; Ouvre le dossier Ad-remover présent sur ton bureau

&#x25B6; Double clique sur Ad-remover.bat.

* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

&#x25B6; Au menu principal choisi l'option "A"

&#x25B6; Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Infection koobface

27 réponses

Votre réponse

Discussions similaires

Newsletters