Sujet Précédent Sujet Suivant

Infecté par command.exe entre autres ...

Mat Da Cat Messages postés 16 Statut Membre -  
Mat Da Cat Messages postés 16 Statut Membre -
Salut à tous.
J'ai été infecté par command.exe cette semaine, j'ai suivi la marche à suivre trouvée sur ce forum mais les pubs arrivent toujours en permanence sur internet et dès que je passe spybot, il me trouve toujours des méchants programmes (dont smitfraud-C.Toolbar888, BlueStreak, ErrorSafe, Winsoftware.WinAntivirusPro2006, Winsoftware et Tradedoubler par exemple) qu'il va "corriger" et retrouver' dès que je le relance.

J'utilise Antivir, j'ai fait un scan et delete tous ce qui a été détecter mais j'ai toujours ces pubs sur le net et ces problèmes sur spybot.

Je vous post le rapport Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 10:13:30, on 11/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Winamp\winamp.exe
C:\WINDOWS\Explorer.EXE
E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [windows] C:\\windows_e52.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\e0jmla111d.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

merci d'avance pour votre aide.
Mat.

48 réponses

Précédent
Réponse 21 / 48
Mat Da Cat Messages postés 16 Statut Membre
 
Alors pour Smitfraudfix, option 2, il me marque "fichier introuvable" 3 fois, puis ca passe en écran noir.

Pour rustbfix, je l'ai récupéré et après 2 redémarage, il me donne ce rapport :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dgwhklbp

*******************

Script file located at: \??\C:\WINDOWS\wndlthch.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program D:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

et l'autre rapport pelog :

Examine the Avenger-logfile in order to assess the success of the unload-procedure

Rustock.b-ADS attached to the System32-folder:

******************* Post-run Status of system *******************

Rustock.b-driver on the system:

Voila.
0
Réponse 22 / 48
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Salut Mat Da Cat;

Pourrait on avoir un nouvel HijackThis s'il te plait?

Merci

A+
0
Réponse 23 / 48
Qc001 Messages postés 256 Statut Membre 17
 
Bon Dimanche tout le monde :-)

Vu le décalage horaire, me voilà enfin !

rustbfix semble avoir bien bossé avec ce rootkit. On verra avec ce prochain scan.
-----------------------------

Note pour afideg : SmitfraudFix peut être passé en mode Normal (option #2), mais on va faire d'autres manips avant.
-----------------------------

Mat Da Cat : voici ce que j'aimerais que tu fasses maintenant :

Télécharge Combofix.exe (par sUBs) sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/combofix.exe

* Double clique combofix.exe et suis les invites.

* Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau rapport HijackThis!

@+
0
Réponse 24 / 48
Qc001 Messages postés 256 Statut Membre 17
 
J'oubliais...

Mat Da Cat : un des deux rapports que tu as postés (de rustbfix) est incomplet. Après la manip de ComboFix, pourrais-tu ouvrir le fichier texte situé ici :

C:\rustbfix\pelog.txt

..puis Copie/colle son contenu ici.
------------------------------

Donc voici pour les rapports demandés :

1) ComboFix
2) Nouveau HijackThis!
3) Rapport pelog.txt

Merci ;-)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 48
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Qc001

« Note pour afideg : SmitfraudFix peut être passé en mode Normal (option #2), »

Merci; c'est noté pour l'option 2
Comme tu t'en es aperçu, je m'étais focalisé sur ceci « < 10 > Mat Da Cat (11/11/2006 à 23:02)
Sinon quand je lance l'option 2 de Smitfraudfix, j'ai un écran noir et rien. On me demande pas de mettre oui ou non à des trucs !! »

Merci
0
Réponse 26 / 48
Qc001 Messages postés 256 Statut Membre 17
 
Salut afideg ;-)

Oui, j'avais remarqué également. Avec un rootkit du genre pe386, je préfère attaquer celui-ci avant de faire autre chose, et la raison est bien simple : si on ne vire pas cette bête, les autres manips sont inutiles. Plusieurs ont dû (formater) avec celui-là, donc la venue de ce nouveau tool est bien appréciée. Si tout va bien, ComboFix va virer Look2Me, Deluxe Communications, Command Service et DollarRevenue. Attendons donc les prochains logs :-)

@+
0
Réponse 27 / 48
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
C'est bon.
;)
0
Réponse 28 / 48
Mat Da Cat Messages postés 16 Statut Membre
 
Alors Combofix ça fait rien !!
Sinon, voici le nouveau scan hijachthis :

Logfile of HijackThis v1.99.1
Scan saved at 21:41:44, on 12/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [windows] C:\\windows_e52.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\hr4q05h5e.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

et le pelog que je viens de retrouver :

************************* Rustock.b-fix -- By ejvindh *************************
12/11/2006 21:39:01,75

No Rustock.b-rootkits found

******************************* End of Logfile ********************************

Voila
0
Réponse 29 / 48
Qc001 Messages postés 256 Statut Membre 17
 
Salut,

Que se passe-t-il avec ComboFix ?

Tu peux réessayer s'il te plaît ?

Sinon dis-moi ce qui ne vas pas, et on ajustera :-)

@+
0
Réponse 30 / 48
Mat Da Cat Messages postés 16 Statut Membre
 
Quand je le lance, il y a une fenêtre de type DOS qui s'ouvre et qui disparait de suite, j'ai pas le temps de voir ce qu'il y a marqué.

Après une super ruse avec Impr Ecran, j'arrive à voir ce qu'il met :
" 'C:\DOCUME~1\MAT' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes.
Le chemin d'accès spécifié est introuvable. "

Encore voila !!!!
0
Réponse 31 / 48
Qc001 Messages postés 256 Statut Membre 17
 
Merci !!

Cette dernière explication me donne une bonne piste !

Ton nom de compte utilisateur semble incompatible avec ces outils ; trop de caractères ou bien des espaces dedans...

Essaie ceci : va dans le panneau de config >> "Comptes d'utilisateurs", et modifie/renomme ton compte principal en quelque chose de simple... juste des lettres et pas d'espaces. Redémarre la bécane. Essaie ComboFix à nouveau :-)

@+
0
Réponse 32 / 48
Mat Da Cat Messages postés 16 Statut Membre
 
J'ai fait comme tu m'as dit, j'ai renommé mon compte en "nous", mais toujours le même problème.

Sinon, quand je vais dans C:\Documents and Settings, mon dossier utilisateur est toujours avec l'ancien nom "Mat & Kti" ça peut venir de là, mais quand je veut le renommer il veut pas !!

Sur ce Qc001, je te laisse, je vais dormir.
On continue ça demain.
Merci mec.
0
Réponse 33 / 48
Qc001 Messages postés 256 Statut Membre 17
 
Ok..

J'ai fait quelques recherches, et tu as raison ; renommer le compte de cette façon ne modifie pas tout. Pour modifier un profil à 100%, il faut le faire via un autre compte, et ensuite modifier des trucs dans la base de registre. Trop complexe et pas nécessaire dans notre cas. Y a une autre façon toute simple : créé un nouveau compte. Si tu as déjà un autre compte utilisateur de type "Administrateur" qui affiche un nom simple et sans espaces, tu pourras utiliser celui-là (fais l'étape #1 et ensuite la #3)

#1 Renomme ton compte exactement en ce qu'il était (Mat & Kti), avec espaces et tout. Redémarre l'ordi.

#2 Retourne dans le panneau de config >> "Comptes d'utilisateurs" >> et créé un nouveau compte (type "Administrateur"). Nomme-le nous si tu veux. **Si jamais XP refuse ce nom, choisis-en un autre.
Si tu veux exporter tes "Favoris" d'Internet Explorer vers le nouveau compte, tu devras faire ceci :
- Lance Internet Explorer (du compte "Mat & Kti")
- Du menu "Fichier", clique "Importer et exporter..."
- De la fenêtre de l'Assistant, clique "Suivant"
- Choisis "Exporter les favoris" et clique "Suivant"
- Le dossier "Favoris" devrait être sélectionné >> clique "Suivant"
- Dans la nouvelle fenêtre, clique "Parcourir..." et navigue vers :

C:\Documents and Settings\Mat & Kti\Bureau

- Clique sur "Enregistrer". Le fichier se nomme bookmark.htm et se trouve sur le Bureau.
- Nous pourrons l'importer à partir du nouveau compte (plus tard).

#3 Redémarre à nouveau. Au redémarrage, tu verras l'écran avec choix de comptes : choisis le nouveau.

Tu pourras faire les manips à partir de ce nouveau compte, et le supprimer à la toute fin si tu veux.

** Si tu veux importer tes Favoris dans IE :
- Lance IE
- Menu "Fichier" >> "Importer et exporter..." puis "Suivant"
- Choisis "Importer les Favoris", puis "Suivant"
- Clique "Parcourir...", puis navigue vers :

C:\Documents and Settings\Mat & Kti\Bureau\bookmark.htm
(la navigation peut sembler complexe ici, car tu dois double cliquer "Disque local (C:)", puis "Documents and Settings", puis "Mat & Kti", puis "Bureau" et finalement "bookmark.htm").
==================

Tu peux également importer les outils dont tu auras besoin, du Bureau où ils se trouvent vers le Bureau du nouveau compte ; passe par l'Explorateur Windows et fais "Copier/coller" entre les Bureaux. Ou bien tu les télécharges à nouveau (ComboFix, rustbfix et SmitfraudFix).

Pour HijackThis!, tu peux tout simplement te créer un raccourci vers le Bureau. Retrouve l'outil sur le E:, puis fais un clic droit dessus >> "Envoyer vers" >> "Bureau (créer un raccourci)"
==================

Maintenant, tu peux repasser ComboFix (suis les manips du post #23).

Bon succès :-)
0
Réponse 34 / 48
Mat Da Cat Messages postés 16 Statut Membre
 
Alors voila le rapport de Combofix :

nous - 06-11-13 7:37:10,87 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Documents and Settings\nous\Bureau"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\clsid\{760DF003-E172-4419-BC31-F0F35DB53C6F}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\clsid\{760DF003-E172-4419-BC31-F0F35DB53C6F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{760DF003-E172-4419-BC31-F0F35DB53C6F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{760DF003-E172-4419-BC31-F0F35DB53C6F}\InprocServer32]
@="C:\\WINDOWS\\system32\\mtg4c32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}]
@=""

[HKEY_CLASSES_ROOT\clsid\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\InprocServer32]
@="C:\\WINDOWS\\system32\\euentprf.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{C0CA4051-001E-45FD-A5E7-9C647A988887}]
@=""

[HKEY_CLASSES_ROOT\clsid\{C0CA4051-001E-45FD-A5E7-9C647A988887}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{C0CA4051-001E-45FD-A5E7-9C647A988887}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{C0CA4051-001E-45FD-A5E7-9C647A988887}\InprocServer32]
@="C:\\WINDOWS\\system32\\pymas.dll"
"ThreadingModel"="Apartment"

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

FILES REMOVED:

C:\WINDOWS\system32\ndmsapi.dll
C:\WINDOWS\system32\ilxmontr.dll
C:\WINDOWS\system32\skrenacm.dll
C:\WINDOWS\system32\btowseui.dll
C:\WINDOWS\system32\ahkctrs.dll
C:\WINDOWS\system32\pccn20.dll
C:\WINDOWS\system32\pymas.dll
C:\WINDOWS\system32\p4p60e7seh.dll
C:\WINDOWS\system32\r86ulij918o.dll
C:\WINDOWS\system32\mvrsl9971.dll
C:\WINDOWS\system32\l6j8lg1u16.dll

Granting sedebugprivilege to Administrateurs ... successful

((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\dxclib303562752.dll
C:\Documents and Settings\Mat & Kti\Application Data\Dxcuknwrd.dll
C:\Documents and Settings\Mat & Kti\Application Data\Dxccwrd.dll
C:\Documents and Settings\Mat & Kti\Application Data\Dxcknwrd.dll
C:\Documents and Settings\nous\Application Data\Dxcknwrd.dll
C:\Documents and Settings\nous\Application Data\Dxcuknwrd.dll
C:\Documents and Settings\nous\Application Data\Dxcdmns.dll
C:\Program Files\DeluxeCommunications\DxcBho.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

C:\WINDOWS\system32\dxclib303562752.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Program Files\Deskbar

((((((((((((((((((((((((((((((( Files Created from 2006-10-13 to 2006-11-13 ))))))))))))))))))))))))))))))))))

2006-11-12 12:12 16 --a------ C:\chdir.bat
2006-11-11 23:04 73,728 --a------ C:\WINDOWS\system32\pv.exe
2006-11-11 23:04 39,184 --a------ C:\WINDOWS\system32\Ntrights.exe
2006-11-11 23:04 175,616 --a------ C:\WINDOWS\system32\strings.exe
2006-11-11 23:04 16,384 --a------ C:\WINDOWS\system32\restart.exe
2006-11-11 23:04 126,976 --a------ C:\WINDOWS\system32\zip.exe
2006-11-11 23:04 11,254 --a------ C:\WINDOWS\system32\locate.com
2006-11-11 22:55 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-11-11 22:55 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-11 22:55 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-11-11 22:55 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-11-09 12:10 4,910 --a------ C:\WINDOWS\system32\tmp.reg
2006-11-08 14:00 96,768 --------- C:\WINDOWS\system32\dxclib303562752.dll
2006-11-08 14:00 9,353 --a------ C:\WINDOWS\userinit.exe
2006-11-08 14:00 68,412 --a------ C:\WINDOWS\system32\lzx32.sys
2006-11-08 14:00 1,259 --a------ C:\WINDOWS\system32\vesd281d.sys
2006-11-04 10:41 96,256 --a------ C:\WINDOWS\system32\drivers\sptddrv1.sys

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-11-13 07:29 -------- d-------- C:\Documents and Settings\nous\Application Data\Macromedia
2006-11-08 14:00 -------- d-------- C:\Program Files\DeluxeCommunications
2006-11-04 10:41 611064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-11-01 21:42 737280 --a------ C:\WINDOWS\iun6002.exe
2006-09-13 07:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-27 16:38 1015973 -rahs---- C:\Program Files\serial.tde
2006-08-25 17:51 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 13:59 100352 --a------ C:\WINDOWS\system32\6to4svc.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Disk Monitor"="C:\\Program Files\\Generic\\USB Card Reader Driver v1.9e3\\Disk_Monitor.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"adiras"="adiras.exe"
"WINDVDPatch"="CTHELPER.EXE"
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"Jet Detection"="e:\\Creative\\SBLive\\PROGRAM\\ADGJDet.exe"
"IntelliType"="\"C:\\Program Files\\Microsoft Hardware\\Keyboard\\type32.exe\""
"POINTER"="point32.exe"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"HyperappelPL2003"="e:\\Petit Larousse 2004\\bin\\HiPL2002popup.exe"
"TkBellExe"="\"realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\WINDOWS\\system32\\qttask.exe\" -atboottime"
"Profiler"="C:\\Program Files\\Saitek\\Software\\Profiler.exe"
"SaiSmart"="C:\\Program Files\\Saitek\\Software\\SaiSmart.exe"
"EPSON Stylus DX4200 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIAEE.EXE /P26 \"EPSON Stylus DX4200 Series\" /O6 \"USB001\" /M \"Stylus DX4200\""
"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="e:\\Winamp\\winampa.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CanalPlayer"="D:\\Mat\\Logiciels et Drivers\\Nero\\CanalPlayer.exe /iconic"
"I downloaded pirated Software from P2P"="Age of Pirates Caribbean Tales"
"Windows Services"="\"C:\\Program Files\\svchosts.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"DAEMON Tools"="\"e:\\DAEMON Tools\\daemon.exe\" -lang 1033"
"ACTX1"="C:\\WINDOWS\\v1201.exe"
"vesd281d"="RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580"
"windows"="C:\\\\windows_e52.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"userinit.exe"="C:\\WINDOWS\\userinit.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"userinit.exe"="C:\\WINDOWS\\userinit.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"wininet.dll"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job

Completion time: 06-11-13 7:40:54.15
C:\ComboFix.txt ... 06-11-13 07:40

et le nouveau Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 07:43:48, on 13/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\nous\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580
O4 - HKLM\..\Run: [windows] C:\\windows_e52.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

Je vais bosser mais je sui de retour vers 11H.
On va l'avoir cette saleté !!
0
Réponse 35 / 48
Qc001 Messages postés 256 Statut Membre 17
 
Bonsoir Mat Da Cat,

Excellent travail avec le compte et ensuite ComboFix :-)

Il reste des trucs à virer, alors voici la suite :
======================

Télécharge KillBox (par Option^Explicit) de ce lien:
http://www.downloads.subratam.org/KillBox.exe

- Sauvegarde-le sur ton Bureau, mais ne le lance pas tout de suite.
---------------------------------

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

* Télécharge le Brute Force Uninstaller (de Merijn) sur ton Bureau , à partir de ce lien :
http://www.merijn.org/files/bfu.zip

* Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
----------------

* Fais un clic droit sur le lien suivant :
http://metallica.geekstogo.com/alcanshorty.bfu

..et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.BFU (de Metallica).

* Sauvegarde-le dans le dossier créé (C:\BFU).
Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champ "Type :" affiche "Tous les fichiers"
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : alcanshorty.BFU et BFU.exe (**très important**).

* Ne le lance pas tout de suite.
------------------------------------

- Lance Killbox.exe
- Choisis l'option "Replace on reboot"
- Coche la case "Use Dummy"
- Copie/colle la ligne suivante dans la boîte "Full Path of File to Delete":

C:\WINDOWS\system32\dxclib303562752.dll

- Clique sur le bouton Kill (cercle rouge avec croix blanche).
- Accepte l'invite "File will be replaced on reboot... Reboot now?"
- Si l'outil donne une erreur ou ne redémarre pas après quelques instants, redémarre comme à l'habitude via le bouton "Démarrer".

** Au redémarrage, tapote rapidement la touche F8 afin de redémarrer en mode Sans Échec : tu verras un écran avec choix de démarrages, donc choisis "Mode sans échec" avec les flèches du clavier et valide avec [Entrée]. Clique "Ok" à l'avertissement, puis choisis ton compte utilisateur courant (celui d'où tu fais les manips).
----------------

* Du mode Sans Échec, démarre le "Brute Force Uninstaller" en double cliquant BFU.exe (du dossier C:\BFU)

* Clique sur le petit dossier jaune qui se trouve à droite de la boîte "Scriptline to execute", puis choisis c:\bfu\alcanshorty.bfu en le double cliquant

* Clique sur "Execute" et laisse l'outil faire son travail.

* Attendre que "Complete script execution" apparaîsse et clique sur "OK".

* Clique "Exit" pour fermer le programme BFU.
==========================================================

Redémarre l'ordi en mode Normal.

Scanne avec HijackThis!, sauvegarde le rapport puis poste-le ici s'il te plaît.

Si problèmes ou questions, n'hésite pas !

@+
0
Réponse 36 / 48
Mat Da Cat Messages postés 16 Statut Membre
 
Alors après avoir procédé comme tu m'as dit voila le rapport HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 22:59:22, on 13/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

Au fait, deux questions:
1) Si j'ai fait les manips depuis le nouveau compte que j'ai créé (cf<33>) ça change rien ?
2) Quand j'ai redémarer là, j'ai eu plein de messages me disant
"L'application ou la DLL (pleindetrucsdifférents).dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation", normal ou pas normal ?
0
Réponse 37 / 48
Mat Da Cat Messages postés 16 Statut Membre
 
Au fait Qc001, je sais pas comment te renvoyer l'ascenseur.
J'en sais rien, je suis prof de maths en CFA avec des BAC Pro, je suppose, vu ton niveau en info, que tu dois pas avoir besoin de soutien en maths, mais si je peux aider ...
0
Réponse 38 / 48
Qc001 Messages postés 256 Statut Membre 17
 
Pas de soucis... ça me fait toujours plaisir d'aider ;-)

Pour ce qui est des comptes : je préférerais que tu utilises le compte "nous" d'ici la fin, juste pour faciliter la tâche aux outils.
Bob Ok, on fait un peu de ménage afin d'y voir un peu plus clair !
===========

Afin de voir tous les fichiers/dossiers cachés :

* Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
* Double-clique sur le "Poste de Travail"
* Du menu "Outils", clique Options des dossiers...
* De la nouvelle fenêtre, choisis l'onglet Affichage
* Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système
* Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés
* Décoche la case Masquer les extensions des fichiers dont le type est connu
* Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
---------------------------------------------

Télécharge ATF-Cleaner (par Atribune) de ce lien :
http://www.atribune.org/ccount/click.php?id=1

- Sauvegarde-le sur ton Bureau. Ne le lance pas tout de suite.
------------------------------------

Imprime ces instructions, ou colle-les dans un fichier texte pour lecture en mode Sans Échec :

Redémarre en mode Sans Échec.

- Clique sur "Démarrer" >> "Exécuter..." >> tape cmd puis clique "Ok"
- Dans la fenêtre DOS, tape chacune des commandes ci-bas en validant avec [Entrée] après chacune :

~~~~~~~~~~~~~
sc stop MsaSvc [Entrée]

sc delete MsaSvc [Entrée]

exit [Entrée]
~~~~~~~~~~~~~

Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes:

~~~~~~~~~~~~~~~~~~~
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580

O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe

O20 - AppInit_DLLs: dxclib303562752.dll
~~~~~~~~~~~~~~~~~~~~

Clique "Fix checked". Ferme HijackThis!
-----------------------------------------------------

Toujours en Sans Échec ; via l'Explorateur Windows, recherche puis supprime ces fichiers/dossier, si trouvés (possible que plusieurs n'y soient plus):

C:\WINDOWS\system32\dxclib303562752.dll
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\lzx32.sys
C:\WINDOWS\system32\vesd281d.sys
C:\Program Files\svchosts.exe
C:\Program Files\DeluxeCommunications << le dossier en entier

** Si tu reçois des erreurs lors de tentatives de suppression, prends-en note et poursuis les manips.

Quitte l'Explorateur Windows.
-----------------------------------

Lance ATF-Cleaner.exe

- Coche "Select All"
- Clique "Empty Selected"
- Une invite apparaîtra >> clique "Ok"
- Clique "Exit"
--------------------

Redémarre en mode Normal.

Scanne avec HijackThis!, sauvegarde le rapport puis poste-le ici s'il te plait...

Ça avance :-)

@+
0
Réponse 39 / 48
Mat Da Cat Messages postés 16 Statut Membre
 
Alors voici le dernier scan HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 07:37:24, on 14/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\nous\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

Sinon, dans les lignes que tu m'as demandé de cocher dans HijackThis, ces 2 n'y étaiebt pas :

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)

O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
0
Réponse 40 / 48
Qc001 Messages postés 256 Statut Membre 17
 
Wow...

J'aime beaucoup :-)

Tu as fait du bon boulot à nouveau ! Ok, on va te passer AVG-Antispyware, puis ComboFix à nouveau, juste pour voir s'il reste des trucs à virer.
----------------------------

Pour AVG-Antispyware, je te réfère au tuto d'un collègue (Merci Malekal_morte !) :
http://www.malekal.com/tutorial_AVG_AntiSpyware.html

- Installe-le, ajuste les paramètres selon le tuto, puis lance un scan en mode Sans Échec.

- Sauvegarde le rapport généré.

- Redémarre en mode Normal.

- Passe ComboFix à nouveau.

- Poste les rapports de ComboFix et d'AVG-Antispyware

Et dis-nous comment se comporte ton ordi ;-)

@+
0

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
simon
sisititi -
azert1313 -

1 réponse
Powershell infecté
Bal2bin -
MisteryBean -

8 réponses
Infecté ?
rifigames -
rifigames -

6 réponses