package de virus

Question

Bonjour,
je pense être touché par plusieurs virus, le dernier en date étant xppro...
Ci dessous mon rapport hjt... comme je n'y comprends pas grand chose, merciiiii d'avance pour votre aide ;D

PS: j'ai plein de soucis avec des fichiers dll. A quoi est-ce lié? Cela vient il également de ces virus?

Olivier

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:12, on 25/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\avast!Antivirus.exe
D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32
vsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Linksys\WUSB54GSC\WLService.exe
D:\Program Files\Linksys\WUSB54GSC\WUSB54GSC.exe
D:\PROGRA~1\AVG\AVG8\avgemc.exe
D:\PROGRA~1\AVG\AVG8\avgrsx.exe
D:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\Program Files\AVG\AVG8\avgcsrvx.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Java\jre6\bin\jusched.exe
D:\WINDOWS\PixArt\PAC7302\Monitor.exe
D:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\RaConfig2500.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\DOCUME~1\olivier\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: (no name) - {d156b135-093d-4429-a99d-6265d6c40813} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] D:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PAC7302_Monitor] D:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Task Drv] trdhost.exe
O4 - HKLM\..\Run: [Malware Doctor] D:\Documents and Settings\LocalService\Application Data\916653139.exe
O4 - HKLM\..\Run: [autochk] rundll32.exe D:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [zeluguwubu] Rundll32.exe "D:\WINDOWS\system32\zudotumo.dll",s
O4 - HKLM\..\RunServices: [Task Drv] trdhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: RaConfig2500.lnk = D:\WINDOWS\system32\RaConfig2500.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\WINDOWS\system32\papubovu.dll D:\WINDOWS\system32	akihiru.dll D:\WINDOWS\system32\gajulebi.dll d:\windows\system32\bewijeze.dll d:\windows\system32\vidajadu.dll d:\windows\system32\vakumene.dll
O20 - Winlogon Notify: avgrsstarter - D:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: __c00B5FBC - D:\WINDOWS\
O23 - Service: avast!Antivirus - Unknown owner - D:\WINDOWS\System32\avast!Antivirus.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: WUSB54GSCSVC - GEMTEKS - D:\Program Files\Linksys\WUSB54GSC\WLService.exe

anthony5151 · Answer

Bonsoir,


Effectivement, ton ordinateur est bien infecté...


Il y a entre autre le rogue Malware Doctor (= faux logiciel de sécurité)
S'il fait des alertes, ignore les car elles sont uniquement destinées à te faire acheter un logiciel de sécurité bidon.


• Télécharge SmitfraudFix (de S!Ri) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
• Enregistre-le sur le Bureau 
• Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée 
• Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel illustré : http://www.malekal.com//tutorial_SmitFraudfix.php

olivier · Answer

Salut Anthony,

tout d'abord merci pour ton aide.
Ensuite, voila le rapport demandé:

SmitFraudFix v2.417

Rapport fait à 21:28:18,06, 25/05/2009
Executé à partir de D:\Documents and Settings\olivier\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\avast!Antivirus.exe
D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32
vsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Linksys\WUSB54GSC\WLService.exe
D:\Program Files\Linksys\WUSB54GSC\WUSB54GSC.exe
D:\PROGRA~1\AVG\AVG8\avgemc.exe
D:\PROGRA~1\AVG\AVG8\avgrsx.exe
D:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\Program Files\AVG\AVG8\avgcsrvx.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Java\jre6\bin\jusched.exe
D:\WINDOWS\PixArt\PAC7302\Monitor.exe
D:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\RaConfig2500.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\DOCUME~1\olivier\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Documents and Settings\olivier\Bureau\SmitfraudFix\Policies.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\olivier


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\olivier\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\olivier\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\olivier\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files 

D:\Program Files\Google\googletoolbar1.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="D:\WINDOWS\system32\papubovu.dll D:\WINDOWS\system32\takihiru.dll D:\WINDOWS\system32\gajulebi.dll d:\windows\system32\bewijeze.dll d:\windows\system32\vidajadu.dll d:\windows\system32\vakumene.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Compact Wireless-G USB Network Adapter with SpeedBooster - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CA7ECE-BC8D-4BF7-99B0-211F0C3A1D6F}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CA7ECE-BC8D-4BF7-99B0-211F0C3A1D6F}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{98CA7ECE-BC8D-4BF7-99B0-211F0C3A1D6F}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

anthony5151 · Answer

Relance le programme SmitfraudFix. 
Cette fois, choisis l’option 2, répond oui à tous; 
Poste le rapport qui t'est proposé à la fin.


