Sujet Précédent Sujet Suivant

Infection pc

Résolu/Fermé
quicker - 20 juin 2009 à 14:20
 Utilisateur anonyme - 25 juin 2009 à 21:09
Bonjour,
Je suis sous WIN XP SP3
Depuis un certain temps mon pc au demarrage m'affiche des messages d'erreur type c:win\syst32\KOZEZUPO.dll ou RIBEMAGO.dll et d'autres...
J'ai fais des analyses antivirus, plusieurs logiciels anti spyware trojan, comme spybot ad-aware, spyrware pc doctor.
Et rien ne change. Si quelqu'un pouvait me venir en aide!!!!!!!!
Voici un rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:57, on 20/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Pampers Pregnancy Widget.lnk = C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{52441C7C-E5B9-4D6F-A48A-236A4BC93B2D}: NameServer = 212.27.53.252,212.27.54.252
O20 - AppInit_DLLs: c:\windows\system32\vegozadi.dll,,c:\windows\system32\sujibiwi.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c9087ee8c5a21c) (gupdate1c9087ee8c5a21c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
A voir également:

57 réponses

Réponse 1 / 57
nico987 Messages postés 729 Date d'inscription jeudi 14 mai 2009 Statut Membre Dernière intervention 13 mai 2024 93
20 juin 2009 à 14:40
ton pc n'est pas infecté, les messages d'erreur s'achiffent parfois. Ton rapport ne délivre rien de méchant. à part 2 choses inconnus :
O4 - Startup: Pampers Pregnancy Widget.lnk = C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe

C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe

Je ne pense pas que ça soit méchant. As-tu essayé malwarebytes ? télécharge le ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

Tu l'installes, le lances. Tu cliques après sur "éxécuter un examen rapide". Tu le laisses travailler. S'il trouve des éléments dangereux, coche les tous pour les supprimer. Tiens moi au courant.
0
Réponse 2 / 57
Utilisateur anonyme
20 juin 2009 à 14:51
Salut,

LE ROBOT HIJACKTHIS N'EST PAS FIABLE DU TOUT !!!!! (a nico)

Quicker :

/!\ ATTENTION LOGICIEL TRES PUISSANT POUVANT ETRE DANGEREUX SI IL EST UTILISE ALEATOIREMENT /!\
------------------------------------------------------------------------------------------------------
Desactive toutes protections residentes (Antivirus, Antispyware, tea-timer de Spybot s&d...)

* Télécharge Combofix de sUBs

* Renomme-le en avril.exe

* Enregistre-le impérativement sur ton bureau

* Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure).

* Ferme toutes les fenêtres.

* Double-clique sur avril.exe (ne clique pas sur la fenêtre qui s'ouvre).

* Appuie sur Y pour lancer le scan.

* A la fin du scan (cela peut prendre du temps), un rapport sera créé. (C:\Combofix.txt)

* Poste ce rapport dans ton / tes prochain(s) message(s).

0
Réponse 3 / 57
quicker
20 juin 2009 à 15:54
Pour pampers c'est normal c'est un petit logiciel de suivi grossesse.
Je verrais ce soir pour faire combofix.

Merci des reponses et bon apres midi
0
Réponse 4 / 57
Utilisateur anonyme
20 juin 2009 à 15:59
Ok a ce soir :)

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
20 juin 2009 à 20:02
voici le rapport combofix
merci

