Sujet Précédent Sujet Suivant

Trojan horst.gen

Résolu
penspart -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour,
je suis victime du trojan horst.gen
voici le rapport hijackthis!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:58:22, on 02/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
I:\CLONE CD\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\WINDOWS\system32\rundll32.exe
I:\SPYBOT\Spybot - Search & Destroy\TeaTimer.exe
I:\firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
I:\Hijackthis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://cdn.microsoftstudios.com/fsx/motd.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\cmstp.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - I:\REALPLAYER\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\SPYBOT\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: IEButton Class - {F81D52BF-F2F1-4F49-BF5F-05664E803039} - E:\jeux johan\Flash Saving Plugin\FlashSButton.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [UVS10 Preload] I:\VIDEO STUDIO 10+\uvPL.exe
O4 - HKLM\..\Run: [avgnt] "I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "I:\CLONE CD\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] E:\jeux johan\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\SPYBOT\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\System\mstsc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\dllhst3g.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [MqtgSVC] C:\WINDOWS\mqtgsvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\System32\drivers\sessmgr.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\laurent\APPLIC~1\MICROS~1\cisvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\comrepl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\laurent\APPLIC~1\MICROS~1\ieudinit.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Logman] C:\WINDOWS\logman.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System\esentutl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\laurent\LOCALS~1\Temp\cmstp.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\WINDOWS\System32\drivers\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Spool] C:\WINDOWS\System32\drivers\spoolsv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\laurent\LOCALS~1\Temp\clipsrv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\DOCUME~1\laurent\APPLIC~1\MICROS~1\sessmgr.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\laurent\LOCALS~1\Temp\mstsc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\laurent\LOCALS~1\Temp\ieudinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\laurent\LOCALS~1\Temp\logman.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\laurent\LOCALS~1\Temp\rsvp.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice (User 'Default user')
O4 - Startup: fsbackup.lnk = I:\FSBACKUP\fsbackup.exe
O4 - Global Startup: Microsoft Office.lnk = I:\OFFICE XP 2002\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://E:\jeux johan\Flash Saving Plugin\FlashSButton.dll/210
O8 - Extra context menu item: Save YouTube Video - res://E:\jeux johan\Flash Saving Plugin\FlashSButton.dll/217
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - I:\HTTRACK - aspi de sites web\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - I:\HTTRACK - aspi de sites web\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\SPYBOT\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\SPYBOT\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - E:\jeux johan\Flash Saving Plugin\FlashSButton.dll (HKCU)
O15 - Trusted Zone: *.line6.net
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: NBService - Unknown owner - I:\NERO\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
A voir également:

10 réponses

Réponse 1 / 10
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Bonjour,

On va commencer par ce scan généraliste (mais ça m'étonnerait que ça suffise, merci de revenir jusqu'au bout, je te dirai quand ce sera terminé) :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

0
Réponse 2 / 10
penspart
 
bonjour,

tout d'abord merci pour ton aide! sympa...donc j'ai fais ce que tu m'as dis voici le rapport:

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2367
Windows 5.1.2600 Service Pack 3

03/07/2009 12:09:47
mbam-log-2009-07-03 (12-09-47).txt

Type de recherche: Examen rapide
Eléments examinés: 83018
Temps écoulé: 1 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\comrepl (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Data: c:\docume~1\laurent\applic~1\micros~1\rsvp.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\laurent\Application Data\Microsoft\rsvp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 3 / 10
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
MalwareBytes n'a trouvé qu'un des nombreux fichiers ajoutés par cette infection... On va devoir utiliser Combofix

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix0

0
penspart
 
euh par contre il a redémarré mon ordi lors du scan avec bien sur mes logiciels de protections!!! j'espère que ça craint pas trop?
voici le rapport:
ComboFix 09-07-02.02 - laurent 03/07/2009 19:02.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1610 [GMT 2:00]
Lancé depuis: c:\documents and settings\laurent\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\laurent\Application Data\Microsoft\rsvp.exe
c:\documents and settings\laurent\Local Settings\Application Data\cisvc.exe
c:\documents and settings\laurent\Local Settings\Application Data\cmstp.exe
c:\program files\INSTALL.LOG
c:\windows\Installer\WMEncoder.msi
c:\windows\sc32.dll
c:\windows\SoftwareProtection\Windows External Security Update.exe
c:\windows\system\dllhst3g.exe
c:\windows\system\logman.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3550P


((((((((((((((((((((((((((((( Fichiers créés du 2009-06-03 au 2009-07-03 ))))))))))))))))))))))))))))))))))))
.