Ensuite :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

olivier · Answer

Le rapport SmitFraudFix:

SmitFraudFix v2.417

Rapport fait à 21:51:51,89, 25/05/2009
Executé à partir de D:\Documents and Settings\olivier\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression D:\Program Files\Google\googletoolbar1.dll

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Compact Wireless-G USB Network Adapter with SpeedBooster - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CA7ECE-BC8D-4BF7-99B0-211F0C3A1D6F}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CA7ECE-BC8D-4BF7-99B0-211F0C3A1D6F}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{98CA7ECE-BC8D-4BF7-99B0-211F0C3A1D6F}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

D:\Program Files\Google\googletoolbar1.dll supprimé 
 

»»»»»»»»»»»»»»»»»»»»»»»» Fin


Le rapport Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2175
Windows 5.1.2600 Service Pack 2

25/05/2009 22:19:16
mbam-log-2009-05-25 (22-19-16).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 119815
Temps écoulé: 20 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00b5fbc (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zeluguwubu (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Doctor (Rogue.MalwareDoc) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: d:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

anthony5151 · Answer

Fais redémarrer ton ordinateur et poste un nouveau rapport hijackthis stp

olivier · Answer

voila le rapport

juste une petite question, j'ai toujours au demarrage des fenetres qui apparaissent en me disant RUNDLL tel ou tel fichier dans windows32 est introuvable etc... qu'est ce que cela veut dire? Comment je peux les faire disparaitre?

merci


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:52:32, on 25/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\avast!Antivirus.exe
D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32
vsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Linksys\WUSB54GSC\WLService.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Java\jre6\bin\jusched.exe
D:\WINDOWS\PixArt\PAC7302\Monitor.exe
D:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
D:\WINDOWS\system32undll32.exe
D:\WINDOWS\system32\Rundll32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\Linksys\WUSB54GSC\WUSB54GSC.exe
D:\PROGRA~1\AVG\AVG8\avgemc.exe
D:\PROGRA~1\AVG\AVG8\avgrsx.exe
D:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
D:\WINDOWS\system32\RaConfig2500.exe
D:\Program Files\AVG\AVG8\avgcsrvx.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\DOCUME~1\olivier\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: (no name) - {d156b135-093d-4429-a99d-6265d6c40813} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] D:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PAC7302_Monitor] D:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Task Drv] trdhost.exe
O4 - HKLM\..\Run: [Malware Doctor] D:\Documents and Settings\LocalService\Application Data\916653139.exe
O4 - HKLM\..\Run: [autochk] rundll32.exe D:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [zeluguwubu] Rundll32.exe "D:\WINDOWS\system32\zudotumo.dll",s
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\RunServices: [Task Drv] trdhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: RaConfig2500.lnk = D:\WINDOWS\system32\RaConfig2500.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\WINDOWS\system32\papubovu.dll D:\WINDOWS\system32	akihiru.dll D:\WINDOWS\system32\gajulebi.dll d:\windows\system32\bewijeze.dll d:\windows\system32\vidajadu.dll d:\windows\system32\vakumene.dll
O20 - Winlogon Notify: avgrsstarter - D:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: avast!Antivirus - Unknown owner - D:\WINDOWS\System32\avast!Antivirus.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: WUSB54GSCSVC - GEMTEKS - D:\Program Files\Linksys\WUSB54GSC\WLService.exe

anthony5151 · Answer

"j'ai toujours au demarrage des fenetres qui apparaissent en me disant RUNDLL tel ou tel fichier dans windows32 est introuvable etc"

Ca correspond probablement aux fichiers néfastes que AVG a supprimé.
Les clés de Registre correspondant à ces fichiers existent toujours, et ton ordinateur cherche donc à les ouvrir à chaque démarrage de l'ordinateur, ce qui explique ces messages d'erreurs.
Ce n'est pas très grave, on s'en occupera à la fin (on va d'abord s'occuper des infections actives).