ComboFix 09-06-19.01 - 20/06/2009 19:37.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.677 [GMT 2:00]
Lancé depuis: c:\documents and settings\-\Bureau\avril.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\besenije.dll
c:\windows\system32\bihonede.dll
c:\windows\system32\biyedepu.dll
c:\windows\system32\butapulo.dll
c:\windows\system32\buvoyaki.dll
c:\windows\system32\damorume.dll
c:\windows\system32\dezifamu.dll
c:\windows\system32\fabapufu.dll
c:\windows\system32\fikuyelu.dll
c:\windows\system32\furihepi.dll
c:\windows\system32\gahipewo.dll
c:\windows\system32\ginekufu.dll
c:\windows\system32\heyotina.dll
c:\windows\system32\hinikafo.dll
c:\windows\system32\hohohano.dll
c:\windows\system32\jevaziji.dll
c:\windows\system32\jipimide.dll
c:\windows\system32\lehelojo.dll
c:\windows\system32\lolajeyo.dll
c:\windows\system32\migunugo.dll
c:\windows\system32\motatuwo.dll
c:\windows\system32\muzurimo.dll
c:\windows\system32\pahezuti.dll
c:\windows\system32\pefeveli.dll
c:\windows\system32\pepilose.dll
c:\windows\system32\pidarado.dll
c:\windows\system32\powenewe.dll
c:\windows\system32\putirise.dll
c:\windows\system32\puvitihi.dll
c:\windows\system32\puwohuwu.dll
c:\windows\system32\ruyebana.dll
c:\windows\system32\ruyebofa.dll
c:\windows\system32\sisazibo.dll
c:\windows\system32\telopezo.dll
c:\windows\system32\teyesiti.dll
c:\windows\system32\vefukufe.dll
c:\windows\system32\veyoroda.dll
c:\windows\system32\warihagi.dll
c:\windows\system32\yafodini.dll
c:\windows\system32\yapisewe.dll
c:\windows\system32\yasabetu.dll
c:\windows\system32\yemiruje.dll
c:\windows\system32\yiriyidi.dll
C:\ridpxwe.exe
c:\windows\system32\otenipev.ini
c:\windows\system32\ukahogak.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-20 au 2009-06-20 ))))))))))))))))))))))))))))))))))))
.

