Sujet Précédent Sujet Suivant

Rapport hijackthis

Fermé
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 - 20 nov. 2009 à 18:19
 Utilisateur anonyme - 28 déc. 2009 à 19:38
Bonjour,
j'aimerai savoir ce que je dois supprimer
merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:31, on 20-11-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/?p=us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [firewall 2008] C:\WINDOWS\system32\logoneui.exe (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Maison')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8A483E5-AA33-422B-BF1B-7192F59ED7E6}: NameServer = 66.28.0.45 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

37 réponses

  • 1
  • 2
Réponse 1 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
20 nov. 2009 à 18:21
slt,
**********************
Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 2. Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)



__________________


mettre a jour internet explorer
pour XP
http://download.microsoft.com/...

pour VISTA:
http://download.microsoft.com/download/5/9/8/598CDBFA-4C11-45BA-8283-91439C7B8E5B/IE8-WindowsVista-x86-FRA.exe

_____________

mettre à jour adobe reader puis supprimer les anciennes version via le panneau de configuration
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

ou passer a un lecteur alternatif ce qui évitera les virus circulant via les PDF comme foxit reader (ne pas mettre les barres foxit, ask, ebay..)

https://www.commentcamarche.net/telecharger/bureautique/10297-foxit-pdf-reader/


_____________

Mettre a jour java:
https://javara.fr.malavida.com/


Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.
Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
Double-clique sur le répertoire JavaRa obtenu.
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
Clique sur Search For Updates.
Sélectionne Update Using jucheck.exe puis clique sur Search.
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log
(c:\JavaRa.log)
Ferme l'application.

si cela ne fonctionne pas

https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80

tu peux désinstaller les vieilles versions.
0
Réponse 2 / 37
Utilisateur anonyme
20 nov. 2009 à 18:22
bonsoir,
pour commencer supprimes ceci :
C:\Program Files\AskBarDis => infection par toolbar


fais une mise à jour de ta console java :-)
0
Réponse 3 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
20 nov. 2009 à 18:26
merci pour vos réponses très rapides
0
Réponse 4 / 37
Utilisateur anonyme
21 nov. 2009 à 09:22
bonjour
si tu n'arrives pas à télécharger Toolbar s&d depuis le lien donné par jlpjlp que je salue au passage, passe par ce lien :
http://ww38.toofiles.com/fr/oip/documents/exe/tbsd.html
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
21 nov. 2009 à 17:48
salut j'ai installé spybot et malawarbytes mais j'ai un autre problème lorsque je fais le scan avec mon antivirus avira antivir version gratuite ça se bloque toujours à47.9% c/système volume information...je crois
que faire?
merci d'avance
0
Réponse 6 / 37
Utilisateur anonyme
21 nov. 2009 à 18:39
bonsoir,
•Supprimer les points de restauration sous Xp qui contiennet des infections :
Cliquer droit sur "Poste de travail" puis choisir "Propriétés".
Sélectionner l'onglet "Restauration du système". Si l'onglet est absent, essayer de le restaurer avec Zeb-Restore. ftp://zebulon.fr/Zeb-Restore.zip
Cocher "Désactiver la Restauration du système sur tous les lecteurs" ou "Désactiver la Restauration du système" puis appliquer.
Un message informera la suppression de tous les points de restauration existants.
Confirmer par "Oui".
Réactiver ensuite la restauration du système en décochant "Désactiver la Restauration du système".
Appliquer puis valider par "OK".

passe toolbar s&d en option 2
poste son rapport

on verra le reste, tu as un worm sur ton pc !!!
0
Réponse 7 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
21 nov. 2009 à 20:43
-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz )
BIOS : Award Modular BIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
Firewall : ZoneAlarm Firewall 7.0.483.000 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:2 Go)
D:\ (Local Disk) - NTFS - Total:48 Go (Free:44 Go)
E:\ (Local Disk) - NTFS - Total:48 Go (Free:40 Go)
F:\ (Local Disk) - FAT32 - Total:31 Go (Free:31 Go)
G:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( Sat 11/21/2009|20:31 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\AskBarDis\bar
Supprime! - C:\Program Files\AskBarDis\unins000.dat
Supprime! - C:\Program Files\AskBarDis\unins000.exe
Supprime! - C:\Program Files\AskBarDis

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(Administrateur) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://fr.yahoo.com/?p=us"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://fr.yahoo.com/?p=us"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - Sat 11/21/2009|20:34 - Option : [2]

-----------\\ Fin du rapport a 20:34:53.89
0
Réponse 8 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
21 nov. 2009 à 20:44
salut c'est quoi la différence entre toolbarSD et spybot sand destroy?
merci d'avance
0
Réponse 9 / 37
Utilisateur anonyme
21 nov. 2009 à 21:49
toolbar s&d supprime les infections par toolbar

spybot supprime des spywar

ce sont des infections completement differantes :-)

reposte un autre rapport rsit, je regarde la suite demain, à +
0
Réponse 10 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
22 nov. 2009 à 10:45
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-11-22 10:40:17
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (12%) free of 20 GB
Total RAM: 2047 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:40:21, on 22-11-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Documents and Settings\welcome\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB6747] command.com /c del "C:\WINDOWS\system32\28463\POLG.001"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6068] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.001"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8317] command.com /c del "C:\WINDOWS\system32\28463\POLG.002"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4116] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.002"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7531] command.com /c del "C:\WINDOWS\system32\28463\POLG.005"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1409] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.005"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5356] command.com /c del "C:\WINDOWS\system32\28463\POLG.009"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4166] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.009"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User 'welcome')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8A483E5-AA33-422B-BF1B-7192F59ED7E6}: NameServer = 66.28.0.45 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe
0
Réponse 11 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
22 nov. 2009 à 10:45
info.txt logfile of random's system information tool 1.06 2009-11-22 10:40:23

======Uninstall list======

-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
3Planesoft Screensaver Manager 1.2-->"C:\Program Files\3Planesoft Screensaver Manager\unins000.exe"
Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70000000000}
Ask Toolbar-->"C:\Program Files\AskBarDis\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Borland JBuilder X Enterprise Trial-->"C:\JBuilderX\UninstallEnterpriseTrial\UninstallEnterpriseTrial.exe"
Borland JBuilder X Entreprise Evaluation-->C:\JBuilderX\UninstallEnterpriseTrial\UninstallEnterpriseTrial.exe
Canon LBP2900-->C:\Program Files\Canon\PrnUninstall\Canon LBP2900\CNAB4UN.EXE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Deep Space 3D Screensaver 1.0-->"C:\Program Files\Deep Space 3D Screensaver\unins000.exe"
Earth 3D Screensaver 1.0-->"C:\Program Files\Earth 3D Screensaver\unins000.exe"
Elhikma Tilawat warch-->MsiExec.exe /I{BA13FCF9-C857-47CC-95D4-1F60709EB220}
Glary Utilities 2.17.0.776-->"D:\Glary Utilities\unins000.exe"
GSview et Aladdin Ghostscript-->C:\gstools\gsview\ungsvw32.exe C:\gstools\gsview\
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Huawei SmartAX MT810-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}\Setup.exe" -l0x9 -L0x9
InterActual Player-->C:\Program Files\InterActual\InterActual Player\inuninst.exe
J2SE Development Kit 5.0-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0150000}
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
MATLAB 6.5-->C:\MATLAB6p5\uninstall\uninstall.exe C:\MATLAB6p5
MATLAB R2007a-->C:\Program Files\MATLAB\R2007a\uninstall\uninstall.exe C:\Program Files\MATLAB\R2007a\
Micro Application - 36 Dictionnaires et Recueils de Correspondance-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B410328C-0E8C-4DD2-9DB4-DE7766D0DFE0}\SETUP.EXE" -l0x40c -uninst
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Encarta 2008 - Etudes-->MsiExec.exe /I{08181881-FCA5-44A7-B863-D66037A16AAF}
Microsoft Encarta Maths-->MsiExec.exe /I{07183840-959A-4B0D-8825-2C533F0DDB19}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
MSXML 6.0 Parser-->MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE}
Nature 3D Screensaver 1.1-->"C:\Program Files\Nature 3D Screensaver\unins000.exe"
Nero 7 Essentials-->MsiExec.exe /X{B28B351F-1232-46EA-85EF-B8EA91641033}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -l0x0009 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x9 -removeonly
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SolidConverterPDF-->MsiExec.exe /I{9BC76CCE-A9EC-4A3A-9B51-D823805E1D1F}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Super Success-->C:\WINDOWS\IsUninst.exe -fC:\SUPER\Uninst.isu
The Lost Watch 3D Screensaver 1.0-->"C:\Program Files\The Lost Watch 3D Screensaver\unins000.exe"
VLC media player 0.9.2-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WampServer 2.0-->"c:\wamp\unins000.exe"
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
WinZip-->"C:\Program Files\WinZip\WINZIP32.EXE" /uninstall
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe
Zylom Games Player Plugin-->"C:\Program Files\Zylom Games\UninstallPlugin.exe" --uninstall

=====HijackThis Backups=====

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-11-20]
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-11-20]

======Security center information======

AV: AntiVir Desktop
FW: ZoneAlarm Firewall

======System event log======

Computer Name: INFOTOLG-6C9B4B
Event Code: 7034
Message: Le service MATLAB Server s'est terminé de façon inattendue pour la 1ème fois.

Record Number: 15156
Source Name: Service Control Manager
Time Written: 20091012142701.000000+060
Event Type: error
User:

Computer Name: INFOTOLG-6C9B4B
Event Code: 7000
Message: Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.


Record Number: 15153
Source Name: Service Control Manager
Time Written: 20091012142658.000000+060
Event Type: error
User:

Computer Name: INFOTOLG-6C9B4B
Event Code: 7034
Message: Le service MATLAB Server s'est terminé de façon inattendue pour la 1ème fois.

Record Number: 15129
Source Name: Service Control Manager
Time Written: 20091012110255.000000+060
Event Type: error
User:

Computer Name: INFOTOLG-6C9B4B
Event Code: 7000
Message: Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.


Record Number: 15126
Source Name: Service Control Manager
Time Written: 20091012110252.000000+060
Event Type: error
User:

Computer Name: INFOTOLG-6C9B4B
Event Code: 7034
Message: Le service MATLAB Server s'est terminé de façon inattendue pour la 1ème fois.

Record Number: 15106
Source Name: Service Control Manager
Time Written: 20091011094804.000000+060
Event Type: error
User:

=====Application event log=====

Computer Name: INFOTOLG-6C9B4B
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur INFOTOLG-6C9B4B\welcome alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.


Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

Record Number: 5144
Source Name: Userenv
Time Written: 20090828123301.000000+060
Event Type: warning
User: AUTORITE NT\SYSTEM

Computer Name: INFOTOLG-6C9B4B
Event Code: 0
Message:
Record Number: 5137
Source Name: matlabserver
Time Written: 20090828113628.000000+060
Event Type: error
User:

Computer Name: INFOTOLG-6C9B4B
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur INFOTOLG-6C9B4B\welcome alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.


Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

Record Number: 5134
Source Name: Userenv
Time Written: 20090827190307.000000+060
Event Type: warning
User: AUTORITE NT\SYSTEM

Computer Name: INFOTOLG-6C9B4B
Event Code: 0
Message:
Record Number: 5127
Source Name: matlabserver
Time Written: 20090827175630.000000+060
Event Type: error
User:

Computer Name: INFOTOLG-6C9B4B
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur INFOTOLG-6C9B4B\Maison alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.


Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

Record Number: 5124
Source Name: Userenv
Time Written: 20090827151804.000000+060
Event Type: warning
User: AUTORITE NT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\MATLAB\R2007a\bin;C:\Program Files\MATLAB\R2007a\bin\win32;c:\matlab6p5\bin\win32;
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"tvdumpflags"=8

-----------------EOF-----------------
0
Réponse 12 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
22 nov. 2009 à 10:48
bonjour,
c fait mais c quoi un worm?
merci encore
0
Réponse 13 / 37
Utilisateur anonyme
22 nov. 2009 à 10:53
bonjour,
•/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!

/!\ Utilisateur de Vista : Ne pas oublier de désactiver l’UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Télécharges ComboFix à partir de ce lien :

https://forospyware.com
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu’Administrateur »
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement
sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Si ça ne marche pas, tu vires combofix de sur ton bureau et tu télécharge depuis ce lien jacombo qui est combofix renommé cela permet de contrer certaine infection, tu le mets sur ton bureau et tu suis les explications données dans la procédure de combofix
http://sd-1.archive-host.com/membres/up/89820622056365782/jacombo.exe
0
Réponse 14 / 37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 nov. 2009 à 15:24
slt
suite a ceci par experience il est preferable de virer ce qui est en quarantaine dans spybot voire meme virer spybot car cela resiste parfois:


O4 - HKCU\..\RunOnce: [SpybotDeletingB6747] command.com /c del "C:\WINDOWS\system32\28463\POLG.001"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6068] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.001"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8317] command.com /c del "C:\WINDOWS\system32\28463\POLG.002"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4116] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.002"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7531] command.com /c del "C:\WINDOWS\system32\28463\POLG.005"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1409] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.005"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5356] command.com /c del "C:\WINDOWS\system32\28463\POLG.009"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4166] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.009"
0
Réponse 15 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
11 déc. 2009 à 12:50
bonjour,
ouai jé mis du temps mais j'étais pas chez moi ces derniers temps,
je vous prie d'y geter un coup d'oeil qd même
nb: plusieurs messages d'avertissement ont apparus et pas un seul !!!

ComboFix 09-12-02.01 - Administrateur 12/11/2009 12:26.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1256.213.1036.18.2047.1578 [GMT 1:00]
Running from: c:\documents and settings\welcome\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
- REDUCED FUNCTIONALITY MODE -
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\msvbvm60.dll
c:\windows\system32\clrviddc.dll

.
((((((((((((((((((((((((( Files Created from 2009-11-11 to 2009-12-11 )))))))))))))))))))))))))))))))
.

2009-12-09 12:41 . 2009-12-09 12:41 -------- d-----w- c:\documents and settings\welcome\Application Data\uTorrent
2009-12-09 12:22 . 2009-12-09 12:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\uTorrent
2009-12-02 12:23 . 2009-12-09 12:59 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-12-02 12:23 . 2009-12-02 12:30 -------- d-----w- c:\program files\NOS
2009-11-22 10:56 . 2009-11-22 10:59 143973 ----a-w- c:\documents and settings\Administrateur\Application Data\Move Networks\uninstall.exe
2009-11-22 10:56 . 2009-11-22 10:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Move Networks
2009-11-22 09:40 . 2009-11-22 09:40 -------- d-----w- C:\rsit
2009-11-22 07:30 . 2009-11-22 07:30 -------- d-----w- c:\documents and settings\welcome\Local Settings\Application Data\Identities
2009-11-21 19:30 . 2009-11-21 19:34 -------- d-----w- C:\ToolBar SD
2009-11-21 11:49 . 2009-11-21 11:49 -------- d-----w- c:\documents and settings\welcome\Local Settings\Application Data\Help
2009-11-20 17:37 . 2009-11-20 17:37 -------- d-----w- c:\documents and settings\welcome\Application Data\Malwarebytes
2009-11-20 17:31 . 2009-11-20 17:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-11-20 17:31 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-20 17:31 . 2009-11-20 17:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-20 17:31 . 2009-11-20 17:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-11-20 17:31 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-20 17:17 . 2009-11-20 17:17 -------- d-----w- c:\program files\Trend Micro
2009-11-20 16:42 . 2009-11-20 17:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-11-20 16:42 . 2009-11-20 16:42 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-20 15:04 . 2009-11-20 15:04 -------- d-----w- c:\program files\Zylom Games
2009-11-20 15:04 . 2009-11-20 15:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Zylom
2009-11-20 15:04 . 2009-10-23 14:01 102400 ----a-w- c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
2009-11-20 15:04 . 2006-11-29 13:44 161976 ----a-w- c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll
2009-11-18 06:02 . 2009-12-11 09:45 -------- d-----w- c:\documents and settings\welcome\Application Data\skypePM
2009-11-18 05:59 . 2009-12-11 11:26 -------- d-----w- c:\documents and settings\welcome\Application Data\Skype
2009-11-17 19:31 . 2009-11-17 19:31 -------- d-----w- c:\documents and settings\Maison\Local Settings\Application Data\Identities
2009-11-16 19:32 . 2009-12-09 14:55 -------- d-----w- c:\documents and settings\Maison\Application Data\skypePM
2009-11-16 19:29 . 2009-12-09 14:56 -------- d-----w- c:\documents and settings\Maison\Application Data\Skype
2009-11-16 17:19 . 2009-12-09 12:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
2009-11-16 17:14 . 2009-12-09 13:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2009-11-16 17:13 . 2009-11-16 17:14 -------- d-----w- c:\program files\Skype
2009-11-16 17:13 . 2009-11-16 17:13 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-11-16 17:13 . 2009-11-16 17:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-11-16 17:13 . 2009-11-16 17:13 -------- d-----w- c:\documents and settings\Maison\Local Settings\Application Data\Skype
2009-11-14 10:20 . 2009-12-10 20:26 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-14 10:20 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-14 10:20 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-14 10:20 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-14 10:20 . 2009-11-14 10:20 -------- d-----w- c:\program files\Avira
2009-11-14 10:20 . 2009-11-14 10:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-11-12 15:53 . 2009-11-12 15:53 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Help
2009-11-12 14:43 . 2004-08-03 23:45 14848 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
2009-11-12 14:43 . 2004-08-03 23:45 14848 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2009-11-12 13:53 . 2006-08-14 05:09 83200 ----a-r- c:\windows\system32\drivers\Rtenicxp.sys
2009-11-12 13:53 . 2009-11-12 13:53 -------- d-----w- c:\windows\OPTIONS
2009-11-12 13:53 . 2009-11-12 13:53 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-11 11:31 . 2008-12-26 16:41 20254752 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-12-11 09:50 . 2009-01-01 19:14 -------- d-----w- c:\documents and settings\welcome\Application Data\SolidDocuments
2009-12-10 23:17 . 2008-12-26 16:41 241700 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-12-09 13:00 . 2009-02-01 13:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\SolidDocuments
2009-11-29 07:29 . 2009-11-29 07:30 1477120 ----a-w- c:\windows\Internet Logs\xDB3.tmp
2009-11-29 06:36 . 2009-05-13 13:36 4454691 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2009-11-28 16:01 . 2008-05-04 13:41 -------- d-----w- c:\program files\Fichiers communs\Real
2009-11-25 11:09 . 2009-01-03 16:55 -------- d-----w- c:\documents and settings\Maison\Application Data\SolidDocuments
2009-11-22 10:59 . 2009-09-24 21:45 5644224 ----a-w- c:\documents and settings\Administrateur\Application Data\Move Networks\plugins\npqmp071700000016.dll
2009-11-16 17:19 . 2009-11-16 17:19 32 ----a-w- c:\documents and settings\All Users\Application Data\ezsid.dat
2009-11-12 13:53 . 2008-05-04 15:11 -------- d-----w- c:\program files\Realtek
2009-11-12 13:53 . 2008-05-04 15:10 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-11-10 18:36 . 2009-01-08 20:22 41288 ----a-w- c:\documents and settings\Maison\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-06 13:47 . 2008-05-09 12:01 41288 ----a-w- c:\documents and settings\welcome\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-24 21:45 . 2009-09-24 21:45 97216 ----a-w- c:\documents and settings\Administrateur\Application Data\Move Networks\ie_bin\MovePlayerUpgrade.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-04-03 21898024]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB6747"="command.com" - c:\windows\system32\command.com [2002-09-07 52103]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2008-06-30 36972]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-04-19 1626112]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-12-12 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-12-12 16270848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=c:\windows\pss\DSLMON.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^welcome^Menu Démarrer^Programmes^Démarrage^Ela-Salaty.lnk]
path=c:\documents and settings\welcome\Menu Démarrer\Programmes\Démarrage\Ela-Salaty.lnk
backup=c:\windows\pss\Ela-Salaty.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\CNAB4RPK.EXE"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14-11-2009 11:20 108289]
S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\drivers\adiusbae.sys [26-12-2008 9:44 117785]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [20-11-2009 18:31 38224]
.
Contents of the 'Scheduled Tasks' folder

2009-12-11 c:\windows\Tasks\GlaryInitialize.job
- d:\glary utilities\initialize.exe [2009-11-18 09:21]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yahoo.com
mWindow Title =
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath -

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)
HKCU-Run-uTorrent - c:\documents and settings\welcome\Mes documents\Téléchargements\utorrent.exe
HKLM-Run-TkBellExe - c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
AddRemove-Ask Toolbar_is1 - c:\program files\AskBarDis\unins000.exe
AddRemove-NVIDIA Drivers - c:\windows\system32\nvudisp.exe UninstallGUI



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-11 12:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-12-11 12:37
ComboFix-quarantined-files.txt 2009-12-11 11:37

Pre-Run: 2,493,362,176 octets libres
Post-Run: 2,657,320,960 octets libres

- - End Of File - - 1996E0C983C0B2C61E6E2277E3A9276D
0
Réponse 16 / 37
Utilisateur anonyme
11 déc. 2009 à 13:16
salut jlpjlp,
j'avais pas vu ton poste , veux tu continuer sur le topic?
0
Réponse 17 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
23 déc. 2009 à 14:41
he oh plus personne ne veut m'aider snif snif
j'ai toujours le même problème
0
Réponse 18 / 37
Utilisateur anonyme
23 déc. 2009 à 14:59
bonjour,
pas de panique, je prends la suite ;-)
tu as MBAM sur ton pc :
2009-11-20 18:31:42 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

lance MBAM
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique !!!

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
Réponse 19 / 37
narcis6 Messages postés 82 Date d'inscription dimanche 19 avril 2009 Statut Membre Dernière intervention 5 février 2012 6
24 déc. 2009 à 16:14
Bonjour,
voilà mon rapport MBAM log est le suivant:

Malwarebytes' Anti-Malware 1.41
Database version: 3181
Windows 5.1.2600 Service Pack 2

23/12/2009 22:14:40
mbam-log-2009-12-23 (22-14-40).txt

Scan type: Full Scan (C:\|D:\|E:\|F:\|)
Objects scanned: 413699
Time elapsed: 47 minute(s), 47 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Apparement, rien n'est infecté!
Quoi faire svp?!
0
Réponse 20 / 37
Utilisateur anonyme
24 déc. 2009 à 16:27
as tu bien fait la mise à jour de MBAM avant de le lancer? j'ai un doute => 3181

on est à la vérsion 3300
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
1fichier.com et bloqueur de pub
anthea1309 -
Patoche12 -

60 réponses
Accés au cloud
Dadou1968 -
loisou17 -

3 réponses