Par contre, je n'avais pas fait attention au fait que la plupart de tes programmes est installé sur le disque D.
MalwareBytes ne l'a pas scanné avec un examen rapide, il faudrait que tu le relances, que tu choisisses 'Examen complet' et que tu analyses le disque D.

Ca durera beaucoup plus longtemps que l'analyse rapide, sois patient.
Ensuite, comme au premier scan, supprime tout ce qui est détecté et poste le rapport ici stp

olivier · Answer

voila l'analyse du disque D


Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2175
Windows 5.1.2600 Service Pack 2

25/05/2009 23:53:03
mbam-log-2009-05-25 (23-53-03).txt

Type de recherche: Examen complet (D:\|)
Eléments examinés: 114046
Temps écoulé: 18 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zeluguwubu (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Doctor (Rogue.MalwareDoc) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: d:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

anthony5151 · Answer

OK, on continue :


/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

olivier · Answer

le rapport

ComboFix 09-05-25.05 - olivier 26/05/2009  0:25.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1022.657 [GMT 2:00]
Lancé depuis: d:\documents and settings\olivier\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\xcrashdump.dat
d:\documents and settings\LocalService\Application Data\916653139.exe
d:\documents and settings\olivier\Local Settings\Temporary Internet Files\fbk.sts
d:\program files\QUAD Utilities
d:\program files\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
d:\windows\system32\404Fix.exe
d:\windows\system32\Agent.OMZ.Fix.exe
d:\windows\system32\arozolap.ini
d:\windows\system32\avast!Antivirus.exe
d:\windows\system32\azipilum.ini
d:\windows\system32\drivers
pf.sys
d:\windows\system32\drivers\ovfsthuhsgujkbxuxhwmbjdnbvsckpeiqvmvpo.sys
d:\windows\system32\dumphive.exe
d:\windows\system32\emehatad.ini
d:\windows\system32\IEDFix.C.exe
d:\windows\system32\IEDFix.exe
d:\windows\system32\ijiroyaj.ini
d:\windows\system32\ikuyekor.ini
d:\windows\system32\inifunaj.ini
d:\windows\system32\jhxm32.dll
d:\windows\system32\lklf32.dll
d:\windows\system32\o4Patch.exe
d:\windows\system32\ohibogur.ini
d:\windows\system32\oririkip.ini
d:\windows\system32\ovfsthebqolvvuctkvkvbgxhkismyfbapfmqme.dll
d:\windows\system32\ovfsthebrdhbocyykrxqsbwvrplwdnljeemwnu.dat
d:\windows\system32\ovfsthfexrbtvofksntiwxplpxpkpecuorxmoe.dll
d:\windows\system32\ovfsthhtpdipvhmgyctjhekatmduuehjbyvedw.dat
d:\windows\system32\ovfsthnljwmxrexpytqunotirrjfniwwxvripm.dll
d:\windows\system32\oyanalol.ini
d:\windows\system32\ozilejel.ini
d:\windows\system32\Packet.dll
d:\windows\system32\Process.exe
d:\windows\system32\sft.res
d:\windows\system32\SrchSTS.exe
d:\windows\system32	mp.reg
d:\windows\system32\ubusuwoh.ini
d:\windows\system32\VACFix.exe
d:\windows\system32\VCCLSID.exe
d:\windows\system32\vp_setup.exe
d:\windows\system32\wpcap.dll
d:\windows\system32\WS2Fix.exe

[color=blue]Une copie infectée de d:\windows\system32\userinit.exe a été trouvée et désinfectée 
Copie restaurée à partir de - d:\windows\system32\init32.exe/COLOR

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthibcrnmduxtirxtcegqfuyqdnftekxthe
-------\Legacy_AVAST!ANTIVIRUS
-------\Service_avast!Antivirus
-------\Service_NPF


(((((((((((((((((((((((((((((   Fichiers créés du 2009-04-25 au 2009-05-25  ))))))))))))))))))))))))))))))))))))
.