2009-06-13 14:33 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-06-13 14:33 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-06-13 14:33 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-06-13 14:33 . 2009-06-20 17:35 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-13 14:32 . 2009-06-13 14:34 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2009-06-13 14:32 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-06-13 14:32 . 2009-06-20 07:28 -------- d-----w- c:\program files\Spyware Doctor
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\-\Application Data\PC Tools
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-06-11 15:18 . 2009-06-19 12:57 -------- d-----w- c:\program files\Ahead DVD Ripper
2009-06-06 14:27 . 2009-06-06 14:27 33808 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-06 14:27 . 2009-06-06 14:27 206088 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-06 14:27 . 2009-06-06 14:27 226832 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-06 14:19 . 2009-06-06 14:27 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-06-06 14:19 . 2009-06-06 14:27 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-06-06 14:18 . 2009-06-20 17:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-06-06 14:18 . 2009-06-20 17:41 532512 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-06 14:18 . 2009-06-20 17:41 2254368 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-06 12:20 . 2009-06-06 19:44 -------- d-----w- c:\program files\Loaris Trojan Remover
2009-05-29 17:48 . 2009-05-29 17:48 15688 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-05-29 17:48 . 2009-05-29 17:48 83808 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\ShellExt.dll
2009-05-29 17:48 . 2009-05-29 17:48 40288 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-05-29 17:48 . 2009-05-29 17:48 212848 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\-\Application Data\MSN6
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2009-05-28 20:38 . 2009-05-28 20:38 -------- d-----w- c:\documents and settings\-\Application Data\VitySoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-20 17:41 . 2009-06-06 14:18 2900 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-20 17:41 . 2009-06-06 14:18 18692 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-20 12:43 . 2008-02-26 11:31 -------- d-----w- c:\documents and settings\-\Application Data\U3
2009-06-20 12:29 . 2008-04-20 11:51 110592 ----a-w- c:\documents and settings\-\Application Data\U3\temp\cleanup.exe
2009-06-20 07:31 . 2008-12-13 09:08 -------- d-----w- c:\documents and settings\-\Application Data\FrostWire
2009-06-13 13:48 . 2009-06-13 13:48 844134 ----a-w- c:\windows\system32\rn.tmp
2009-06-09 15:40 . 2008-03-02 12:40 -------- d-----w- c:\documents and settings\-\Application Data\dvdcss
2009-06-06 14:27 . 2008-01-29 15:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-06-06 14:18 . 2008-02-26 11:46 -------- d-----w- c:\program files\Kaspersky Lab
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-06 13:08 . 2009-02-21 08:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-06-06 12:54 . 2009-05-07 19:04 -------- d-----w- c:\program files\ZebHelpProcess
2009-06-01 08:04 . 2008-06-13 14:53 -------- d-----w- c:\program files\Google
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\nifodiyu.exe
2009-05-13 12:38 . 2009-05-13 12:38 88580 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\haditapo.dll
2009-05-13 12:38 . 2009-05-13 12:38 88068 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozezupo.dll
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\jevaziji.exe
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozafuli.dll
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\dowuvedo.dll
2009-05-11 16:28 . 2008-09-13 13:24 -------- d-----w- c:\program files\Tomtomax Maxi-Box
2009-05-08 19:05 . 2009-05-08 19:04 -------- d-----w- c:\documents and settings\-\Application Data\vlc
2009-05-08 07:24 . 2009-05-08 07:24 -------- d-----w- c:\program files\Trend Micro
2009-05-07 19:04 . 2009-05-07 19:04 -------- d-----w- c:\program files\Fichiers communs\Borland Shared
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-05-05 17:39 . 2009-05-05 17:39 2640 --sh--w- c:\windows\system32\hatikefe.dll
2009-05-05 17:39 . 2009-05-05 17:39 2640 --sh--w- c:\windows\system32\bagidazu.dll
2009-05-04 17:12 . 2008-02-26 14:09 -------- d-----w- c:\program files\CCleaner
2009-05-03 11:21 . 2009-05-03 11:21 2627 --sh--w- c:\windows\system32\yokipeze.exe
2009-05-03 11:21 . 2009-05-03 11:21 2627 --sh--w- c:\windows\system32\mekigonu.dll
2009-05-03 11:21 . 2009-05-03 11:21 2627 --sh--w- c:\windows\system32\birirujo.dll
2009-05-03 11:21 . 2009-05-03 11:21 2621 --sh--w- c:\windows\system32\gofadadi.dll
2009-05-01 17:48 . 2009-05-01 17:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-05-01 17:48 . 2009-05-01 19:11 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-05-01 17:47 . 2009-05-01 17:47 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-05-01 17:46 . 2008-02-26 14:23 -------- d-----w- c:\program files\Lavasoft
2009-05-01 16:30 . 2009-05-01 16:30 2627 --sh--w- c:\windows\system32\dojudemu.dll
2009-05-01 16:29 . 2009-05-01 16:29 2627 --sh--w- c:\windows\system32\yamapaso.dll
2009-05-01 16:29 . 2009-05-01 16:29 2627 --sh--w- c:\windows\system32\vomuganu.exe
2009-04-29 04:34 . 2001-08-28 12:00 670720 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:34 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-25 11:08 . 2009-04-23 08:22 -------- d-----w- c:\documents and settings\All Users\Application Data\POPWWPROFILES
2009-04-23 08:21 . 2009-04-23 08:21 -------- d-----w- c:\program files\Ubisoft
2009-04-23 08:21 . 2008-02-26 14:50 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:55 . 2001-08-28 12:00 71488 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-15 14:55 . 2001-08-28 12:00 458648 ----a-w- c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2008-02-26 12:17 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2008-02-28 20:05 . 2008-02-28 09:24 96 --sh--w- c:\windows\SEA7077AE.tmp
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-04-20 337216]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-19 518488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-06 206088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\-\Menu D‚marrer\Programmes\D‚marrage\
Pampers Pregnancy Widget.lnk - c:\documents and settings\-\Bureau\PampersPregnancyWidget.exe [2009-1-5 4924787]
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-12 3746856]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^-^Menu Démarrer^Programmes^Démarrage^Pampers Pregnancy Widget.lnk]
path=c:\documents and settings\-\Menu Démarrer\Programmes\Démarrage\Pampers Pregnancy Widget.lnk
backup=c:\windows\pss\Pampers Pregnancy Widget.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HomePlayer1.5.4\\HomePlayer.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\program files\uTorrent\uTorrent.exe"= c:\program files\uTorrent\uTorrent.exe:89.226.204.137/255.255.255.255:Enabled:µTorrent
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\FrostWire\\FrostWire.exe"=
"c:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"=
"c:\\Program Files\\Java\\jre1.6.0_03\\launch4j-tmp\\frd.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57488:TCP"= 57488:TCP:Pando P2P TCP Listening Port
"57488:UDP"= 57488:UDP:Pando P2P UDP Listening Port
"6881:TCP"= 6881:TCP:azureus
"8080:TCP"= 8080:TCP:freeplayer
"56680:TCP"= 56680:TCP:Pando P2P TCP Listening Port
"56680:UDP"= 56680:UDP:Pando P2P UDP Listening Port

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 17:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01/05/2009 19:48 64160]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [13/06/2009 16:33 130936]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1003344]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/04/2008 17:06 24592]
S2 gupdate1c9087ee8c5a21c;Google Update Service (gupdate1c9087ee8c5a21c);c:\program files\Google\Update\GoogleUpdate.exe [27/08/2008 21:55 133104]
S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\DRIVERS\adiusbae.sys --> c:\windows\system32\DRIVERS\adiusbae.sys [?]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [01/08/2008 18:46 18953]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [13/06/2009 16:32 348752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [26/02/2008 15:24 26488]
.
Contenu du dossier 'Tâches planifiées'

2009-06-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 17:48]

2009-06-20 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-27 05:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.msn.com
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
TCP: {52441C7C-E5B9-4D6F-A48A-236A4BC93B2D} = 212.27.53.252,212.27.54.252
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-20 19:43
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3328)
c:\program files\BillP Studios\WinPatrol\PATROLPRO.DLL
c:\program files\Fichiers communs\Ahead\Lib\NeroSearchBar.dll
c:\program files\Fichiers communs\Ahead\Lib\MFC71U.DLL
c:\program files\Fichiers communs\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-06-20 19:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-20 17:46

Avant-CF: 5 159 264 256 octets libres
Après-CF: 7 756 996 608 octets libres

255 --- E O F --- 2009-06-20 13:03
0
Réponse 6 / 57
Utilisateur anonyme
20 juin 2009 à 20:16
Tres bien,

Le pc va un peu mieux ?

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

• random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.

• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

• Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt(<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
Réponse 7 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
20 juin 2009 à 20:28
j'ai toujours les erreurs au demarrage

voici le rapport log

Logfile of random's system information tool 1.06 (written by random/random)
Run by - at 2009-06-20 20:24:30
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 7 GB (24%) free of 31 GB
Total RAM: 1023 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:24:35, on 20/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Mes documents\telechargement\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\-.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Pampers Pregnancy Widget.lnk = C:\Documents and Settings\-\Bureau\PampersPregnancyWidget.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{52441C7C-E5B9-4D6F-A48A-236A4BC93B2D}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c9087ee8c5a21c) (gupdate1c9087ee8c5a21c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
0
Réponse 8 / 57
Utilisateur anonyme
20 juin 2009 à 20:35
Re,

● Télécharge SDFix sur ton bureau.

● Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\.

● Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

► Redémarre ton ordinateur

► Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

► A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

► Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

► Choisis ton compte.

Suis a présent les instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis!

0
Réponse 9 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
20 juin 2009 à 21:05
Bon F8 ne marche pas RRRRRRRRRRRRRRRRR!!!!!!!!
Plus le temps ce soir je verrais cela demain a tete reposé
Merci de ton aide
Bonne soirée!!!
0
Réponse 10 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
20 juin 2009 à 21:27
Bon finalement j'ai reussi et pris le temps
j'ai toujours les meme ms g d'erreur
C'est mon dernier post de la soirée. Je vais me coucher car je bosse cette nuit
Merci et bonne soirée

rapport report:


[b]SDFix: Version 1.240 [/b]
Run by - on 20/06/2009 at 21:13

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-20 21:20:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:08,64,f0,45,4c,67,f3,28,7b,15,aa,25,a2,5b,c7,0a,ed,95,5c,e2,9f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:97,40,32,a9,5a,b1,57,cb,c6,13,16,66,73,fa,9c,64,31,9e,45,3e,69,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0a,f9,eb,c0,93,25,af,15,1e,82,4a,89,fa,0b,a5,fb,2c,..
"khjeh"=hex:67,ed,24,7d,be,bc,04,2b,e0,0d,81,0c,93,92,a8,ca,84,51,92,e3,04,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:99,64,25,63,40,a3,8b,01,5a,86,8c,d9,97,a9,1b,be,01,d9,d8,c8,ff,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:08,64,f0,45,4c,67,f3,28,7b,15,aa,25,a2,5b,c7,0a,ed,95,5c,e2,9f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:97,40,32,a9,5a,b1,57,cb,c6,13,16,66,73,fa,9c,64,31,9e,45,3e,69,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0a,f9,eb,c0,93,25,af,15,1e,82,4a,89,fa,0b,a5,fb,2c,..
"khjeh"=hex:67,ed,24,7d,be,bc,04,2b,e0,0d,81,0c,93,92,a8,ca,84,51,92,e3,04,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:99,64,25,63,40,a3,8b,01,5a,86,8c,d9,97,a9,1b,be,01,d9,d8,c8,ff,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:c5,59,42,43,f2,b9,c2,09,e1,c9,da,23,f2,0e,ca,bb,23,45,81,c8,aa,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:97,40,32,a9,5a,b1,57,cb,c6,13,16,66,73,fa,9c,64,31,9e,45,3e,69,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,0a,f9,eb,c0,93,25,af,15,1e,82,4a,89,fa,0b,a5,fb,2c,..
"khjeh"=hex:67,ed,24,7d,be,bc,04,2b,e0,0d,81,0c,93,92,a8,ca,84,51,92,e3,04,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:62,d9,19,e4,09,d0,be,ba,59,b3,1e,ac,fb,df,ee,b4,8c,3e,b7,95,98,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\HomePlayer1.5.4\\HomePlayer.exe"="C:\\Program Files\\HomePlayer1.5.4\\HomePlayer.exe:*:Enabled:HomePlayer"
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:89.226.204.137/255.255.255.255:Enabled:æTorrent"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\FrostWire\\FrostWire.exe"="C:\\Program Files\\FrostWire\\FrostWire.exe:*:Enabled:FrostWire"
"C:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"="C:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe:*:Enabled:Media Manager for WALKMAN 1.2"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"="C:\\Program Files\\Pando Networks\\Pando\\pando.exe:*:Enabled:Pando Application"
"C:\\Program Files\\Google\\Update\\GoogleUpdate.exe"="C:\\Program Files\\Google\\Update\\GoogleUpdate.exe:*:Enabled:GoogleUpdate"
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe:*:Enabled:avp"
"C:\\Program Files\\Java\\jre1.6.0_03\\launch4j-tmp\\frd.exe"="C:\\Program Files\\Java\\jre1.6.0_03\\launch4j-tmp\\frd.exe:*:Enabled:Java(TM) Platform SE binary"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Thu 28 Feb 2008 96 ..SH. --- "C:\WINDOWS\SEA7077AE.tmp"
Tue 5 May 2009 2,640 ..SH. --- "C:\WINDOWS\system32\bagidazu.dll"
Sun 3 May 2009 2,627 ..SH. --- "C:\WINDOWS\system32\birirujo.dll"
Fri 1 May 2009 2,627 ..SH. --- "C:\WINDOWS\system32\dojudemu.dll"
Sun 3 May 2009 2,621 ..SH. --- "C:\WINDOWS\system32\gofadadi.dll"
Tue 5 May 2009 2,640 ..SH. --- "C:\WINDOWS\system32\hatikefe.dll"
Sun 3 May 2009 2,627 ..SH. --- "C:\WINDOWS\system32\mekigonu.dll"
Fri 1 May 2009 2,627 ..SH. --- "C:\WINDOWS\system32\vomuganu.exe"
Fri 1 May 2009 2,627 ..SH. --- "C:\WINDOWS\system32\yamapaso.dll"
Sun 3 May 2009 2,627 ..SH. --- "C:\WINDOWS\system32\yokipeze.exe"
Sat 14 Jun 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 7 May 2009 145,920 ..SHR --- "C:\Program Files\BillP Studios\WinPatrol\Setup.exe"
Tue 17 Oct 2006 304,736 A..H. --- "C:\Program Files\Canon\MP Navigator 3.0\Maint.exe"
Tue 17 Oct 2006 61,440 A..H. --- "C:\Program Files\Canon\MP Navigator 3.0\uinstrsc.dll"
Thu 8 Jan 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

[b]Finished![/b]

et hisjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:54, on 20/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Documents and Settings\-\Bureau\PampersPregnancyWidget.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Pampers Pregnancy Widget.lnk = C:\Documents and Settings\-\Bureau\PampersPregnancyWidget.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{52441C7C-E5B9-4D6F-A48A-236A4BC93B2D}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c9087ee8c5a21c) (gupdate1c9087ee8c5a21c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
0
Réponse 11 / 57
Utilisateur anonyme
20 juin 2009 à 21:46
* Créer un doc texte sur ton bureau :

pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
C:\WINDOWS\SEA7077AE.tmp
C:\WINDOWS\system32\bagidazu.dll
C:\WINDOWS\system32\birirujo.dll
C:\WINDOWS\system32\dojudemu.dll
C:\WINDOWS\system32\gofadadi.dll
C:\WINDOWS\system32\hatikefe.dll
C:\WINDOWS\system32\mekigonu.dll
C:\WINDOWS\system32\vomuganu.exe
C:\WINDOWS\system32\yamapaso.dll
C:\WINDOWS\system32\yokipeze.exe
C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp


Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


* Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été faite pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


0
Réponse 12 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
21 juin 2009 à 10:21
Bonjour et bon dimanche

Voici le rapport mais j'ai encore eu les msg d'erreur lors du demarrage. Est ce normal? D'autres manip?

rapport

ComboFix 09-06-19.01 - yannick creusot 21/06/2009 10:09.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.494 [GMT 2:00]
Lancé depuis: c:\documents and settings\-\Bureau\Combofix.exe
Commutateurs utilisés :: c:\documents and settings\-\Bureau\CFScript.txt
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
"c:\documents and settings\All Users\DRM\Cache\Indiv02.tmp"
"c:\windows\SEA7077AE.tmp"
"c:\windows\system32\bagidazu.dll"
"c:\windows\system32\birirujo.dll"
"c:\windows\system32\dojudemu.dll"
"c:\windows\system32\gofadadi.dll"
"c:\windows\system32\hatikefe.dll"
"c:\windows\system32\mekigonu.dll"
"c:\windows\system32\vomuganu.exe"
"c:\windows\system32\yamapaso.dll"
"c:\windows\system32\yokipeze.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\DRM\Cache\Indiv02.tmp
c:\windows\SEA7077AE.tmp . . . . impossible à supprimer
c:\windows\system32\bagidazu.dll
c:\windows\system32\birirujo.dll
c:\windows\system32\dojudemu.dll
c:\windows\system32\gofadadi.dll
c:\windows\system32\hatikefe.dll
c:\windows\system32\mekigonu.dll
c:\windows\system32\vomuganu.exe
c:\windows\system32\yamapaso.dll
c:\windows\system32\yokipeze.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-21 au 2009-06-21 ))))))))))))))))))))))))))))))))))))
.

2009-06-20 19:12 . 2009-06-20 19:12 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-06-20 19:10 . 2009-06-20 19:10 -------- d-----w- c:\windows\ERUNT
2009-06-20 18:39 . 2009-06-20 19:22 -------- d-----w- C:\SDFix
2009-06-20 18:24 . 2009-06-20 18:24 -------- d-----w- C:\rsit
2009-06-13 14:33 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-06-13 14:33 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-06-13 14:33 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-06-13 14:33 . 2009-06-20 17:35 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-13 14:32 . 2009-06-13 14:34 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2009-06-13 14:32 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-06-13 14:32 . 2009-06-20 07:28 -------- d-----w- c:\program files\Spyware Doctor
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\-\Application Data\PC Tools
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-06-11 15:18 . 2009-06-19 12:57 -------- d-----w- c:\program files\Ahead DVD Ripper
2009-06-06 14:27 . 2009-06-06 14:27 33808 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-06 14:27 . 2009-06-06 14:27 206088 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-06 14:27 . 2009-06-06 14:27 226832 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-06 14:19 . 2009-06-06 14:27 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-06-06 14:19 . 2009-06-06 14:27 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-06-06 14:18 . 2009-06-21 08:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-06-06 14:18 . 2009-06-21 08:12 548896 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-06 14:18 . 2009-06-21 08:12 2254368 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-06 12:20 . 2009-06-06 19:44 -------- d-----w- c:\program files\Loaris Trojan Remover
2009-05-29 17:48 . 2009-05-29 17:48 15688 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-05-29 17:48 . 2009-05-29 17:48 83808 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\ShellExt.dll
2009-05-29 17:48 . 2009-05-29 17:48 40288 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-05-29 17:48 . 2009-05-29 17:48 212848 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\-\Application Data\MSN6
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2009-05-28 20:38 . 2009-05-28 20:38 -------- d-----w- c:\documents and settings\-\Application Data\VitySoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-21 08:14 . 2009-06-21 08:14 0 ------w- c:\windows\SEA7077AE.tmp
2009-06-21 08:12 . 2009-06-06 14:18 2956 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-21 08:12 . 2009-06-06 14:18 18692 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-20 12:43 . 2008-02-26 11:31 -------- d-----w- c:\documents and settings\-\Application Data\U3
2009-06-20 12:29 . 2008-04-20 11:51 110592 ----a-w- c:\documents and settings\-\Application Data\U3\temp\cleanup.exe
2009-06-20 07:31 . 2008-12-13 09:08 -------- d-----w- c:\documents and settings\-\Application Data\FrostWire
2009-06-13 13:48 . 2009-06-13 13:48 844134 ----a-w- c:\windows\system32\rn.tmp
2009-06-09 15:40 . 2008-03-02 12:40 -------- d-----w- c:\documents and settings\-\Application Data\dvdcss
2009-06-06 14:27 . 2008-01-29 15:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-06-06 14:18 . 2008-02-26 11:46 -------- d-----w- c:\program files\Kaspersky Lab
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-06 13:08 . 2009-02-21 08:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-06-06 12:54 . 2009-05-07 19:04 -------- d-----w- c:\program files\ZebHelpProcess
2009-06-01 08:04 . 2008-06-13 14:53 -------- d-----w- c:\program files\Google
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\nifodiyu.exe
2009-05-13 12:38 . 2009-05-13 12:38 88580 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\haditapo.dll
2009-05-13 12:38 . 2009-05-13 12:38 88068 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozezupo.dll
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\jevaziji.exe
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozafuli.dll
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\dowuvedo.dll
2009-05-11 16:28 . 2008-09-13 13:24 -------- d-----w- c:\program files\Tomtomax Maxi-Box
2009-05-08 19:05 . 2009-05-08 19:04 -------- d-----w- c:\documents and settings\-\Application Data\vlc
2009-05-08 07:24 . 2009-05-08 07:24 -------- d-----w- c:\program files\Trend Micro
2009-05-07 19:04 . 2009-05-07 19:04 -------- d-----w- c:\program files\Fichiers communs\Borland Shared
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-05-04 17:12 . 2008-02-26 14:09 -------- d-----w- c:\program files\CCleaner
2009-05-01 17:48 . 2009-05-01 17:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-05-01 17:48 . 2009-05-01 19:11 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-05-01 17:47 . 2009-05-01 17:47 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-05-01 17:46 . 2008-02-26 14:23 -------- d-----w- c:\program files\Lavasoft
2009-04-29 04:34 . 2001-08-28 12:00 670720 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:34 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-25 11:08 . 2009-04-23 08:22 -------- d-----w- c:\documents and settings\All Users\Application Data\POPWWPROFILES
2009-04-23 08:21 . 2009-04-23 08:21 -------- d-----w- c:\program files\Ubisoft
2009-04-23 08:21 . 2008-02-26 14:50 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:55 . 2001-08-28 12:00 71488 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-15 14:55 . 2001-08-28 12:00 458648 ----a-w- c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2008-02-26 12:17 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-06-20_17.43.30 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-20 19:10 . 2009-06-20 19:10 155648 c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0/u0000002\UsrClass.dat
+ 2009-06-20 19:10 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-06-20 19:10 . 2009-06-20 19:10 155648 c:\windows\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
+ 2009-06-20 19:10 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-06-20 19:10 . 2009-06-20 19:10 7319552 c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0/u0000001\NTUSER.DAT
+ 2009-06-20 19:10 . 2009-06-20 19:10 7319552 c:\windows\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-04-20 337216]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-19 518488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-06 206088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\-t\Menu D‚marrer\Programmes\D‚marrage\
Pampers Pregnancy Widget.lnk - c:\documents and settings\-\Bureau\PampersPregnancyWidget.exe [2009-1-5 4924787]
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-12 3746856]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^-^Menu Démarrer^Programmes^Démarrage^Pampers Pregnancy Widget.lnk]
path=c:\documents and settings\-\Menu Démarrer\Programmes\Démarrage\Pampers Pregnancy Widget.lnk
backup=c:\windows\pss\Pampers Pregnancy Widget.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HomePlayer1.5.4\\HomePlayer.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\program files\uTorrent\uTorrent.exe"= c:\program files\uTorrent\uTorrent.exe:89.226.204.137/255.255.255.255:Enabled:µTorrent
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\FrostWire\\FrostWire.exe"=
"c:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"=
"c:\\Program Files\\Java\\jre1.6.0_03\\launch4j-tmp\\frd.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57488:TCP"= 57488:TCP:Pando P2P TCP Listening Port
"57488:UDP"= 57488:UDP:Pando P2P UDP Listening Port
"6881:TCP"= 6881:TCP:azureus
"8080:TCP"= 8080:TCP:freeplayer
"56680:TCP"= 56680:TCP:Pando P2P TCP Listening Port
"56680:UDP"= 56680:UDP:Pando P2P UDP Listening Port

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 17:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01/05/2009 19:48 64160]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [13/06/2009 16:33 130936]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1003344]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/04/2008 17:06 24592]
S2 gupdate1c9087ee8c5a21c;Google Update Service (gupdate1c9087ee8c5a21c);c:\program files\Google\Update\GoogleUpdate.exe [27/08/2008 21:55 133104]
S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\DRIVERS\adiusbae.sys --> c:\windows\system32\DRIVERS\adiusbae.sys [?]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [01/08/2008 18:46 18953]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [13/06/2009 16:32 348752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [26/02/2008 15:24 26488]
.
Contenu du dossier 'Tâches planifiées'

2009-06-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 17:48]

2009-06-21 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-27 05:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.msn.com
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
TCP: {52441C7C-E5B9-4D6F-A48A-236A4BC93B2D} = 212.27.53.252,212.27.54.252
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-21 10:14
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3456)
c:\program files\BillP Studios\WinPatrol\PATROLPRO.DLL
c:\program files\Fichiers communs\Ahead\Lib\NeroSearchBar.dll
c:\program files\Fichiers communs\Ahead\Lib\MFC71U.DLL
c:\program files\Fichiers communs\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-06-21 10:17 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-21 08:17
ComboFix2.txt 2009-06-20 17:46

Avant-CF: 7 611 158 528 octets libres
Après-CF: 7 625 482 240 octets libres

240 --- E O F --- 2009-06-20 13:03
0
Réponse 13 / 57
Utilisateur anonyme
21 juin 2009 à 10:51
Slt,

Les messages sont a propos des .dll ?


Télécharge Dr.Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;

- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.


0
Réponse 14 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
21 juin 2009 à 15:22
Bon c'est fait mais toujours ces msg

voici le nouveau rapport

Process.exe C:\SDFix\apps Tool.Prockill Quarantaine.
SDFix.exe\SDFix\apps\Process.exe D:\Mes documents\telechargement\SDFix.exe Tool.Prockill
SDFix.exe D:\Mes documents\telechargement L'archive contient des éléments infectés Quarantaine.
0
Réponse 15 / 57
Utilisateur anonyme
21 juin 2009 à 16:06
Re,

Fait un scan kaspersky online en sivant ce tuto stp :

https://forum.pcastuces.com/default.asp

0
Réponse 16 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
21 juin 2009 à 17:27
bon le scan ne marche pas.
J'ai désactivé mon antivirus kaspersky mais il me dit qu'il ne peut pas le faire en ligne car j'ai l'antivirus d'installé.
Que dois je faire?

merci!!
0
Réponse 17 / 57
Utilisateur anonyme
21 juin 2009 à 17:28
Essaye sur secuser ou bitdefender



0
Réponse 18 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
21 juin 2009 à 18:28
Bon j'ai fait bitdefender et rien comme virus

:-) ......
0
Réponse 19 / 57
Utilisateur anonyme
21 juin 2009 à 18:45
télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre ensuite tu suit la procédure dans l'ordre .

0
Réponse 20 / 57
quicker Messages postés 15 Date d'inscription samedi 20 juin 2009 Statut Membre Dernière intervention 1 juillet 2012
21 juin 2009 à 19:44
je verrais cela demain car je bosse ce soir
merci
bonne soirée
0