Infection AV Security

Catherine -  
 Catherine -
Bonjour,

Hier mon ordi s'est mis à m'annoncer tout un tas d'alertes et ceci grâce à un outil que je n'avais pas installé : AV Security. De plus il trouvait amusant de m'ouvrir des popup de deux sites de cul avec IE alors que mon navigateur par défaut est Chrome.
Le "centre de sécurité windows" m'a alors pointé du doigt 2 fichiers dans sytem32 qu'il a "réparé"
J'ai couru sur google histoire de voir ce que c'était que ce machin ...
J'ai alors utilisé Malwarbytes qui a découvert 9 fichiers infectés. Je les ai supprimés avec l'outil et j'ai rebooté = erreur sur un fichier dll qu'il ne trouvait plus et sinon aucun changement.

J'ai ensuite dégainé smitfraudfix et suivi la procédure, mais toujours rien de changé après reboot.
J'ai trouvé ensuite une procédure manuelle où il fallait s'attaquer au registre, mais le machin me bloquait l'utilisation de Regedit !
J'ai remarqué ensuite que le machin aimait bien jouer avec ma QuickLaunch, donc avec msconfig je suis allée faire un tour là bas.
J'y ai trouvé les 2 fichiers signalés par "le centre de sécurité windows", l'appel à la fameuse dll qu'il ne trouvait plus ainsi que l'appel à un fichier signalé par Malwarbutes.
J'ai donc décoché ces 4 perturbateurs.
RESULTAT : arrêt des alertes AV Security et arrêt des popups de cul.
Par contre Chrome ne fonctionne plus, et de temps en temps j'ai un pop up (pas de cul) sur un site suedois (?) qui apparait.
J'ai repassé un coup de Malwarbytes : 0 fichier infecté
J'ai installé spybot search & chaispuquoi : 0 fichier infecté
Bref, il y a encore des moutons sous le lit, mais là je ne vois plus quoi faire.

Voici mon log HijackThis, si quelqu'un veut bien m'aider à passer l'aspi.
Merci d'avance ^^
Catherine


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:36:26, on 10/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\P4P\P4P.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\WINDOWS\system32\ASUSTPE.exe
C:\WINDOWS\ASScrPro.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\ATK Hotkey\WDC.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: easyHelper Class - {15D23A2B-2412-409b-B1A4-D416FFCD3754} - C:\Documents and Settings\Catherine\Local Settings\Application Data\EasyChoice\easychoiie.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Program Files\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Program Files\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [ASUSTPE] C:\WINDOWS\system32\ASUSTPE.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\ASScrPro.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [LangOver] C:\Program Files\LangOver\LangOver.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Catherine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: CCC.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: CCC.lnk = ? (User 'Default user')
O4 - .DEFAULT User Startup: CCC.lnk = ? (User 'Default user')
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
A voir également:

9 réponses

Réponse 1 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Le rapport est OK.

Tu devrais désinstaller Spybot, il sert à rien.

T'as des restes de Norton/Smantec :
Vas dans ajout/suppression de programmes du panneau de configuration.
Dans la liste, cherche tout ce qui peut porter le mot suivant et lance la désinstallation :
CC_ccProxyMSI
CC_ccStart
ccCommon
LiveReg (Symantec Corporation)
LiveUpdate (Symantec Corporation)
Tout ce qui porte le mot Symantec
Tout ce qui porte le mot Norton


Si tu n'as plus d'alertes ou de message d'erreur alors le prb est résolu.
0
Catherine
 
Merci de ta réponse rapide :)
J'ai bien des CCC (catalyst control center) en pagaille mais ils n'ont pas tous un bouton "supprimer". Je n'ai pas de bouton "supprimer" non plus pour LiveUpdate.
Sinon je suis surprise que tout aille bien car j'ai quand même de temps en temps (genre une fois par heure) un popup qui s'ouvre spontanément.
0
Réponse 2 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Utilise ce prog pour Norton : http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039

Popup qui raconte quoi ?
Tu l'as même sans surfer ?

Them crooked vultures this evening :D
0
Catherine
 
Ok je vais regarder ça pour Norton ;)
Au niveau popup j'ai eu ce matin un truc qui avait l'air suedois ... Mais je t'avoue que je ne lui ai pas trop laissé le temps de s'exprimer, de peur qu'il en profite pour installer des vilaines choses. Tout à l'heure c'était un site en .ca pour vanter les mérites d'un anti spyware (tiens tiens ...)
Comme depuis l'attaque Chrome ne veut plus charger une seule page, j'utilise firefox avec l'option qui bloque les fenêtres.
Avant l'attaque, j'utilisais Chrome et firefox en parallele, et je n'avais pas de vilains pop up spontanés.
Quant à savoir si ça se produit même sans surfer, je vais laisser mon mon ordi tranquille pendant deux heures pour voir si ça se déclenche sans que je visite un site.
0
Catherine
 
Bon bein pas la peine d'attendre deux heures : alors que je donnais le biberon au p'tit un pop up est apparu de façon magique
https://www.hopa.com/info/default/
Donc, pas besoin de surfer :)
0
Réponse 3 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Fais ça pendant qu'on y est :



Sauvegarde tes documents importants puis :

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

0
Catherine
 
Voilà chef !
ComboFix 10-06-09.04 - Catherine 10/06/2010 19:08:47.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1919.1457 [GMT 2:00]
Lancé depuis: c:\documents and settings\Catherine\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Catherine\Application Data\72D93FA1C6985CA12BDA8FE5279328B2
c:\documents and settings\Catherine\Application Data\72D93FA1C6985CA12BDA8FE5279328B2\enemies-names.txt
c:\documents and settings\Catherine\Application Data\72D93FA1C6985CA12BDA8FE5279328B2\local.ini
c:\documents and settings\Catherine\Application Data\72D93FA1C6985CA12BDA8FE5279328B2\setupupdater0000.exe.vir
c:\documents and settings\Catherine\Local Settings\Application Data\syssvc.exe
c:\windows\system32\tmp.reg

Une copie infectée de c:\windows\system32\drivers\tcpip.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-10 au 2010-06-10 ))))))))))))))))))))))))))))))))))))
.