2009-05-24 20:11 . 2009-04-06 13:32	15504	----a-w	d:\windows\system32\drivers\mbam.sys
2009-05-24 20:11 . 2009-04-06 13:32	38496	----a-w	d:\windows\system32\drivers\mbamswissarmy.sys
2009-05-24 20:11 . 2009-05-24 20:11	--------	d-----w	d:\program files\Malwarebytes' Anti-Malware
2009-05-24 19:48 . 2009-05-24 19:48	--------	d-----w	d:\program files\Trend Micro
2009-05-18 18:07 . 2009-05-14 19:39	2051864	----a-w	d:\documents and settings\All Users\Application Data\avg8\update\backup\avgcorex.dll
2009-05-18 18:07 . 2009-05-14 19:39	3288344	----a-w	d:\documents and settings\All Users\Application Data\avg8\update\backup\setup.exe
2009-05-18 18:07 . 2009-05-14 19:39	424472	----a-w	d:\documents and settings\All Users\Application Data\avg8\update\backup\avgwdwsc.dll
2009-05-18 18:07 . 2009-05-14 19:39	177432	----a-w	d:\documents and settings\All Users\Application Data\avg8\update\backup\avgmail.dll
2009-05-18 18:07 . 2009-05-14 19:39	312088	----a-w	d:\documents and settings\All Users\Application Data\avg8\update\backup\avglngx.dll
2009-05-18 18:07 . 2009-05-14 19:39	486168	----a-w	d:\documents and settings\All Users\Application Data\avg8\update\backup\avgrsx.exe
2009-05-18 18:07 . 2009-05-14 19:38	1437464	----a-w	d:\documents and settings\All Users\Application Data\avg8\update\backup\avgupd.dll
2009-05-18 18:07 . 2009-05-14 19:38	755992	----a-w	d:\documents and settings\All Users\Application Data\avg8\update\backup\avginet.dll
2009-05-11 18:12 . 2009-05-04 13:07	2298680	----a-w	d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
2009-05-11 18:12 . 2007-05-17 11:58	143360	----a-w	d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins\libexpatw.dll
2009-05-11 18:12 . 2006-10-18 15:32	499712	----a-w	d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins\msvcp71.dll
2009-05-11 18:12 . 2006-10-18 15:32	348160	----a-w	d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins\msvcr71.dll
2009-05-11 18:12 . 2006-10-16 16:44	196608	----a-w	d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins\ssleay32.dll
2009-05-11 18:12 . 2006-10-16 16:44	1028096	----a-w	d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins\libeay32.dll
2009-05-11 18:12 . 2008-03-04 16:52	286720	----a-w	d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins\libcurl.dll
2009-05-11 18:12 . 2007-10-31 07:39	59904	----a-w	d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins\zlib1.dll
2009-04-29 18:52 . 2009-04-29 18:52	--------	d-----w	d:\documents and settings\All Users\Application Data\TVU Networks
2009-04-26 19:50 . 2009-04-27 21:29	--------	d-----w	D:\Saison 2
2009-04-26 19:50 . 2009-04-27 21:29	--------	d-----w	D:\saison 4
2009-04-26 19:46 . 2009-04-26 19:49	--------	d-----w	D:\The Big Bang Theory Saison 2
2009-04-26 19:43 . 2009-04-27 18:36	--------	d-----w	D:\The big bang theory - Saison 1