2009-07-03 17:05 . 2009-04-22 13:42 61440 ----a-w- c:\windows\system32\drivers\dllhst3g.exe
2009-07-03 17:05 . 2009-04-22 13:42 61440 ----a-w- c:\windows\logman.exe
2009-07-03 10:11 . 2009-04-22 13:42 61440 ----a-w- c:\windows\system\mstsc.exe
2009-07-03 10:09 . 2009-04-22 13:42 61440 ----a-w- c:\windows\system\cmstp.exe
2009-07-02 11:09 . 2009-07-02 11:10 -------- d-----w- c:\program files\Windows Live Safety Center
2009-07-02 11:05 . 2008-12-03 23:25 120832 ----a-w- c:\documents and settings\laurent\Application Data\Mozilla\Firefox\Profiles\mbxje88k.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}\plugins\npietab.dll
2009-07-01 10:28 . 2009-07-01 10:28 -------- d-----w- c:\documents and settings\laurent\Application Data\Malwarebytes
2009-07-01 10:28 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-01 10:28 . 2009-07-01 10:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-01 10:28 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-12 08:43 . 2009-06-12 08:43 -------- d-----w- c:\program files\LAURENT-0CE109D
2009-06-06 07:36 . 2009-06-06 07:36 -------- d-----w- c:\documents and settings\laurent\Local Settings\Application Data\Babylon
2009-06-06 07:36 . 2009-06-06 07:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Babylon
2009-06-06 07:36 . 2009-06-06 07:37 -------- d-----w- c:\documents and settings\laurent\Application Data\Babylon

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-03 17:06 . 2008-05-29 09:26 -------- d-----w- c:\program files\lx_cats
2009-07-03 16:00 . 2008-12-22 00:07 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2009-07-03 16:00 . 2008-12-22 00:07 -------- d-----w- c:\program files\Norton Security Scan
2009-07-03 14:39 . 2008-05-12 13:23 848 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-29 20:55 . 2008-05-07 22:18 189072 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-06-29 20:27 . 2008-05-07 22:18 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-06-03 09:04 . 2008-12-24 08:04 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-02 10:13 . 2009-06-02 10:13 -------- d-----w- c:\program files\Ubi Soft
2009-06-02 10:12 . 2009-06-02 10:12 -------- d-----w- c:\documents and settings\laurent\Application Data\ubi.com
2009-06-02 10:12 . 2009-06-02 10:12 -------- d-----w- c:\program files\Fichiers communs\PocketSoft
2009-06-02 10:12 . 2008-05-07 20:59 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-23 08:14 . 2001-08-28 12:00 601274 ----a-w- c:\windows\system32\perfh00C.dat
2009-05-23 08:14 . 2001-08-28 12:00 108120 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-29 16:02 . 2008-05-07 09:28 34440 ----a-w- c:\documents and settings\laurent\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-27 09:21 . 2009-04-27 09:21 160258 ----a-w- c:\windows\Sqirlz Morph Uninstaller.exe
2009-04-25 16:16 . 2009-04-10 15:09 345600 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-04-21 22:20 . 2009-04-21 22:20 14311680 ----a-w- c:\windows\system32\xlive.dll
2009-04-21 22:20 . 2009-04-21 22:20 13642496 ----a-w- c:\windows\system32\xlivefnt.dll
1998-09-25 11:16 . 2008-10-23 15:45 270848 ----a-w- c:\program files\UNWISE.EXE
2009-02-25 14:45 . 2009-02-25 14:39 24 --sh--w- c:\windows\SCE25DB7D.tmp
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="i:\spybot\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UVS10 Preload"="i:\video studio 10+\uvPL.exe" [2006-03-06 36864]
"avgnt"="i:\antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"LXCRCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll" [2006-11-21 106496]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-01-23 185872]
"CloneCDTray"="i:\clone cd\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"Corel Photo Downloader"="c:\program files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" [2007-08-16 531272]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-16 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"DllHst"="c:\docume~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\dllhst3g.exe" [2009-04-22 61440]

[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ClipSrv"="c:\docume~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe" [2009-04-22 61440]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - i:\office xp 2002\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=c:\docume~1\laurent\LOCALS~1\Temp\logman.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"i:\\EMULE\\emule.exe"=
"e:\\GTR2\\GTR2.exe"=
"e:\\COD 4\\iw3sp.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\ASSASSIN'S CREED\\AssassinsCreed_Dx9.exe"=
"e:\\ASSASSIN'S CREED\\AssassinsCreed_Dx10.exe"=
"e:\\ASSASSIN'S CREED\\AssassinsCreed_Launcher.exe"=
"c:\\WINDOWS\\system32\\lxcrcoms.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"e:\\FSX\\fsx.exe"=
"c:\\Program Files\\Alice_Triway_WiFi\\Wizard\\CTD_FirmwareUpgrader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
"c:\\WINDOWS\\Windl\\mirc.exe"=
"e:\\COD 4\\iw3mp.exe"=
"i:\\REALPLAYER\\realplay.exe"=
"d:\\GRAND THEFT AUTO IV\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"d:\\GRAND THEFT AUTO IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"d:\\GRAND THEFT AUTO IV\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [02/01/2009 00:33 28544]
R3 L6DP;L6DP;c:\windows\system32\drivers\l6dp.sys [10/12/2005 02:07 27392]
R3 L6TPortA;Service - Line 6 TonePort UX1;c:\windows\system32\drivers\L6TPortA.sys [10/12/2005 02:06 393216]
R3 WsAudioDevice_383;WsAudioDevice_383;c:\windows\system32\drivers\WsAudioDevice_383.sys [09/04/2009 09:08 16640]
S3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [07/05/2008 23:32 24944]
S3 Tileproxy;Tileproxy;c:\windows\system32\DRIVERS\tileproxy.sys --> c:\windows\system32\DRIVERS\tileproxy.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2009-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57]

2009-07-03 c:\windows\Tasks\Norton Security Scan for laurent.job
- c:\program files\Norton Security Scan\Nss.exe [2008-09-19 19:20]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Uniblue RegistryBooster 2009 - e:\jeux johan\Uniblue\RegistryBooster\RegistryBooster.exe
HKCU-Run-AdobeBridge - (no file)
HKLM-Explorer_Run-SessMgr - c:\windows\System32\drivers\sessmgr.exe
HKLM-Explorer_Run-Cisvc - c:\docume~1\laurent\APPLIC~1\MICROS~1\cisvc.exe
HKLM-Explorer_Run-Spool - c:\docume~1\laurent\APPLIC~1\spoolsv.exe
HKLM-Explorer_Run-ClipSrv - c:\docume~1\laurent\APPLIC~1\clipsrv.exe
HKCU-Explorer_Run-DllHst - c:\docume~1\laurent\APPLIC~1\MICROS~1\dllhst3g.exe
HKCU-Explorer_Run-SessMgr - c:\docume~1\laurent\APPLIC~1\MICROS~1\sessmgr.exe
HKCU-Explorer_Run-Cisvc - c:\docume~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\cisvc.exe
HKCU-Explorer_Run-IEudinit - c:\docume~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\ieudinit.exe
HKCU-Explorer_Run-MqtgSVC - c:\docume~1\laurent\LOCALS~1\APPLIC~1\mqtgsvc.exe
HKCU-Explorer_Run-MstInit - c:\docume~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\mstinit.exe
HKCU-Explorer_Run-Esent Utl - c:\docume~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\esentutl.exe
HKU-Default-Explorer_Run-Spool - c:\docume~1\laurent\APPLIC~1\spoolsv.exe
HKU-Default-Explorer_Run-Esent Utl - c:\docume~1\laurent\APPLIC~1\esentutl.exe
HKU-Default-Explorer_Run-MqtgSVC - c:\docume~1\laurent\LOCALS~1\APPLIC~1\MICROS~1\mqtgsvc.exe
HKU-Default-Explorer_Run-Logman - c:\docume~1\laurent\APPLIC~1\logman.exe


.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.fsinsider.com/downloads/Pages/FlightSimulatorXServicePack1.aspx
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - i:\office~1\Office10\EXCEL.EXE/3000
IE: Save Flash - e:\jeux johan\Flash Saving Plugin\FlashSButton.dll/210
IE: Save YouTube Video - e:\jeux johan\Flash Saving Plugin\FlashSButton.dll/217
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: {{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
Trusted Zone: line6.net
FF - ProfilePath - c:\documents and settings\laurent\Application Data\Mozilla\Firefox\Profiles\mbxje88k.default\
FF - prefs.js: browser.startup.homepage - hxxp://my.ebay.fr/ws/eBayISAPI.dll?MyEbayBeta&CurrentPage=MyeBayNextSold&ssPageName=STRK:ME:LNLK:MESOX|https://webmail.aliceadsl.fr//cgi-bin/webmail|http://onecare.live.com/site/fr-be/article/firefox.htm
FF - component: i:\realplayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\Fichiers communs\ParallelGraphics\Cortona\npCortona.dll
FF - plugin: i:\firefox\plugins\npCortona.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin7.dll
FF - plugin: i:\realplayer\Netscape6\nppl3260.dll
FF - plugin: i:\realplayer\Netscape6\nprjplug.dll
FF - plugin: i:\realplayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-03 19:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCRCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1682526488-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1AE02F12-784A-9EF9-8015-9228D1D5254C}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iaikgkcedfnfgcolpc"=hex:69,61,6b,70,6c,65,6c,6a,6b,6d,6c,63,64,63,6a,6c,62,6b,
00,7c
"haokmkpemjmohaec"=hex:6a,61,69,70,62,66,62,6f,61,63,70,67,6f,6b,6e,6d,69,6c,
6c,6d,00,8a

[HKEY_USERS\S-1-5-21-1343024091-1682526488-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7d,0c,1c,0d,24,20,e4,05,82,69,1c,43,10,db,94,8a,d8,1b,c5,35,8c,d4,05,
4f,4f,20,12,82,53,02,22,fd,9c,6f,12,55,c4,ae,f8,a7,c8,f0,8e,df,7f,3d,2f,c7,\
"??"=hex:f9,91,82,34,80,a5,8d,80,95,ba,8d,02,c8,36,22,6a

[HKEY_USERS\S-1-5-21-1343024091-1682526488-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:2e,bb,c5,52,96,9d,7f,f5,57,2e,86,26,6d,f7,79,74,76,7d,c3,ac,61,
73,2f,85,f3,2a,be,b1,78,44,b0,24,07,82,01,89,07,96,89,d3,85,13,ba,ad,b8,20,\
"rkeysecu"=hex:66,93,26,cc,ab,cc,99,51,be,ea,7a,43,6a,9b,88,f1
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(3152)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSFR.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
i:\antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe
i:\antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\lxcrcoms.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\PSIService.exe
c:\program files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-07-03 19:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-07-03 17:08

Avant-CF: 3 122 700 288 octets libres
Après-CF: 3 080 544 256 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /noguiboot

248 --- E O F --- 2009-05-23 06:56
0
Réponse 4 / 10
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
OK, maintenant on va devoir faire un script pour supprimer ce que Combofix n'a pas détecté :

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour penspart, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier penspart.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

P.S : la désinfection ne sera pas encore tout à fait terminée après ça, mais je pars en vacances mardi. Si jamais on n'a pas le temps de terminer la désinfection avant, je reviendrai lundi prochain pour t'aider à terminer ;)

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
penspart
 
voici Anthony le rapport de combofix:

ComboFix 09-07-02.02 - laurent 06/07/2009 9:21.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1329 [GMT 2:00]
Lancé depuis: c:\documents and settings\laurent\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\laurent\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-06-06 au 2009-07-06 ))))))))))))))))))))))))))))))))))))
.

2009-07-05 21:01 . 2009-07-05 23:37 -------- d-----w- c:\windows\BDOSCAN8
2009-07-05 20:28 . 2008-12-03 23:25 120832 ----a-w- c:\documents and settings\laurent\Application Data\Mozilla\Firefox\Profiles\mbxje88k.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}\plugins\npietab.dll
2009-07-02 11:09 . 2009-07-05 08:51 -------- d-----w- c:\program files\Windows Live Safety Center
2009-07-01 10:28 . 2009-07-01 10:28 -------- d-----w- c:\documents and settings\laurent\Application Data\Malwarebytes
2009-07-01 10:28 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-01 10:28 . 2009-07-01 10:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-01 10:28 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-12 08:43 . 2009-06-12 08:43 -------- d-----w- c:\program files\LAURENT-0CE109D
2009-06-06 07:36 . 2009-06-06 07:36 -------- d-----w- c:\documents and settings\laurent\Local Settings\Application Data\Babylon
2009-06-06 07:36 . 2009-06-06 07:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Babylon
2009-06-06 07:36 . 2009-06-06 07:37 -------- d-----w- c:\documents and settings\laurent\Application Data\Babylon

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-06 07:25 . 2008-05-29 09:26 -------- d-----w- c:\program files\lx_cats
2009-07-05 19:31 . 2008-12-28 14:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-05 16:00 . 2008-12-22 00:07 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2009-07-05 16:00 . 2008-12-22 00:07 -------- d-----w- c:\program files\Norton Security Scan
2009-07-05 12:26 . 2008-05-12 13:23 848 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-29 20:55 . 2008-05-07 22:18 189072 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-06-29 20:27 . 2008-05-07 22:18 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-06-03 09:04 . 2008-12-24 08:04 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-02 10:13 . 2009-06-02 10:13 -------- d-----w- c:\program files\Ubi Soft
2009-06-02 10:12 . 2009-06-02 10:12 -------- d-----w- c:\documents and settings\laurent\Application Data\ubi.com
2009-06-02 10:12 . 2009-06-02 10:12 -------- d-----w- c:\program files\Fichiers communs\PocketSoft
2009-06-02 10:12 . 2008-05-07 20:59 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-23 08:14 . 2001-08-28 12:00 601274 ----a-w- c:\windows\system32\perfh00C.dat
2009-05-23 08:14 . 2001-08-28 12:00 108120 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-29 16:02 . 2008-05-07 09:28 34440 ----a-w- c:\documents and settings\laurent\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-27 09:21 . 2009-04-27 09:21 160258 ----a-w- c:\windows\Sqirlz Morph Uninstaller.exe
2009-04-25 16:16 . 2009-04-10 15:09 345600 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-04-21 22:20 . 2009-04-21 22:20 14311680 ----a-w- c:\windows\system32\xlive.dll
2009-04-21 22:20 . 2009-04-21 22:20 13642496 ----a-w- c:\windows\system32\xlivefnt.dll
1998-09-25 11:16 . 2008-10-23 15:45 270848 ----a-w- c:\program files\UNWISE.EXE
2009-02-25 14:45 . 2009-02-25 14:39 24 --sh--w- c:\windows\SCE25DB7D.tmp
.

((((((((((((((((((((((((((((( SnapShot@2009-07-03_17.06.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2003-10-29 12:05 . 2003-10-29 12:05 28672 c:\windows\system32\FM20FRA.DLL
+ 2009-02-06 17:00 . 2009-07-04 06:23 90112 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\xlicons.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 90112 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\xlicons.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 45056 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\wordicon.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 45056 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\wordicon.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 22528 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\unbndico.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 22528 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\unbndico.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 30720 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\pptico.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 30720 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\pptico.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 16384 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\PEicons.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 16384 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\PEicons.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 34304 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\misc.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 34304 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\misc.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 81920 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\fpicon.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 81920 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\fpicon.exe
+ 2009-01-05 13:44 . 2009-01-05 13:44 53248 c:\windows\bdoscandel.exe
+ 2009-07-05 21:01 . 2009-07-05 21:01 86016 c:\windows\BDOSCAN8\librtvr.dll
+ 2009-07-05 21:01 . 2009-07-05 21:01 27136 c:\windows\BDOSCAN8\avxt.dll
+ 2009-07-05 21:01 . 2009-07-05 21:01 10240 c:\windows\BDOSCAN8\avxs.dll
+ 2009-07-05 21:01 . 2009-07-05 21:01 45056 c:\windows\BDOSCAN8\avxdisk.dll
- 2009-02-06 17:00 . 2009-02-06 17:00 3584 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\opwicon.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 3584 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\opwicon.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 8192 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\mspicons.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 8192 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\mspicons.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 2560 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\cagicon.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 2560 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\cagicon.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 114688 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\outicon.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 114688 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\outicon.exe
- 2009-02-06 17:00 . 2009-02-06 17:00 167936 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\accicons.exe
+ 2009-02-06 17:00 . 2009-07-04 06:23 167936 c:\windows\Installer\{9028040C-6000-11D3-8CFE-0050048383C9}\accicons.exe
+ 2009-01-05 13:44 . 2009-01-05 13:44 741376 c:\windows\Downloaded Program Files\ipsupd.dll
+ 2009-01-05 13:44 . 2009-07-05 21:01 142848 c:\windows\BDOSCAN8\libfn.dll
+ 2009-01-05 13:44 . 2009-01-05 13:44 741376 c:\windows\BDOSCAN8\ipsupd.dll
+ 2009-01-05 13:44 . 2009-07-05 21:01 102400 c:\windows\BDOSCAN8\bdcore.dll
+ 2003-09-25 10:07 . 2003-09-25 10:07 1139472 c:\windows\system32\FM20.DLL
+ 2004-02-21 19:41 . 2004-02-21 19:41 60819164 c:\windows\Installer\6aa89.msp
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="i:\spybot\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UVS10 Preload"="i:\video studio 10+\uvPL.exe" [2006-03-06 36864]
"avgnt"="i:\antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"LXCRCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll" [2006-11-21 106496]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-01-23 185872]
"CloneCDTray"="i:\clone cd\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"Corel Photo Downloader"="c:\program files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" [2007-08-16 531272]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-16 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - i:\office xp 2002\Office10\OSA.EXE [2001-2-13 83360]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Svchost
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"i:\\EMULE\\emule.exe"=
"e:\\GTR2\\GTR2.exe"=
"e:\\COD 4\\iw3sp.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\ASSASSIN'S CREED\\AssassinsCreed_Dx9.exe"=
"e:\\ASSASSIN'S CREED\\AssassinsCreed_Dx10.exe"=
"e:\\ASSASSIN'S CREED\\AssassinsCreed_Launcher.exe"=
"c:\\WINDOWS\\system32\\lxcrcoms.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"e:\\FSX\\fsx.exe"=
"c:\\Program Files\\Alice_Triway_WiFi\\Wizard\\CTD_FirmwareUpgrader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
"c:\\WINDOWS\\Windl\\mirc.exe"=
"e:\\COD 4\\iw3mp.exe"=
"i:\\REALPLAYER\\realplay.exe"=
"d:\\GRAND THEFT AUTO IV\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"d:\\GRAND THEFT AUTO IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"d:\\GRAND THEFT AUTO IV\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [02/01/2009 00:33 28544]
R3 L6DP;L6DP;c:\windows\system32\drivers\l6dp.sys [10/12/2005 02:07 27392]
R3 L6TPortA;Service - Line 6 TonePort UX1;c:\windows\system32\drivers\L6TPortA.sys [10/12/2005 02:06 393216]
R3 WsAudioDevice_383;WsAudioDevice_383;c:\windows\system32\drivers\WsAudioDevice_383.sys [09/04/2009 09:08 16640]
S3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [07/05/2008 23:32 24944]
S3 Tileproxy;Tileproxy;c:\windows\system32\DRIVERS\tileproxy.sys --> c:\windows\system32\DRIVERS\tileproxy.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2009-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57]

2009-07-05 c:\windows\Tasks\Norton Security Scan for laurent.job
- c:\program files\Norton Security Scan\Nss.exe [2008-09-19 19:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.fsinsider.com/downloads/Pages/FlightSimulatorXServicePack1.aspx
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - i:\office~1\Office10\EXCEL.EXE/3000
IE: Save Flash - e:\jeux johan\Flash Saving Plugin\FlashSButton.dll/210
IE: Save YouTube Video - e:\jeux johan\Flash Saving Plugin\FlashSButton.dll/217
IE: Translate this web page with Babylon
IE: {{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478}
Trusted Zone: line6.net
FF - ProfilePath - c:\documents and settings\laurent\Application Data\Mozilla\Firefox\Profiles\mbxje88k.default\
FF - prefs.js: browser.startup.homepage - hxxp://my.ebay.fr/ws/eBayISAPI.dll?MyEbayBeta&CurrentPage=MyeBayNextSelling&ssPageName=STRK:ME:LNLK:MESEX|http://www.parlonsbonsai.com/...|http://www.commentcamarche.net/forum/forum 7 virus securite|http://www.commentcamarche.net/forum/affich 13155498 trojan horst gen#2009 07 03%2015%3A09%3A02|https://www.routard.com/forum_voyage/hebergement_et_hotels_maroc/37_1.htm|http://www.routard.com/membre_profil.asp
FF - component: i:\realplayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\Fichiers communs\ParallelGraphics\Cortona\npCortona.dll
FF - plugin: i:\firefox\plugins\npCortona.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: i:\quicktime\Plugins\npqtplugin7.dll
FF - plugin: i:\realplayer\Netscape6\nppl3260.dll
FF - plugin: i:\realplayer\Netscape6\nprjplug.dll
FF - plugin: i:\realplayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-06 09:25
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCRCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1682526488-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1AE02F12-784A-9EF9-8015-9228D1D5254C}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iaikgkcedfnfgcolpc"=hex:69,61,6b,70,6c,65,6c,6a,6b,6d,6c,63,64,63,6a,6c,62,6b,
00,7c
"haokmkpemjmohaec"=hex:6a,61,69,70,62,66,62,6f,61,63,70,67,6f,6b,6e,6d,69,6c,
6c,6d,00,8a

[HKEY_USERS\S-1-5-21-1343024091-1682526488-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7d,0c,1c,0d,24,20,e4,05,82,69,1c,43,10,db,94,8a,d8,1b,c5,35,8c,d4,05,
4f,4f,20,12,82,53,02,22,fd,9c,6f,12,55,c4,ae,f8,a7,c8,f0,8e,df,7f,3d,2f,c7,\
"??"=hex:f9,91,82,34,80,a5,8d,80,95,ba,8d,02,c8,36,22,6a

[HKEY_USERS\S-1-5-21-1343024091-1682526488-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:2e,bb,c5,52,96,9d,7f,f5,57,2e,86,26,6d,f7,79,74,76,7d,c3,ac,61,
73,2f,85,f3,2a,be,b1,78,44,b0,24,07,82,01,89,07,96,89,d3,85,13,ba,ad,b8,20,\
"rkeysecu"=hex:66,93,26,cc,ab,cc,99,51,be,ea,7a,43,6a,9b,88,f1
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(3864)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSFR.DLL
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
i:\antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe
i:\antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\lxcrcoms.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\PSIService.exe
c:\program files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-07-06 9:26 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-07-06 07:26
ComboFix2.txt 2009-07-03 17:08

Avant-CF: 2 844 585 984 octets libres
Après-CF: 2 826 350 592 octets libres

243 --- E O F --- 2009-07-04 06:24

en espérant te souhaiter de bonnes vacances à ton prochain message ;)
0
Réponse 6 / 10
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Ton ordinateur ne semble plus infecté ;)

Il reste à finir le nettoyage et à sécuriser un peu ton ordinateur, mais il n'y a plus d'urgence. Je te donnerai ces conseils dans une semaine en rentrant de vacances (en attendant, fais seulement attention à ne pas réinfecter ton ordinateur, et ne fais surtout pas de restauration du système)

Et j'aurai besoin d'un nouveau rapport hiajckthis stp :)

A la semaine prochaine !

0
Réponse 7 / 10
penspart
 
effectivement je n'ai plus d'alerte! en tout cas merci infiniment pour ton aide précieuse anthony!5151 et bonnes vacances donc ...je t'enverrai d'ici là un rapport hijackthis! encore merci!
laurent
0
Réponse 8 / 10
penspart
 
voici le rapport hijackthis que tu me demandes!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:19:48, on 08/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
I:\CLONE CD\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
I:\SPYBOT\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
I:\firefox\firefox.exe
I:\Hijackthis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://cdn.microsoftstudios.com/fsx/motd.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - I:\REALPLAYER\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\SPYBOT\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: IEButton Class - {F81D52BF-F2F1-4F49-BF5F-05664E803039} - E:\jeux johan\Flash Saving Plugin\FlashSButton.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [UVS10 Preload] I:\VIDEO STUDIO 10+\uvPL.exe
O4 - HKLM\..\Run: [avgnt] "I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "I:\CLONE CD\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\SPYBOT\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: fsbackup.lnk = I:\FSBACKUP\fsbackup.exe
O4 - Global Startup: Microsoft Office.lnk = I:\OFFICE XP 2002\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://E:\jeux johan\Flash Saving Plugin\FlashSButton.dll/210
O8 - Extra context menu item: Save YouTube Video - res://E:\jeux johan\Flash Saving Plugin\FlashSButton.dll/217
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - I:\HTTRACK - aspi de sites web\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - I:\HTTRACK - aspi de sites web\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\SPYBOT\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\SPYBOT\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - E:\jeux johan\Flash Saving Plugin\FlashSButton.dll (HKCU)
O15 - Trusted Zone: *.line6.net
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - I:\ANTIVIR\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
O23 - Service: NBService - Unknown owner - I:\NERO\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 9 / 10
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).

1) Sécurise ton ordinateur

• Anti-virus :
* Antivir est un excellent choix, garde le. Juste un petit réglage à faire : Double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « mode expert » --> coche « Rech. Rootkits au dem. de la recherche »
* Garde Spybot pour ses vaccinations, à faire régulièrement à chaque fois que tu le mets à jour
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Internet Explorer n'est pas à jour, c'est une grosse faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8
Si ça ne fonctionne pas, consulte cette astuce

• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

• Vaccine tes disques amovibles à l'aide de FindyKill (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci FindyKil sur ton Bureau → Au menu principal, choisis l'option 3 (Vaccination).

2) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = I:\OFFICE XP 2002\Office10\OSA.EXE

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"

3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.

4) Télécharge et installe CCleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.

6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet

Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
0
Réponse 10 / 10
penspart
 
wahouuuuwwwww tout ça?!!!!!! :o
je vais suivre à la lettre toute tes recommandations! encore merci infiniment pour ta précieuse aide! sympa....
Laurent
0
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
De rien ;)

Je te souhaite une bonne continuation !
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
Comment enlever mon virus trojan:win32/si...
bryanoulet -
juju666 -

58 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses