Rapport hijackthis

narcis6 Messages postés 89 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
j'aimerai savoir ce que je dois supprimer
merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:31, on 20-11-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/?p=us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [firewall 2008] C:\WINDOWS\system32\logoneui.exe (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User 'welcome')
O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Maison')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8A483E5-AA33-422B-BF1B-7192F59ED7E6}: NameServer = 66.28.0.45 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

--
End of file - 7255 bytes
Configuration: Windows XP
Firefox 3.0.15

37 réponses

  • 1
  • 2
Résumé de la discussion

Des infections détectées par un log HijackThis sur Windows XP nécessitent une procédure de nettoyage fiable et efficace pour préservant les composants système et les données personnelles. La proposition conseille l'utilisation de Dr Web CureIt en analyse rapide puis complète, puis la désinfection et la mise en quarantaine des éléments détectés, avec redémarrage final et partage du rapport. D'autres échanges évoquent Spybot S&D, Malwarebytes, ComboFix et Avira AntiVir, parfois avec des difficultés lors de l'analyse antivirus; les participants recommandent d'éviter les options heuristiques fortes et de privilégier des nettoyages supervisés. En complément, l'échange signale qu'il faut vérifier les démarrages et les services lancés au démarrage, ainsi que des éléments Office/Real/Skype pour éviter des reprises malveillantes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,
    **********************
    Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 2. Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)

    __________________

    mettre a jour internet explorer
    pour XP
    http://download.microsoft.com/...

    pour VISTA:
    http://download.microsoft.com/download/5/9/8/598CDBFA-4C11-45BA-8283-91439C7B8E5B/IE8-WindowsVista-x86-FRA.exe

    _____________

    mettre à jour adobe reader puis supprimer les anciennes version via le panneau de configuration
    https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

    ou passer a un lecteur alternatif ce qui évitera les virus circulant via les PDF comme foxit reader (ne pas mettre les barres foxit, ask, ebay..)

    https://www.commentcamarche.net/telecharger/bureautique/10297-foxit-pdf-reader/

    _____________

    Mettre a jour java:
    https://javara.fr.malavida.com/

    Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.
    Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
    Double-clique sur le répertoire JavaRa obtenu.
    Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
    Clique sur Search For Updates.
    Sélectionne Update Using jucheck.exe puis clique sur Search.
    Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
    Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
    Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
    Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
    Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log
    (c:\JavaRa.log)
    Ferme l'application.

    si cela ne fonctionne pas

    https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80

    tu peux désinstaller les vieilles versions.
    0
  2. Utilisateur anonyme
     
    bonsoir,
    pour commencer supprimes ceci :
    C:\Program Files\AskBarDis => infection par toolbar

    fais une mise à jour de ta console java :-)
    0
  3. narcis6 Messages postés 89 Statut Membre 6
     
    merci pour vos réponses très rapides
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. narcis6 Messages postés 89 Statut Membre 6
     
    salut j'ai installé spybot et malawarbytes mais j'ai un autre problème lorsque je fais le scan avec mon antivirus avira antivir version gratuite ça se bloque toujours à47.9% c/système volume information...je crois
    que faire?
    merci d'avance
    0
  6. Utilisateur anonyme
     
    bonsoir,
    •Supprimer les points de restauration sous Xp qui contiennet des infections :
    Cliquer droit sur "Poste de travail" puis choisir "Propriétés".
    Sélectionner l'onglet "Restauration du système". Si l'onglet est absent, essayer de le restaurer avec Zeb-Restore. ftp://zebulon.fr/Zeb-Restore.zip
    Cocher "Désactiver la Restauration du système sur tous les lecteurs" ou "Désactiver la Restauration du système" puis appliquer.
    Un message informera la suppression de tous les points de restauration existants.
    Confirmer par "Oui".
    Réactiver ensuite la restauration du système en décochant "Désactiver la Restauration du système".
    Appliquer puis valider par "OK".

    passe toolbar s&d en option 2
    poste son rapport

    on verra le reste, tu as un worm sur ton pc !!!
    0
  7. narcis6 Messages postés 89 Statut Membre 6
     
    -----------\\ ToolBar S&D 1.2.9 XP/Vista

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz )
    BIOS : Award Modular BIOS v6.00PG
    USER : Administrateur ( Administrator )
    BOOT : Normal boot
    Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
    Firewall : ZoneAlarm Firewall 7.0.483.000 (Activated)
    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:19 Go (Free:2 Go)
    D:\ (Local Disk) - NTFS - Total:48 Go (Free:44 Go)
    E:\ (Local Disk) - NTFS - Total:48 Go (Free:40 Go)
    F:\ (Local Disk) - FAT32 - Total:31 Go (Free:31 Go)
    G:\ (CD or DVD)

    "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
    Option : [2] ( Sat 11/21/2009|20:31 )

    -----------\\ SUPPRESSION

    Supprime! - C:\Program Files\AskBarDis\bar
    Supprime! - C:\Program Files\AskBarDis\unins000.dat
    Supprime! - C:\Program Files\AskBarDis\unins000.exe
    Supprime! - C:\Program Files\AskBarDis

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (Administrateur) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="https://fr.yahoo.com/?p=us"
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="https://fr.yahoo.com/?p=us"
    "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Start Page"="https://www.msn.com/fr-fr/"

    --------------------\\ Recherche d'autres infections

    Aucune autre infection trouvée !

    1 - "C:\ToolBar SD\TB_1.txt" - Sat 11/21/2009|20:34 - Option : [2]

    -----------\\ Fin du rapport a 20:34:53.89
    0
  8. narcis6 Messages postés 89 Statut Membre 6
     
    salut c'est quoi la différence entre toolbarSD et spybot sand destroy?
    merci d'avance
    0
  9. Utilisateur anonyme
     
    toolbar s&d supprime les infections par toolbar

    spybot supprime des spywar

    ce sont des infections completement differantes :-)

    reposte un autre rapport rsit, je regarde la suite demain, à +
    0
  10. narcis6 Messages postés 89 Statut Membre 6
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-11-22 10:40:17
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 2 GB (12%) free of 20 GB
    Total RAM: 2047 MB (70% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:40:21, on 22-11-2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\CNAB4RPK.EXE
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    C:\Documents and Settings\welcome\Bureau\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\RunOnce: [SpybotDeletingB6747] command.com /c del "C:\WINDOWS\system32\28463\POLG.001"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD6068] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.001"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB8317] command.com /c del "C:\WINDOWS\system32\28463\POLG.002"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD4116] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.002"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB7531] command.com /c del "C:\WINDOWS\system32\28463\POLG.005"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD1409] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.005"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB5356] command.com /c del "C:\WINDOWS\system32\28463\POLG.009"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD4166] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.009"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
    O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'welcome')
    O4 - HKUS\S-1-5-21-1454471165-1957994488-839522115-1003\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User 'welcome')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C8A483E5-AA33-422B-BF1B-7192F59ED7E6}: NameServer = 66.28.0.45 193.251.169.165
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
    O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe
    0
  11. narcis6 Messages postés 89 Statut Membre 6
     
    info.txt logfile of random's system information tool 1.06 2009-11-22 10:40:23

    ======Uninstall list======

    -->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
    -->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
    -->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
    -->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
    -->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
    -->C:\WINDOWS\UNRecode.exe /UNINSTALL
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    3Planesoft Screensaver Manager 1.2-->"C:\Program Files\3Planesoft Screensaver Manager\unins000.exe"
    Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
    Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 7.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70000000000}
    Ask Toolbar-->"C:\Program Files\AskBarDis\unins000.exe"
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
    Borland JBuilder X Enterprise Trial-->"C:\JBuilderX\UninstallEnterpriseTrial\UninstallEnterpriseTrial.exe"
    Borland JBuilder X Entreprise Evaluation-->C:\JBuilderX\UninstallEnterpriseTrial\UninstallEnterpriseTrial.exe
    Canon LBP2900-->C:\Program Files\Canon\PrnUninstall\Canon LBP2900\CNAB4UN.EXE
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    Deep Space 3D Screensaver 1.0-->"C:\Program Files\Deep Space 3D Screensaver\unins000.exe"
    Earth 3D Screensaver 1.0-->"C:\Program Files\Earth 3D Screensaver\unins000.exe"
    Elhikma Tilawat warch-->MsiExec.exe /I{BA13FCF9-C857-47CC-95D4-1F60709EB220}
    Glary Utilities 2.17.0.776-->"D:\Glary Utilities\unins000.exe"
    GSview et Aladdin Ghostscript-->C:\gstools\gsview\ungsvw32.exe C:\gstools\gsview\
    High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Huawei SmartAX MT810-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}\Setup.exe" -l0x9 -L0x9
    InterActual Player-->C:\Program Files\InterActual\InterActual Player\inuninst.exe
    J2SE Development Kit 5.0-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0150000}
    J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
    J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    MATLAB 6.5-->C:\MATLAB6p5\uninstall\uninstall.exe C:\MATLAB6p5
    MATLAB R2007a-->C:\Program Files\MATLAB\R2007a\uninstall\uninstall.exe C:\Program Files\MATLAB\R2007a\
    Micro Application - 36 Dictionnaires et Recueils de Correspondance-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B410328C-0E8C-4DD2-9DB4-DE7766D0DFE0}\SETUP.EXE" -l0x40c -uninst
    Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
    Microsoft Encarta 2008 - Etudes-->MsiExec.exe /I{08181881-FCA5-44A7-B863-D66037A16AAF}
    Microsoft Encarta Maths-->MsiExec.exe /I{07183840-959A-4B0D-8825-2C533F0DDB19}
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
    Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
    MSXML 6.0 Parser-->MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE}
    Nature 3D Screensaver 1.1-->"C:\Program Files\Nature 3D Screensaver\unins000.exe"
    Nero 7 Essentials-->MsiExec.exe /X{B28B351F-1232-46EA-85EF-B8EA91641033}
    NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
    RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
    REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -l0x0009 -removeonly
    Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x9 -removeonly
    Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
    SolidConverterPDF-->MsiExec.exe /I{9BC76CCE-A9EC-4A3A-9B51-D823805E1D1F}
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    Super Success-->C:\WINDOWS\IsUninst.exe -fC:\SUPER\Uninst.isu
    The Lost Watch 3D Screensaver 1.0-->"C:\Program Files\The Lost Watch 3D Screensaver\unins000.exe"
    VLC media player 0.9.2-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    WampServer 2.0-->"c:\wamp\unins000.exe"
    Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
    WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
    WinZip-->"C:\Program Files\WinZip\WINZIP32.EXE" /uninstall
    ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe
    Zylom Games Player Plugin-->"C:\Program Files\Zylom Games\UninstallPlugin.exe" --uninstall

    =====HijackThis Backups=====

    O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-11-20]
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2009-11-20]

    ======Security center information======

    AV: AntiVir Desktop
    FW: ZoneAlarm Firewall

    ======System event log======

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 7034
    Message: Le service MATLAB Server s'est terminé de façon inattendue pour la 1ème fois.

    Record Number: 15156
    Source Name: Service Control Manager
    Time Written: 20091012142701.000000+060
    Event Type: error
    User:

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 7000
    Message: Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en raison de l'erreur :
    Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

    Record Number: 15153
    Source Name: Service Control Manager
    Time Written: 20091012142658.000000+060
    Event Type: error
    User:

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 7034
    Message: Le service MATLAB Server s'est terminé de façon inattendue pour la 1ème fois.

    Record Number: 15129
    Source Name: Service Control Manager
    Time Written: 20091012110255.000000+060
    Event Type: error
    User:

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 7000
    Message: Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en raison de l'erreur :
    Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

    Record Number: 15126
    Source Name: Service Control Manager
    Time Written: 20091012110252.000000+060
    Event Type: error
    User:

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 7034
    Message: Le service MATLAB Server s'est terminé de façon inattendue pour la 1ème fois.

    Record Number: 15106
    Source Name: Service Control Manager
    Time Written: 20091011094804.000000+060
    Event Type: error
    User:

    =====Application event log=====

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 1517
    Message: Windows a sauvegardé le Registre utilisateur INFOTOLG-6C9B4B\welcome alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.

    Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

    Record Number: 5144
    Source Name: Userenv
    Time Written: 20090828123301.000000+060
    Event Type: warning
    User: AUTORITE NT\SYSTEM

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 0
    Message:
    Record Number: 5137
    Source Name: matlabserver
    Time Written: 20090828113628.000000+060
    Event Type: error
    User:

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 1517
    Message: Windows a sauvegardé le Registre utilisateur INFOTOLG-6C9B4B\welcome alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.

    Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

    Record Number: 5134
    Source Name: Userenv
    Time Written: 20090827190307.000000+060
    Event Type: warning
    User: AUTORITE NT\SYSTEM

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 0
    Message:
    Record Number: 5127
    Source Name: matlabserver
    Time Written: 20090827175630.000000+060
    Event Type: error
    User:

    Computer Name: INFOTOLG-6C9B4B
    Event Code: 1517
    Message: Windows a sauvegardé le Registre utilisateur INFOTOLG-6C9B4B\Maison alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.

    Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

    Record Number: 5124
    Source Name: Userenv
    Time Written: 20090827151804.000000+060
    Event Type: warning
    User: AUTORITE NT\SYSTEM

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\MATLAB\R2007a\bin;C:\Program Files\MATLAB\R2007a\bin\win32;c:\matlab6p5\bin\win32;
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
    "PROCESSOR_REVISION"=0f0d
    "NUMBER_OF_PROCESSORS"=2
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "tvdumpflags"=8

    -----------------EOF-----------------
    0
  12. narcis6 Messages postés 89 Statut Membre 6
     
    bonjour,
    c fait mais c quoi un worm?
    merci encore
    0
  13. Utilisateur anonyme
     
    bonjour,
    •/!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    /!\ Utilisateur de Vista : Ne pas oublier de désactiver l’UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharges ComboFix à partir de ce lien :

    https://forospyware.com
    ou ici :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :
    ► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    /!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu’Administrateur »
    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement
    sauvegardé et rangé à C:\Combofix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    Si ça ne marche pas, tu vires combofix de sur ton bureau et tu télécharge depuis ce lien jacombo qui est combofix renommé cela permet de contrer certaine infection, tu le mets sur ton bureau et tu suis les explications données dans la procédure de combofix
    http://sd-1.archive-host.com/membres/up/89820622056365782/jacombo.exe
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt
    suite a ceci par experience il est preferable de virer ce qui est en quarantaine dans spybot voire meme virer spybot car cela resiste parfois:

    O4 - HKCU\..\RunOnce: [SpybotDeletingB6747] command.com /c del "C:\WINDOWS\system32\28463\POLG.001"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD6068] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.001"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB8317] command.com /c del "C:\WINDOWS\system32\28463\POLG.002"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD4116] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.002"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB7531] command.com /c del "C:\WINDOWS\system32\28463\POLG.005"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD1409] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.005"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB5356] command.com /c del "C:\WINDOWS\system32\28463\POLG.009"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD4166] cmd.exe /c del "C:\WINDOWS\system32\28463\POLG.009"
    0
  15. narcis6 Messages postés 89 Statut Membre 6
     
    bonjour,
    ouai jé mis du temps mais j'étais pas chez moi ces derniers temps,
    je vous prie d'y geter un coup d'oeil qd même
    nb: plusieurs messages d'avertissement ont apparus et pas un seul !!!

    ComboFix 09-12-02.01 - Administrateur 12/11/2009 12:26.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1256.213.1036.18.2047.1578 [GMT 1:00]
    Running from: c:\documents and settings\welcome\Mes documents\Téléchargements\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .
    - REDUCED FUNCTIONALITY MODE -
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system\msvbvm60.dll
    c:\windows\system32\clrviddc.dll

    .
    ((((((((((((((((((((((((( Files Created from 2009-11-11 to 2009-12-11 )))))))))))))))))))))))))))))))
    .

    2009-12-09 12:41 . 2009-12-09 12:41 -------- d-----w- c:\documents and settings\welcome\Application Data\uTorrent
    2009-12-09 12:22 . 2009-12-09 12:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\uTorrent
    2009-12-02 12:23 . 2009-12-09 12:59 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
    2009-12-02 12:23 . 2009-12-02 12:30 -------- d-----w- c:\program files\NOS
    2009-11-22 10:56 . 2009-11-22 10:59 143973 ----a-w- c:\documents and settings\Administrateur\Application Data\Move Networks\uninstall.exe
    2009-11-22 10:56 . 2009-11-22 10:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Move Networks
    2009-11-22 09:40 . 2009-11-22 09:40 -------- d-----w- C:\rsit
    2009-11-22 07:30 . 2009-11-22 07:30 -------- d-----w- c:\documents and settings\welcome\Local Settings\Application Data\Identities
    2009-11-21 19:30 . 2009-11-21 19:34 -------- d-----w- C:\ToolBar SD
    2009-11-21 11:49 . 2009-11-21 11:49 -------- d-----w- c:\documents and settings\welcome\Local Settings\Application Data\Help
    2009-11-20 17:37 . 2009-11-20 17:37 -------- d-----w- c:\documents and settings\welcome\Application Data\Malwarebytes
    2009-11-20 17:31 . 2009-11-20 17:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2009-11-20 17:31 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-11-20 17:31 . 2009-11-20 17:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-11-20 17:31 . 2009-11-20 17:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-11-20 17:31 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-11-20 17:17 . 2009-11-20 17:17 -------- d-----w- c:\program files\Trend Micro
    2009-11-20 16:42 . 2009-11-20 17:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-11-20 16:42 . 2009-11-20 16:42 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2009-11-20 15:04 . 2009-11-20 15:04 -------- d-----w- c:\program files\Zylom Games
    2009-11-20 15:04 . 2009-11-20 15:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Zylom
    2009-11-20 15:04 . 2009-10-23 14:01 102400 ----a-w- c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
    2009-11-20 15:04 . 2006-11-29 13:44 161976 ----a-w- c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll
    2009-11-18 06:02 . 2009-12-11 09:45 -------- d-----w- c:\documents and settings\welcome\Application Data\skypePM
    2009-11-18 05:59 . 2009-12-11 11:26 -------- d-----w- c:\documents and settings\welcome\Application Data\Skype
    2009-11-17 19:31 . 2009-11-17 19:31 -------- d-----w- c:\documents and settings\Maison\Local Settings\Application Data\Identities
    2009-11-16 19:32 . 2009-12-09 14:55 -------- d-----w- c:\documents and settings\Maison\Application Data\skypePM
    2009-11-16 19:29 . 2009-12-09 14:56 -------- d-----w- c:\documents and settings\Maison\Application Data\Skype
    2009-11-16 17:19 . 2009-12-09 12:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
    2009-11-16 17:14 . 2009-12-09 13:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
    2009-11-16 17:13 . 2009-11-16 17:14 -------- d-----w- c:\program files\Skype
    2009-11-16 17:13 . 2009-11-16 17:13 -------- d-----w- c:\program files\Fichiers communs\Skype
    2009-11-16 17:13 . 2009-11-16 17:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
    2009-11-16 17:13 . 2009-11-16 17:13 -------- d-----w- c:\documents and settings\Maison\Local Settings\Application Data\Skype
    2009-11-14 10:20 . 2009-12-10 20:26 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-11-14 10:20 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2009-11-14 10:20 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2009-11-14 10:20 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2009-11-14 10:20 . 2009-11-14 10:20 -------- d-----w- c:\program files\Avira
    2009-11-14 10:20 . 2009-11-14 10:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2009-11-12 15:53 . 2009-11-12 15:53 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Help
    2009-11-12 14:43 . 2004-08-03 23:45 14848 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
    2009-11-12 14:43 . 2004-08-03 23:45 14848 ----a-w- c:\windows\system32\drivers\kbdhid.sys
    2009-11-12 13:53 . 2006-08-14 05:09 83200 ----a-r- c:\windows\system32\drivers\Rtenicxp.sys
    2009-11-12 13:53 . 2009-11-12 13:53 -------- d-----w- c:\windows\OPTIONS
    2009-11-12 13:53 . 2009-11-12 13:53 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-12-11 11:31 . 2008-12-26 16:41 20254752 --sha-w- c:\windows\system32\drivers\fidbox.dat
    2009-12-11 09:50 . 2009-01-01 19:14 -------- d-----w- c:\documents and settings\welcome\Application Data\SolidDocuments
    2009-12-10 23:17 . 2008-12-26 16:41 241700 --sha-w- c:\windows\system32\drivers\fidbox.idx
    2009-12-09 13:00 . 2009-02-01 13:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\SolidDocuments
    2009-11-29 07:29 . 2009-11-29 07:30 1477120 ----a-w- c:\windows\Internet Logs\xDB3.tmp
    2009-11-29 06:36 . 2009-05-13 13:36 4454691 ----a-w- c:\windows\Internet Logs\tvDebug.zip
    2009-11-28 16:01 . 2008-05-04 13:41 -------- d-----w- c:\program files\Fichiers communs\Real
    2009-11-25 11:09 . 2009-01-03 16:55 -------- d-----w- c:\documents and settings\Maison\Application Data\SolidDocuments
    2009-11-22 10:59 . 2009-09-24 21:45 5644224 ----a-w- c:\documents and settings\Administrateur\Application Data\Move Networks\plugins\npqmp071700000016.dll
    2009-11-16 17:19 . 2009-11-16 17:19 32 ----a-w- c:\documents and settings\All Users\Application Data\ezsid.dat
    2009-11-12 13:53 . 2008-05-04 15:11 -------- d-----w- c:\program files\Realtek
    2009-11-12 13:53 . 2008-05-04 15:10 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-11-10 18:36 . 2009-01-08 20:22 41288 ----a-w- c:\documents and settings\Maison\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-11-06 13:47 . 2008-05-09 12:01 41288 ----a-w- c:\documents and settings\welcome\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-09-24 21:45 . 2009-09-24 21:45 97216 ----a-w- c:\documents and settings\Administrateur\Application Data\Move Networks\ie_bin\MovePlayerUpgrade.exe
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-04-03 21898024]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingB6747"="command.com" - c:\windows\system32\command.com [2002-09-07 52103]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-19 86016]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2008-06-30 36972]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-04-19 1626112]
    "SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-12-12 2879488]
    "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-12-12 16270848]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @="Service"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
    backup=c:\windows\pss\DSLMON.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
    backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^welcome^Menu Démarrer^Programmes^Démarrage^Ela-Salaty.lnk]
    path=c:\documents and settings\welcome\Menu Démarrer\Programmes\Démarrage\Ela-Salaty.lnk
    backup=c:\windows\pss\Ela-Salaty.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\CNAB4RPK.EXE"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14-11-2009 11:20 108289]
    S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\drivers\adiusbae.sys [26-12-2008 9:44 117785]
    S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [20-11-2009 18:31 38224]
    .
    Contents of the 'Scheduled Tasks' folder

    2009-12-11 c:\windows\Tasks\GlaryInitialize.job
    - d:\glary utilities\initialize.exe [2009-11-18 09:21]
    .
    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://www.yahoo.com
    mWindow Title =
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    FF - ProfilePath -

    ---- FIREFOX POLICIES ----
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
    .
    - - - - ORPHANS REMOVED - - - -

    WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)
    HKCU-Run-uTorrent - c:\documents and settings\welcome\Mes documents\Téléchargements\utorrent.exe
    HKLM-Run-TkBellExe - c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
    AddRemove-Ask Toolbar_is1 - c:\program files\AskBarDis\unins000.exe
    AddRemove-NVIDIA Drivers - c:\windows\system32\nvudisp.exe UninstallGUI

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-12-11 12:30
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2009-12-11 12:37
    ComboFix-quarantined-files.txt 2009-12-11 11:37

    Pre-Run: 2,493,362,176 octets libres
    Post-Run: 2,657,320,960 octets libres

    - - End Of File - - 1996E0C983C0B2C61E6E2277E3A9276D
    0
  16. Utilisateur anonyme
     
    salut jlpjlp,
    j'avais pas vu ton poste , veux tu continuer sur le topic?
    0
  17. narcis6 Messages postés 89 Statut Membre 6
     
    he oh plus personne ne veut m'aider snif snif
    j'ai toujours le même problème
    0
  18. Utilisateur anonyme
     
    bonjour,
    pas de panique, je prends la suite ;-)
    tu as MBAM sur ton pc :
    2009-11-20 18:31:42 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

    lance MBAM
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine
    .
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique !!!

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  19. narcis6 Messages postés 89 Statut Membre 6
     
    Bonjour,
    voilà mon rapport MBAM log est le suivant:

    Malwarebytes' Anti-Malware 1.41
    Database version: 3181
    Windows 5.1.2600 Service Pack 2

    23/12/2009 22:14:40
    mbam-log-2009-12-23 (22-14-40).txt

    Scan type: Full Scan (C:\|D:\|E:\|F:\|)
    Objects scanned: 413699
    Time elapsed: 47 minute(s), 47 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)

    Apparement, rien n'est infecté!
    Quoi faire svp?!
    0
  20. Utilisateur anonyme
     
    as tu bien fait la mise à jour de MBAM avant de le lancer? j'ai un doute => 3181

    on est à la vérsion 3300
    0
  • 1
  • 2