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-25 20:51 . 2008-08-13 15:52	--------	d-----w	d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-05-25 20:51 . 2008-08-13 15:52	--------	d-----w	d:\program files\Spybot - Search & Destroy
2009-05-25 19:55 . 2008-03-30 18:41	--------	d-----w	d:\program files\Google
2009-05-24 19:07 . 2009-03-15 21:00	--------	d-----w	d:\documents and settings\All Users\Application Data\avg8
2009-05-24 19:02 . 2008-07-17 20:56	--------	d-----w	d:\program files\Windows Live Safety Center
2009-05-14 19:39 . 2009-03-15 21:00	11952	----a-w	d:\windows\system32\avgrsstx.dll
2009-05-14 19:39 . 2009-03-15 21:00	325896	----a-w	d:\windows\system32\drivers\avgldx86.sys
2009-05-14 19:39 . 2009-03-15 21:00	27784	----a-w	d:\windows\system32\drivers\avgmfx86.sys
2009-05-14 19:39 . 2009-03-15 21:00	108552	----a-w	d:\windows\system32\drivers\avgtdix.sys
2009-04-29 18:54 . 2008-09-21 13:04	--------	d-----w	d:\program files\TVUPlayer
2009-04-28 23:01 . 2008-04-10 16:19	--------	d-----w	d:\documents and settings\olivier\Application Data\Skype
2009-04-28 18:02 . 2008-04-10 16:21	--------	d-----w	d:\documents and settings\olivier\Application Data\skypePM
2009-04-26 19:46 . 2008-03-30 18:46	--------	d-----w	d:\program files\Azureus
2009-04-26 19:46 . 2008-03-31 19:25	--------	d-----w	d:\documents and settings\olivier\Application Data\Azureus
2009-04-24 21:00 . 2009-04-24 21:00	--------	d-----w	d:\documents and settings\olivier\Application Data\dvdcss
2009-04-19 17:17 . 2004-08-05 12:00	64052	----a-w	d:\windows\system32\perfc00C.dat
2009-04-19 17:17 . 2004-08-05 12:00	445672	----a-w	d:\windows\system32\perfh00C.dat
2009-04-12 23:17 . 2008-04-17 19:36	--------	d-----w	d:\program files\ArcSoft
2009-04-12 21:16 . 2008-03-30 19:48	--------	d-----w	d:\program files\DivX
2009-04-12 21:11 . 2008-12-18 13:21	--------	d-----w	d:\documents and settings\All Users\Application Data\2DBoy
2009-04-12 21:11 . 2008-03-30 12:27	--------	d--h--w	d:\program files\InstallShield Installation Information
2009-04-12 14:08 . 2009-03-28 10:56	--------	d-----w	d:\documents and settings\olivier\Application Data	emp
2009-04-12 13:14 . 2009-04-12 13:14	--------	d-----w	d:\documents and settings\All Users\Application Data\Electronic Arts
2009-03-30 19:19 . 2009-03-30 19:19	57344	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\50\5b902232-65168656-n\Decora-SSE.dll
2009-03-30 19:19 . 2009-03-30 19:19	24064	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\15\4e09eacf-28dd34cd-n\Decora-D3D.dll
2009-03-30 19:19 . 2009-03-30 19:19	315392	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\62\6baea4fe-7a93aaef-n\jogl.dll
2009-03-30 19:19 . 2009-03-30 19:19	20480	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\62\6baea4fe-7a93aaef-n\jogl_awt.dll
2009-03-30 19:19 . 2009-03-30 19:19	114688	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\62\6baea4fe-7a93aaef-n\jogl_cg.dll
2009-03-30 19:19 . 2009-03-30 19:19	20480	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\45\4f710eed-7b210455-n\gluegen-rt.dll
2009-03-30 19:19 . 2009-03-30 19:19	499712	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\33\258cea61-4a510e90-n\msvcp71.dll
2009-03-30 19:19 . 2009-03-30 19:19	499712	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\33\258cea61-4a510e90-n\jmc.dll
2009-03-30 19:19 . 2009-03-30 19:19	348160	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\Deployment\cache\6.0\33\258cea61-4a510e90-n\msvcr71.dll
2009-03-30 19:19 . 2009-03-30 19:19	410984	----a-w	d:\windows\system32\deploytk.dll
2009-03-30 19:19 . 2008-04-13 20:29	--------	d-----w	d:\program files\Java
2009-03-30 19:18 . 2009-03-30 19:18	152576	----a-w	d:\documents and settings\olivier\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-03-16 18:55 . 2008-12-17 14:47	10684866	----a-w	d:\documents and settings\olivier\Application Data\Azureus\plugins\azump\mplayer.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\ctfmon.exe" [2004-08-05 15360]
"swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-08 68856]
"SpybotSD TeaTimer"="d:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="d:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2006-06-12 7577600]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2006-06-12 86016]
"QuickTime Task"="d:\program files\QuickTime\qttask.exe" [2007-02-16 282624]
"iTunesHelper"="d:\program files\iTunes\iTunesHelper.exe" [2007-03-14 257088]
"AzMixerSel"="d:\program files\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"SunJavaUpdateSched"="d:\program files\Java\jre6\bin\jusched.exe" [2009-03-30 148888]
"PAC7302_Monitor"="d:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
"TkBellExe"="d:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2008-08-28 185896]
"AVG8_TRAY"="d:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-14 1947928]
"SkyTel"="SkyTel.EXE" - d:\windows\SkyTel.exe [2006-08-16 2879488]
"nwiz"="nwiz.exe" - d:\windows\system32
wiz.exe [2006-06-12 1519616]
"RTHDCPL"="RTHDCPL.EXE" - d:\windows\RTHDCPL.exe [2006-08-16 16248320]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

d:\documents and settings\olivier\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.lnk - d:\windows\system32undll32.exe  [2004-8-5 33792]
OneNote 2007 - Capture d'‚cran et lancement.lnk - d:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

d:\documents and settings\olivier\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.lnk - d:\windows\system32undll32.exe  [2004-8-5 33792]
OneNote 2007 - Capture d'‚cran et lancement.lnk - d:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

d:\documents and settings\olivier\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.lnk - d:\windows\system32undll32.exe  [2004-8-5 33792]
OneNote 2007 - Capture d'‚cran et lancement.lnk - d:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader - Schnellstart.lnk - d:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
RaConfig2500.lnk - d:\windows\system32\RaConfig2500.exe [2008-4-1 425984]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2009-05-14 19:39	11952	----a-w	d:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"d:\Program Files\Messenger\msmsgs.exe"=
"d:\Program Files\iTunes\iTunes.exe"=
"d:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=
"d:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"d:\Program Files\Windows Live\Messenger\livecall.exe"=
"d:\Program Files\Azureus\Azureus.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"d:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"d:\Program Files\TVUPlayer\TVUPlayer.exe"=
"d:\Program Files\AVG\AVG8\avgemc.exe"=
"d:\Program Files\AVG\AVG8\avgupd.exe"=
"d:\Program Files\AVG\AVG8\avgnsx.exe"=
"d:\Program Files\Skype\Phone\Skype.exe"=
"d:\Program Files\QuickTime\qttask.exe"=
"d:\Program Files\iPod\bin\iPodService.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;d:\windows\system32\drivers\avgldx86.sys [15/03/2009 23:00 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;d:\windows\system32\drivers\avgtdix.sys [15/03/2009 23:00 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;d:\progra~1\AVG\AVG8\avgemc.exe [15/03/2009 23:00 908568]
R2 avg8wd;AVG Free8 WatchDog;d:\progra~1\AVG\AVG8\avgwdsvc.exe [15/03/2009 23:00 298776]
R2 WUSB54GSCSVC;WUSB54GSCSVC;d:\program files\Linksys\WUSB54GSC\WLService.exe [26/01/2009 20:47 53307]
S3 PAC7302;PAC7302 VGA USB Camera;d:\windows\system32\drivers\PAC7302.SYS [17/04/2008 21:09 457856]
S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;d:\windows\system32\driverst2870.sys [01/04/2008 22:59 476416]
.
Contenu du dossier 'Tâches planifiées'

2009-05-21 d:\windows\Tasks\AppleSoftwareUpdate.job
- d:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 13:42]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{d156b135-093d-4429-a99d-6265d6c40813} - (no file)
BHO-{F30B5E7E-CFBB-44fb-A947-226E5A7A4290} - jhxm32.dll
HKLM-Run-Task Drv - trdhost.exe
SafeBoot-procexp90.Sys


.
------- Examen supplémentaire -------
.
uStart Page = www.google.fr/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - d:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - WikipÃ©dia (fr)
FF - component: d:\program files\AVG\AVG8\Firefox\components\avgssff.dll
FF - component: d:\program files\AVG\AVG8\ToolbarFF\components\vmAVGConnector.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6
ppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6
prjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6
prpjplug.dll
FF - plugin: d:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\extensions\firefox@tvunetworks.com\plugins
pTVUAx.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\NPDARTS.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins
pganymedenet.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\NPSNOOKER.dll
FF - plugin: d:\program files\Veetle\plugins
pVeetle.dll
FF - plugin: d:\program files\Veetle\VLC
pvlc.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-26 00:30
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):8f,9f,a9,85,b9,62,69,bf,1c,16,cd,58,0f,25,55,05,99,34,59,bd,d3,
   e9,40,8a,38,d3,f3,18,98,47,97,c7,23,26,10,51,7b,18,57,2e,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{9bb5ab50-7dd9-4029-9657-a90813848dac}]
@Denied: (Full) (Everyone)
"Model"=dword:0000001d
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,85,b1,12,f9,90,dd,23,a1,49,8c,bf,1a,9d,fe,41,71,cb,3f,46,a4,7c,ab,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3048)
d:\windows\system32\msls31.dll
.
------------------------ Autres processus actifs ------------------------
.
d:\program files\Java\jre6\bin\jqs.exe
d:\windows\system32
vsvc32.exe
d:\windows\system32\wdfmgr.exe
d:\program files\AVG\AVG8\avgrsx.exe
d:\progra~1\AVG\AVG8\avgnsx.exe
d:\program files\Linksys\WUSB54GSC\WUSB54GSC.exe
d:\program files\AVG\AVG8\avgcsrvx.exe
d:\windows\system32\wbem\wmiapsrv.exe
d:\windows\system32\wscntfy.exe
d:\program files\iPod\bin\iPodService.exe
d:\docume~1\olivier\LOCALS~1	emp\RtkBtMnt.exe
.
**************************************************************************
.
Heure de fin: 2009-05-25  0:33 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-05-25 22:33

Avant-CF: 31 919 460 352 octets libres
Après-CF: 31 865 741 312 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

278	--- E O F ---	2008-12-14 20:10

anthony5151 · Answer

Fais redémarrer ton ordinateur, puis poste un nouveau rapport hijackthis stp

olivier · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:45:44, on 26/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32
vsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\AVG\AVG8\avgrsx.exe
D:\Program Files\Linksys\WUSB54GSC\WLService.exe
D:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\PROGRA~1\AVG\AVG8\avgemc.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Linksys\WUSB54GSC\WUSB54GSC.exe
D:\Program Files\AVG\AVG8\avgcsrvx.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Java\jre6\bin\jusched.exe
D:\WINDOWS\PixArt\PAC7302\Monitor.exe
D:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
D:\WINDOWS\system32\RaConfig2500.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\DOCUME~1\olivier\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] D:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PAC7302_Monitor] D:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: RaConfig2500.lnk = D:\WINDOWS\system32\RaConfig2500.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - D:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: WUSB54GSCSVC - GEMTEKS - D:\Program Files\Linksys\WUSB54GSC\WLService.exe

anthony5151 · Answer

Le rapport ne montre plus d'infection :)

On va faire un dernier scan de vérification, et ensuite je te donnerai des conseils pour finir le nettoyage et sécuriser ton ordinateur.


Scan en ligne Kaspersky

• Désactive ton antivirus

• Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (avec Internet Explorer uniquement)

• En bas à droite clique sur Démarrer Online-scanner

• Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

• Accepte les Contrôle ActiveX

• Choisis Poste de travail pour le scan.

• Celui-ci terminé, sauvegarde (choisis fichier texte) et poste le rapport. 

• Pour t'aider à utiliser le scan en ligne : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

olivier · Answer

salut anthony
me voici de retour et voila le rapport

uesday, May 26, 2009 9:54:33 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 26/05/2009
Enregistrements dans la base antivirus Kaspersky : 2035894
Paramètres d'analyse
Analyser avec la base antivirus suivante 	standard
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Poste de travail
C:\
D:\
E:\
Statistiques de l'analyse
Total d'objets analysés 	44712
Nombre de virus trouvés 	9
Nombre d'objets infectés 	10 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	01:10:51

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Program Files\ThunMail	estabd.dll 	Infecté : Trojan.Win32.Agent.ciel 	ignoré
D:\Documents and Settings\All Users\Application Data\avg8\emc\Log\emc.log 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\avg8\Log\avgcore.log 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\avg8\Log\avgldr.log 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\avg8\Log\avglng.log 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\avg8\Log\avgns.log 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\avg8\Log\avgrs.log 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\avg8\Log\avgsched.log 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\avg8\Log\avgwd.log 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\LocalService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\NetworkService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\NetworkService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\cert8.db 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\content-prefs.sqlite 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\cookies.sqlite 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\downloads.sqlite 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\formhistory.sqlite 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\key3.db 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\parent.lock 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\permissions.sqlite 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\places.sqlite 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\places.sqlite-journal 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\search.sqlite 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Cookies\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\Cache\_CACHE_001_ 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\Cache\_CACHE_002_ 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\Cache\_CACHE_003_ 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\Cache\_CACHE_MAP_ 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Application Data\Mozilla\Firefox\Profiles\6w4u05sr.default\urlclassifier3.sqlite 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings	emp\etilqs_lPL2bYYUXH5WKisMExOh 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings	emp\fla322.tmp 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings	emp\fla5B.tmp 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings	emp\Perflib_Perfdata_ce8.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier\NTUSER.DAT 	L'objet est verrouillé 	ignoré
D:\Documents and Settings\olivier
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\avast!Antivirus.exe.vir 	Infecté : Trojan-Downloader.Win32.Agent.cady 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\drivers\ovfsthuhsgujkbxuxhwmbjdnbvsckpeiqvmvpo.sys.vir 	Infecté : Trojan.Win32.Tdss.aalf 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\jhxm32.dll.vir 	Infecté : Trojan.Win32.Agent.cimn 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\lklf32.dll.vir 	Infecté : Trojan.Win32.Agent.cimn 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\ovfsthebqolvvuctkvkvbgxhkismyfbapfmqme.dll.vir 	Infecté : Trojan.Win32.Tdss.aald 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\ovfsthfexrbtvofksntiwxplpxpkpecuorxmoe.dll.vir 	Infecté : Trojan.Win32.Tdss.aalg 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\ovfsthnljwmxrexpytqunotirrjfniwwxvripm.dll.vir 	Infecté : Trojan.Win32.Tdss.aalc 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\userinit.exe.vir 	Infecté : Trojan-PSW.Win32.LdPinch.agbf 	ignoré
D:\Qoobox\Quarantine\D\WINDOWS\system32\vp_setup.exe.vir 	Infecté : Trojan-GameThief.Win32.WOW.onq 	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086247.sys 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086248.dll 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086249.dll 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086250.dll 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086272.exe 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086276.dll 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086277.dll 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086284.exe 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\A0086299.exe 	L'objet est verrouillé 	ignoré
D:\System Volume Information\_restore{1A3A2617-3409-4D68-AE12-7FB825850081}\RP161\change.log 	L'objet est verrouillé 	ignoré
D:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
D:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
D:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\CatRoot2	mp.edb 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\DEFAULT.LOG 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\Internet.evt 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\ODiag.evt 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\OSession.evt 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\SOFTWARE.LOG 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\config\SYSTEM.LOG 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\drivers\sptd.sys 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
D:\WINDOWS\Temp\Perflib_Perfdata_790.dat 	L'objet est verrouillé 	ignoré
D:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
D:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
Analyse terminée.

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).



1) Sécurise ton ordinateur 

• Logiciels de protection :
* Tu peux garder AVG qui est relativement bon
* Utilise Spybot pour ses vaccination (à refaire une fois par semaine après chaque mise à jour).
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker



2) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles : 

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll    
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install    
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime    
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"    
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE    
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot    
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe    
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe    
O4 - Global Startup: RaConfig2500.lnk = D:\WINDOWS\system32\RaConfig2500.exe    

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe Ccleaner, puis lance le. 
Clique sur Option &#8594; avancé &#8594; décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur &#8594; Analyse &#8594; Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre &#8594; corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Package de virus

15 réponses

Votre réponse

Discussions similaires

Newsletters