2010-06-10 15:06 . 2010-06-10 15:06 24064 ----a-w- c:\windows\system32\fgpipe.dll
2010-06-10 08:10 . 2010-06-10 08:12 -------- d-----w- c:\program files\Ad-Remover
2010-06-10 05:35 . 2010-06-10 05:35 -------- d-----w- c:\program files\Trend Micro
2010-06-09 17:32 . 2010-06-10 07:12 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-06-09 17:32 . 2010-06-10 07:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-06-09 12:50 . 2010-06-09 12:50 -------- d-----w- c:\documents and settings\Catherine\Application Data\Malwarebytes
2010-06-09 12:50 . 2008-06-10 17:02 34296 ----a-w- c:\windows\system32\drivers\mbamcatchme.sys
2010-06-09 12:45 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-09 12:45 . 2010-06-09 13:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-09 12:45 . 2010-06-09 12:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-09 12:45 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-09 10:28 . 2010-06-09 10:28 50981 ----a-w- c:\windows\system32\olehmifqqb.exe
2010-06-09 10:28 . 2010-06-09 10:28 -------- d-----w- c:\documents and settings\Catherine\Local Settings\Application Data\visyye
2010-06-09 10:28 . 2010-06-09 10:28 32768 ----a-w- c:\documents and settings\Catherine\Application Data\Mozilla\Firefox\Profiles\7j9u3arm.default\extensions\{BACEEDDA-E4A0-4181-9AC9-867DEF65F2D8}\components\EasyChoiFF.dll
2010-06-09 10:28 . 2010-06-09 12:42 -------- d-----w- c:\documents and settings\Catherine\Local Settings\Application Data\EasyChoice
2010-06-09 10:28 . 2010-06-09 10:28 -------- d-----w- c:\program files\$NtUninstallWTF1012$
2010-06-03 06:11 . 2010-06-03 06:11 29512 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgmfx86.sys
2010-06-03 06:11 . 2010-06-03 06:11 242896 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgtdix.sys
2010-05-27 04:53 . 2010-05-27 04:53 503808 ----a-w- c:\documents and settings\Catherine\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-5fa5c867-n\msvcp71.dll
2010-05-27 04:53 . 2010-05-27 04:53 499712 ----a-w- c:\documents and settings\Catherine\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-5fa5c867-n\jmc.dll
2010-05-27 04:53 . 2010-05-27 04:53 348160 ----a-w- c:\documents and settings\Catherine\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-5fa5c867-n\msvcr71.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-09 15:24 . 2006-08-18 07:14 84964 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-09 15:24 . 2006-08-18 07:14 510980 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-03 06:11 . 2009-03-07 10:55 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-03 06:11 . 2009-03-07 10:55 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-10 09:31 . 2009-03-08 20:57 -------- d-----w- c:\documents and settings\Catherine\Application Data\uTorrent
2010-05-07 10:55 . 2010-05-07 10:55 255472 ----a-w- c:\documents and settings\Catherine\Application Data\Mozilla\plugins\npgoogletalk.dll
2010-05-06 14:01 . 2009-03-10 08:25 -------- d-----w- c:\documents and settings\Catherine\Application Data\dvdcss
2010-05-01 19:12 . 2010-05-01 19:11 -------- d-----w- c:\documents and settings\Catherine\Application Data\Apple Computer
2010-04-30 19:11 . 2010-04-30 19:11 -------- d-----w- c:\program files\QuickTime
2010-04-30 19:11 . 2010-04-30 19:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-04-30 19:10 . 2010-04-30 19:10 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-04-30 19:09 . 2010-04-30 19:09 -------- d-----w- c:\program files\Apple Software Update
2010-04-30 19:09 . 2010-04-30 19:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-03-19 16:16 . 2009-11-19 19:46 79488 ----a-w- c:\documents and settings\Catherine\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-13 08:50 . 2010-03-13 08:50 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-13 08:48 . 2009-03-07 10:55 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15D23A2B-2412-409b-B1A4-D416FFCD3754}]
2010-06-09 10:28 88064 ----a-w- c:\documents and settings\Catherine\Local Settings\Application Data\EasyChoice\easychoiie.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Google Update"="c:\documents and settings\Catherine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-03-12 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"="c:\program files\ATKOSD2\ATKOSD2.exe" [2007-10-17 7737344]
"ATKHOTKEY"="c:\program files\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"PowerForPhone"="c:\program files\P4P\P4P.exe" [2007-07-19 778240]
"Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2009-03-06 33136]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-14 148888]
"ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\windows\system32\config\systemprofile\Menu D'marrer\Programmes\D'marrage\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

c:\windows\system32\config\systemprofile\Menu D'marrer\Programmes\D'marrage\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

c:\documents and settings\Catherine\Menu D'marrer\Programmes\D'marrage\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-5-22 2756608]

c:\windows\system32\config\systemprofile\Menu D'marrer\Programmes\D'marrage\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-13 08:50 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fgpipe]
2010-06-10 15:06 24064 ----a-w- c:\windows\system32\fgpipe.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cwknjmppxsbb]
2010-06-09 10:28 295168 ----a-w- c:\documents and settings\Catherine\Local Settings\Application Data\visyye\ciwcyog.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Documents and Settings\\Catherine\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\Catherine\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Program Files\\Xi\\NetXfer\\NetTransport.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [07/03/2009 12:55 216200]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [07/03/2009 12:55 242896]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [13/03/2010 10:48 916760]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [13/03/2010 10:50 308064]
.
Contenu du dossier 'Tâches planifiées'

2010-06-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-19351120-856233589-2508883155-1005Core.job
- c:\documents and settings\Catherine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-03-12 06:41]

2010-06-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-19351120-856233589-2508883155-1005UA.job
- c:\documents and settings\Catherine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-03-12 06:41]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Tout télécharger avec NetXfer - c:\program files\Xi\NetXfer\NXAddList.html
IE: Télécharger avec NetXfer - c:\program files\Xi\NetXfer\NXAddLink.html
FF - ProfilePath - c:\documents and settings\Catherine\Application Data\Mozilla\Firefox\Profiles\7j9u3arm.default\
FF - component: c:\documents and settings\Catherine\Application Data\Mozilla\Firefox\Profiles\7j9u3arm.default\extensions\{BACEEDDA-E4A0-4181-9AC9-867DEF65F2D8}\components\EasyChoiFF.dll
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\documents and settings\Catherine\Application Data\Mozilla\plugins\npgoogletalk.dll
FF - plugin: c:\documents and settings\Catherine\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\innoPlus\Panorama-Viewer-innoPlus\npirsviewer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-LangOver - c:\program files\LangOver\LangOver.exe
MSConfigStartUp-MChk - c:\windows\system32\iiqgqxfl.exe
MSConfigStartUp-skb - czgrlxdo.dll
ActiveSetup-ccc-core-static - msiexec



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-10 19:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\fgpipe.dll
.
Heure de fin: 2010-06-10 19:17:36
ComboFix-quarantined-files.txt 2010-06-10 17:17

Avant-CF: 77 852 717 056 octets libres
Après-CF: 78 012 719 104 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - A039B30E63027E5F2CBF85DBFD496290
0
Réponse 4 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ché pas si tu as vu mon message comme on s'est télescopé ?
0
Catherine
 
Ah bain nan, je n'avais pas vu ^^
Je lance la sauvergarde mais j'en ai pour ... 236 minutes
A+ pour le résultat du combofix ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
OK.

Alors déjà, si tu as installé SpyBot, ça sert à rien, il va pas t'aider.
Spybot est dépassé.

Ad-Remover va pas t'aider non plus.

T'avais du TDSS et surtout tu sembles avoir du Trojan.Vundo qui semble faire un comeback.
Ca doit être la source de tes popups!


Envoie ce fichier c:\windows\system32\fgpipe.dll à partir du bouton parcourir de la page : http://upload.malekal.com



DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

file:: 
c:\windows\system32\olehmifqqb.exe 
c:\windows\system32\fgpipe.dll  
folder:: 
c:\documents and settings\Catherine\Local Settings\Application Data\visyye  
Registry:: 
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fgpipe]


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis



Them crooked vultures this evening :D
0
Catherine
 
Fichier envoyé :)
J'avais désinstallé spybot quand tu me l'as dit, mais faut croire qu'il traine toujours quelquepart ...
Je me demande quand même où j'ai chopé un TDSS ou un trojan, vu que je ne clique jamais sur les pieces rattachées des mails d'inconnus et que je ne vais pas sur les sites de cul. Après c'est vrai que je vais des fois sur des sites pas très légaux qui ont la popup facile ^^
Comment éviter de se refaire contaminer par ces cochonneries ? Visiblement AVG n'est pas suffisant ...
Bon ceci dit, les indésirables de ma QuickLaunch ont disparu, Chrome remarche (yeah !) et pas de popup à signaler.
Veux tu m'épouser ? Nan je suis déjà mariée pfffffffffff

Voilà le rapport :
ComboFix 10-06-09.04 - Catherine 10/06/2010 20:51:30.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1919.1382 [GMT 2:00]
Lancé depuis: c:\documents and settings\Catherine\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Catherine\Bureau\CFScript
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::
"c:\windows\system32\fgpipe.dll"
"c:\windows\system32\olehmifqqb.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Catherine\Local Settings\Application Data\visyye
c:\documents and settings\Catherine\Local Settings\Application Data\visyye\ciwcyog.exe
c:\windows\system32\fgpipe.dll
c:\windows\system32\olehmifqqb.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-10 au 2010-06-10 ))))))))))))))))))))))))))))))))))))
.

2010-06-10 08:10 . 2010-06-10 08:12 -------- d-----w- c:\program files\Ad-Remover
2010-06-10 05:35 . 2010-06-10 05:35 -------- d-----w- c:\program files\Trend Micro
2010-06-09 17:32 . 2010-06-10 07:12 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-06-09 17:32 . 2010-06-10 07:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-06-09 12:50 . 2010-06-09 12:50 -------- d-----w- c:\documents and settings\Catherine\Application Data\Malwarebytes
2010-06-09 12:50 . 2008-06-10 17:02 34296 ----a-w- c:\windows\system32\drivers\mbamcatchme.sys
2010-06-09 12:45 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-09 12:45 . 2010-06-09 13:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-09 12:45 . 2010-06-09 12:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-09 12:45 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-09 10:28 . 2010-06-09 10:28 32768 ----a-w- c:\documents and settings\Catherine\Application Data\Mozilla\Firefox\Profiles\7j9u3arm.default\extensions\{BACEEDDA-E4A0-4181-9AC9-867DEF65F2D8}\components\EasyChoiFF.dll
2010-06-09 10:28 . 2010-06-09 12:42 -------- d-----w- c:\documents and settings\Catherine\Local Settings\Application Data\EasyChoice
2010-06-09 10:28 . 2010-06-09 10:28 -------- d-----w- c:\program files\$NtUninstallWTF1012$
2010-06-03 06:11 . 2010-06-03 06:11 29512 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgmfx86.sys
2010-06-03 06:11 . 2010-06-03 06:11 242896 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgtdix.sys
2010-05-27 04:53 . 2010-05-27 04:53 503808 ----a-w- c:\documents and settings\Catherine\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-5fa5c867-n\msvcp71.dll
2010-05-27 04:53 . 2010-05-27 04:53 499712 ----a-w- c:\documents and settings\Catherine\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-5fa5c867-n\jmc.dll
2010-05-27 04:53 . 2010-05-27 04:53 348160 ----a-w- c:\documents and settings\Catherine\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-5fa5c867-n\msvcr71.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-09 15:24 . 2006-08-18 07:14 84964 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-09 15:24 . 2006-08-18 07:14 510980 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-03 06:11 . 2009-03-07 10:55 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-03 06:11 . 2009-03-07 10:55 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-10 09:31 . 2009-03-08 20:57 -------- d-----w- c:\documents and settings\Catherine\Application Data\uTorrent
2010-05-07 10:55 . 2010-05-07 10:55 255472 ----a-w- c:\documents and settings\Catherine\Application Data\Mozilla\plugins\npgoogletalk.dll
2010-05-06 14:01 . 2009-03-10 08:25 -------- d-----w- c:\documents and settings\Catherine\Application Data\dvdcss
2010-05-01 19:12 . 2010-05-01 19:11 -------- d-----w- c:\documents and settings\Catherine\Application Data\Apple Computer
2010-04-30 19:11 . 2010-04-30 19:11 -------- d-----w- c:\program files\QuickTime
2010-04-30 19:11 . 2010-04-30 19:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-04-30 19:10 . 2010-04-30 19:10 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-04-30 19:09 . 2010-04-30 19:09 -------- d-----w- c:\program files\Apple Software Update
2010-04-30 19:09 . 2010-04-30 19:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-03-19 16:16 . 2009-11-19 19:46 79488 ----a-w- c:\documents and settings\Catherine\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-13 08:50 . 2010-03-13 08:50 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2010-03-13 08:48 . 2009-03-07 10:55 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15D23A2B-2412-409b-B1A4-D416FFCD3754}]
2010-06-09 10:28 88064 ----a-w- c:\documents and settings\Catherine\Local Settings\Application Data\EasyChoice\easychoiie.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Google Update"="c:\documents and settings\Catherine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-03-12 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"="c:\program files\ATKOSD2\ATKOSD2.exe" [2007-10-17 7737344]
"ATKHOTKEY"="c:\program files\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"PowerForPhone"="c:\program files\P4P\P4P.exe" [2007-07-19 778240]
"Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2009-03-06 33136]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-14 148888]
"ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\windows\system32\config\systemprofile\Menu D'marrer\Programmes\D'marrage\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

c:\windows\system32\config\systemprofile\Menu D'marrer\Programmes\D'marrage\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

c:\documents and settings\Catherine\Menu D'marrer\Programmes\D'marrage\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-5-22 2756608]

c:\windows\system32\config\systemprofile\Menu D'marrer\Programmes\D'marrage\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-13 08:50 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Documents and Settings\\Catherine\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\Catherine\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Program Files\\Xi\\NetXfer\\NetTransport.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [07/03/2009 12:55 216200]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [07/03/2009 12:55 242896]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [13/03/2010 10:48 916760]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [13/03/2010 10:50 308064]
.
Contenu du dossier 'Tâches planifiées'

2010-06-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-19351120-856233589-2508883155-1005Core.job
- c:\documents and settings\Catherine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-03-12 06:41]

2010-06-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-19351120-856233589-2508883155-1005UA.job
- c:\documents and settings\Catherine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-03-12 06:41]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Tout télécharger avec NetXfer - c:\program files\Xi\NetXfer\NXAddList.html
IE: Télécharger avec NetXfer - c:\program files\Xi\NetXfer\NXAddLink.html
FF - ProfilePath - c:\documents and settings\Catherine\Application Data\Mozilla\Firefox\Profiles\7j9u3arm.default\
FF - component: c:\documents and settings\Catherine\Application Data\Mozilla\Firefox\Profiles\7j9u3arm.default\extensions\{BACEEDDA-E4A0-4181-9AC9-867DEF65F2D8}\components\EasyChoiFF.dll
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\documents and settings\Catherine\Application Data\Mozilla\plugins\npgoogletalk.dll
FF - plugin: c:\documents and settings\Catherine\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\innoPlus\Panorama-Viewer-innoPlus\npirsviewer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-cwknjmppxsbb - c:\documents and settings\catherine\local settings\application data\visyye\ciwcyog.exe
AddRemove-olehmifqqb - c:\windows\system32\olehmifqqb.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-10 20:57
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3968)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\windows\system32\wdfmgr.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\ATK Hotkey\ATKOSD.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\program files\ATK Hotkey\KBFiltr.exe
c:\program files\ATK Hotkey\WDC.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
.
**************************************************************************
.
Heure de fin: 2010-06-10 21:02:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-10 19:02
ComboFix2.txt 2010-06-10 17:17

Avant-CF: 78 020 399 104 octets libres
Après-CF: 77 989 015 552 octets libres

- - End Of File - - 3F350E42F518C7C5466D70E86DD615B5
0
Réponse 6 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Question !

2010-06-09 10:28 . 2010-06-09 10:28 32768 ----a-w- c:\documents and settings\Catherine\Application Data\Mozilla\Firefox\Profiles\7j9u3arm.default\extensions\{BACEEDDA-E4A0-4181-9AC9-867DEF65F2D8}\components\EasyChoiFF.dll
2010-06-09 10:28 . 2010-06-09 12:42 -------- d-----w- c:\documents and settings\Catherine\Local Settings\Application Data\EasyChoice

C'est toi qui a installé ce EasyChoice, tu sais d'où cela vient ?

Si tu sais pas, envoie c:\documents and settings\Catherine\Application Data\Mozilla\Firefox\Profiles\7j9u3arm.default\extensions\{BACEEDDA-E4A0-4181-9AC9-867DEF65F2D8}\components\EasyChoiFF.dll sur http://upload.malekal.com
0
Catherine
 
Nan nan c'est pas moi ... Dll envoyée :)
0
Réponse 7 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Veux tu m'épouser ? Nan je suis déjà mariée pfffffffffff

Je peux jouer le rôle de l'amant :D



Bonnes nouvelles alors.

Ton EasyChoiFF.dll, je le sens pas des masses, il est référencé nullepart.

Dans ajout/suppression de programmes, tu as EasyChoice ou EasyChoiFF ?
0
Catherine
 
Ah ouais tiens ... Pourquoi pas un amant ... ça fait chic ça un amant *smiley lubrique*
J'ai EasyChoice, et j'ai même un lien à cliquer qui dit "cliquer ici pour obtenir des informations sur le support technique" ... Mais j'ose plus cliquer sur rien là ^^ Tu veux que je clique ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Si c'est que pour l'argent, demande à ton mari de faire des heures supp :p
Paraît que plus on travaille plus heuuuu on travaille :\

Oui clic au pire ça ouvre une popup, si y a un lien tu clics pas dessus, donne le ici.
0
Catherine
 
Ah non ! Je ne veux pas que mon mari fasse des heures supp sinon va falloir que je m'occupe des gamins AUSSI le soir ! Les nains, c'est sympa, mais je suis pour la journée de 8h00 aussi pour la femme au foyer ^^
Alors j'ai cliqué et une popup est apparue, elle dit :

"Utilisez les informations suivantes pour obtenir un support technique concernant easychoice
Editeur : EasyChoise
Version : 3.0.0.0"

Cool hein ? Vachement avancé avec ça ^^
Bon, j'arrête là pour ce soir ;)
Donc ouais sinon, faudrait installer quoi pour éviter de choper ces cochonneries ?
Bonne soirée à toi :)
0
Réponse 8 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Justement l'amant est là pour te changer de ton quotidien gnagna :p

Bha désinstalle EasyChoice.
Regarde aussi si après désinstallation il ne reste pas dans les extensions Firefox.

Il tourne bien le PC ? :)
0
Catherine
 
Alors je te préviens, si je dois mettre mon couple en péril il faut que tu sois capable de rivaliser avec la palourde royale https://www.youtube.com/watch?v=KrtyIqSzoYI ^^

EasyChoice est viré ainsi que dans les extensions Firefox.

Le PC tourne nickel :))
Merci à toi :))
En faisant un p'tit tour avec Google ce matin j'ai vu que j'avais affaire à un grand maître Yoda du malware ^^
Chapeau bas pour ta disponibilité et ta gentillesse. Bon ça fait un peu cucul comme ça hein, mais à l'époque du "tout pour ma gueule" ça fait du bien de tomber sur des gens comme toi ;)
Je vais continuer la lecture fort instructive de ton site ... J'ai déjà compris que même en étant prudente et avec un anti virus à jour, je vais finir par me faire infecter de nouveau ^^
Reste à apprendre comment on lit un rapport combofix et ça ira comme sur des roulettes :oP
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
haha la vidéo, bon j'avoue ne pas être équipée d'une palourde royale!
C'est éliminatoire ? :)

Si le PC tourne bien, fini la désinfection est !

Pour ne plus infecter ton PC, les conseils à appliquer tu devras.

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.


Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0
Catherine
 
Bein éliminatoire je sais pas ... Mais va falloir compenser avec autre chose :oP

Je vais appliquer tes conseils telle une jeune padawan reconnaissante :))
0
Réponse 9 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Tiens la détection de ta DLL : http://www.virustotal.com/analisis/003a2d93b267d91baf14b5207887942da8a5c49a5bc3374840f6925046a7efd0-1276251208

File fgpipe.dll received on 2010.06.11 10:13:28 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/41 (2.44%)



Bref c'est pas une question d'antivirus :)


Them crooked vultures this evening :D
0
Catherine
 
Ah ouais ? Y en a qu'un qui le trouve celui là ? Bah dit, ça donne pas envie de le payer son antivirus ^^
0

Discussions similaires

SecurityHealth est a désactiver ou pas au démarrage de W10 Pro 64 ?
Walti55 -
Walti55 -

2 réponses
AV-out quel cable ?
nomane -
nomane -

2 réponses
A quoi servent les prises av in et av out su
melanie-dn-49 -
Hugo -

5 réponses
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse