Sujet Précédent Sujet Suivant

Je suis infectée!!! Aidez-moi svp.

Vickie -  
 Vickie -
Bonjour tout le monde,

J'utilise Windows Xp et j'ai quelque probleme avec mon Internet explorer. J'ai plein de publicité qui souvre tout le temps. ca ralenti mon ordi et meme ca le bug... je ne sais plus quoi faire et je suis pas très bonne pour réparer les affaire. Est-ce quelqu'un pourrait m'expliquer quoi faire étape par étape... sinon mon chum va mettre lordi au poubelle....merci beaucoup à tout le monde

Vickie

43 réponses

Réponse 1 / 43
vickie
 
Voici mon logfile quand je fais hijack

Logfile of HijackThis v1.99.1
Scan saved at 18:17:29, on 2006-11-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Sm9uYXRoYW4\command.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mgabg.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\PDesk\PDesk.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PRINTV~1\pvmodule.exe
C:\windows\system32\qldptge.exe
C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe
C:\dfndrff_e47.exe
C:\nwnmff_e47.exe
C:\Program Files\Fichiers communs\{B416BBC8-063A-3084-0620-020824000002}\Update.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\NetAssistant\bin\mpbtn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUME~1\Vickie\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\fcffv.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,pwljgeu.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [sqe1fa60] RUNDLL32.EXE w53b9847.dll,n 0061fa5a0000000a53b9847
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~1\PRINTV~1\pvmodule.exe
O4 - HKLM\..\Run: [uwa6pcw] "C:\Program Files\WinAntiVirus Pro 2006\uwa6pcw.exe" -c
O4 - HKLM\..\Run: [qldptge] c:\windows\system32\qldptge.exe qldptge
O4 - HKLM\..\Run: [SSA.exe] "C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe"
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [windows] C:\\windows_e56.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e47.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e47.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e47.exe
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\pwinooem.exe SED001
O4 - HKLM\..\Run: [njrsvw] C:\WINDOWS\system32\osnbvy.exe reg_run
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MétéoIMédia] C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - Startup: Think-Adz.lnk = C:\WINDOWS\system32\pwinooem.exe
O4 - Global Startup: Assistant Internet.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS\system32\dmonwv.dll (file missing)
O9 - Extra 'Tools' menuitem: Java - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS\system32\dmonwv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\j0j60a1sed.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Sm9uYXRoYW4\command.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

merci a tous
0
Réponse 2 / 43
did71 Messages postés 2187 Statut Contributeur sécurité 36
 
bonsoir vickie,

joli rapport!

1) Télécharge SmitfraudFix de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Tu le dézippes sur le Bureau.

* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.

2) Télécharge ce fichier - combofix.exe :

http://download.bleepingcomputer.com/sUBs/combofix.exe

et sauvegarde le sur ton bureau!

lance le!

Ne touche a rien et attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HijackThis avec.

a+
0
Réponse 3 / 43
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour Vickie

Bonjour did71; SVP, si je peux me permettre/
Il y a absence de 02 et de 20 ( Vundo ??)

Pour Vickie:

Imprime cette page

1°- Télécharge CCLEANER:
www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fic...
2°- Télécharge : ATF-Cleaner
www.atribune.org/ccount/click.php?id=1
3°- Télécharge AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >
Tutorial :- < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
Tu enregistres le fichier dans Bureau.
A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau.
4°- Télécharge HijackThis version française ici :
< http://pchelpbordeaux.free.fr/logiciels.html >
Tu cliques là où montre la flèche :
< http://img166.imageshack.us/img166/1248/screenshot133rp9.gif >
< http://img84.imageshack.us/img84/4088/screenshot134tm5.gif >
La mise en place de HijackThis (dans le dossier "\Program Files\Hijackthis Version Française\) est automatique.
Un dossier "Hijackthis Version Française" sera créé dans le menu démarrer.
Une icône peut être créée sur le bureau si l'on coche la case.
Le site fournit également un tutoriel très bien fait :
<http://pchelpbordeaux.free.fr/tuto.html >

5°- Tu fermes Internet Explorer, tu te déconnectes complètement du NET (jusqu'à enlever la prise de téléphone du modem, ou la prise du cable USB ou Ethernet).

6°- Démarre ATF-Cleaner :
-double clic sur l’icône
- Puis sur « Exécuter » ;
- Sous l'onglet Main, tu coches toutes les cases en cochant « Unselect All » ;
- puis clic sur le bouton « Empty selected »
- et au message "Done Cleaning" sur Ok> Exit.

7°- Lance CCLEANER et nettoie ton PC avec :Utilisation :
-Dans l'onglet "Nettoyeur" cliquer sur "Analyse". Une fois l'analyse terminée, cliquer sur "Lancer le Nettoyage". ( 2 X )
-Dans l'onglet "Erreurs" cliquer sur "Chercher des erreurs" puis, avant de cliquer sur "Réparer les erreurs sélectionnées" effectuer une sauvegarde de votre registre (comme proposé).
Recommencer jusqu’à qu’il n’y aie plus d’erreur détectée.

8°- AVG Anti-Spyware
Pour l'installer, tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.0.47.exe".
Une page s’ouvre ; tu clic sur « Exécuter » Tu suis les instructions.
Tu notes au passage que l’installation va se faire en :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5
Tu peux choisir le raccourci dans le menu « Démarrage »
Pour lancer AVG anti spyware tu doubles click sur la nounelle icône qui s'est créé sur le bureau.
La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état" , tu choisis "inactif" pour le "bouclier résident" ( clic sur « Modifier l’état » ).
Sur la page "mise à jour" ,
-tu coches les cases au § « mise à jour automatique »
-- et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »).
Sur la page "Analyse" :
- Tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
-- clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
- Tu choisis ensuite l'onglet "analyser", "analyse complète du système".
A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous ...".
Tu suis les instructions dans la fenêtre qui s'ouvre.
PS Pour les autres fois, pour lancer AVG, tu double-clic sur la deuxième icône bureau créée.

9°- Redémarre le PC

10°-Ensuite, tu ouvres le rapport AVG avec le bloc-notes pour le copier/coller avec ta réponse.

11°- Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
< http://www.atribune.org/ccount/click.php?id=4 >
Double-clique VundoFix.exe afin de le lancer.
( Coche Run VundoFix as a task.)
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt

11°- Tu lances Hijackthis
ATTENTION: seulement la nouvelle version française.
Scanner et sauver un rapport que tu postes sur le forum

Merci
0
Réponse 4 / 43
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Vikie

Pour ton "ancien" HijackThis; supprime-le comme ceci:

[Démarrer] > "Tous les Programmes" > et dans la liste regarde s'il y a en face de HijackThis ( attention: pas celle en face de HJT version française ) une ligne " désinstaller ( ou Uninstall ) HJT ".

Si oui, tu cliques dessus pour désinstaller.

Si tu ne trouve pas , demande.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 43
did71 Messages postés 2187 Statut Contributeur sécurité 36
 
Bonjour,

Oui, il y a vundo, j'avais vu, lol! et alcan,EGDACCESS,Command service....

Combofix aurait fait du travail dans ce rapport!!

Il s'attaque aussi a vundo par ailleurs!

je n'ai pas voulu poster tous les log nécessaires à la désinfection mais avancer au fur et à mesure!

a+
0
Réponse 6 / 43
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Salut did71

« je n'ai pas voulu poster tous les log nécessaires à la désinfection mais avancer au fur et à mesure! »

Merci pour ta courtoisie;

D'abord, le temps que je compile ma méthode de pré-nettoyage avant d'utiliser les utilitaires, et j'ai constaté que tu avais déjà conseillé.
Ensuite, comme je tenais à suivre ce topic dont le log HJT est absent de 02 et 020, j'ai insisté en faisant déjà remplacer son HJT par la version française ( plutôt que d'avoir à le faire renommer ultérieurement ).
Pour terminer, tu as remarqué que j'ai exclu Vundo du pré-nettoyage; cela, pensant bien que tu interviendrais entretemps pour imposer un ordre de passage SmitfraudFix, Vundo, BlackLight et ComboFix par exemple.

Merci de me permettre de suivre ce topic à distance.
Il n'y a aucune arrière pensée là dedans.
Nous nous sommes croisés lors de notre implication.

Je m'étonne surtout que nous soyons les seuls à enchanger nos points de vue à ce sujet; particulièrement en l'absence de l'intéressé.

à+..
0
Réponse 7 / 43
did71 Messages postés 2187 Statut Contributeur sécurité 36
 
re,

c'est vrai que la personne intéressée ne donne pas signe de vie pour l'instant.

Tu as tout à fait le droit de suivre ce topic et je n'y vois aucun inconvénient!

Il est vrai que ce forum n'est le forum où je suis le plus actif (déjà assez à faire ailleurs) mais j'interviens de temps en temps et je n'ai pas l'habitude de désinfecter à plusieurs helpers.

a+
0
Réponse 8 / 43
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
« je n'ai pas l'habitude de désinfecter à plusieurs helpers. »

OK; message reçu.
;)
0
Réponse 9 / 43
did71 Messages postés 2187 Statut Contributeur sécurité 36
 
re,

j'ai dit que je n'avais pas l'habitude mais je n'ai pas dit que je t'empêchais de le faire (on peut changer ses habitudes en fonction des forums).

Surtout que ce sujet sera très intéressant, si la personne revient, au vu des infections!

Si je commet une erreur ou si je zappe une infection, tu pourras tout à fait poster, pas de problème.

Ne prends pas mal ce que je dis.

a+
0
Réponse 10 / 43
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
« Ne prends pas mal ce que je dis. »

Non,non; aucun problème de ce côté.
J'avais bien annoncé « Il n'y a aucune arrière pensée là dedans.»
En tout cas, les règles sont établies; je m'y tiendrai.

J'espère simplement avoir l'occasion de le prouver.
Pourvu que l'internaute le veuille.

;)
0
Réponse 11 / 43
Vickie
 
Bonjour did71 et afideg,

merci de vos conseils...

je ne sais plus trop qui suivre...alors je vais commencer par faire ce que le premier qui ma répondu a dit...et je vais voir ce qui arrive... si ca ne fonctionne pas, on va aller avec la méthose du deuxième. Je vais commencer à essayer de la réparer.

je me crois les doigts.
0
Réponse 12 / 43
Vickie
 
Voici mon rapport

SmitFraudFix v2.122

Rapport fait à 18:49:00,35, 2006-11-16
Executé à partir de C:\Documents and Settings\Vickie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\uniq PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\keyboard1.dat PRESENT !
C:\WINDOWS\newname.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Vickie

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Vickie\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Vickie\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\Program Files\\MSN\\kyzeqeni.html"
"SubscribedURL"=""
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="C:\\Program Files\\Fichiers communs\\howy.html"
"SubscribedURL"=""
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="dxclib303562752.dll"

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

je passe ensuite à l'étape 2
0
Réponse 13 / 43
Vickie
 
Voici le rapport de combofix

Vickie - 06-11-16 18:55:12,42 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Documents and Settings\Vickie\Bureau"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\clsid\{DAE7DC96-DD0E-463E-BD07-12F62E9FFA22}]
@=""

[HKEY_CLASSES_ROOT\clsid\{DAE7DC96-DD0E-463E-BD07-12F62E9FFA22}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{DAE7DC96-DD0E-463E-BD07-12F62E9FFA22}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{DAE7DC96-DD0E-463E-BD07-12F62E9FFA22}\InprocServer32]
@="C:\\WINDOWS\\system32\\iWsacct.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{749623ED-8161-47F1-A518-7DE7EBD95E36}]
@=""

[HKEY_CLASSES_ROOT\clsid\{749623ED-8161-47F1-A518-7DE7EBD95E36}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{749623ED-8161-47F1-A518-7DE7EBD95E36}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{749623ED-8161-47F1-A518-7DE7EBD95E36}\InprocServer32]
@="C:\\WINDOWS\\system32\\mxisip.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{DBC7794B-1FCB-4446-8B56-83891E974F5D}]
@=""

[HKEY_CLASSES_ROOT\clsid\{DBC7794B-1FCB-4446-8B56-83891E974F5D}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{DBC7794B-1FCB-4446-8B56-83891E974F5D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{DBC7794B-1FCB-4446-8B56-83891E974F5D}\InprocServer32]
@="C:\\WINDOWS\\system32\\sumpsnap.dll"
"ThreadingModel"="Apartment"

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

FILES REMOVED:

C:\WINDOWS\system32\cjtdll.dll
C:\WINDOWS\system32\enn4l15q1.dll
C:\WINDOWS\system32\kt2ol7f31.dll
C:\WINDOWS\system32\mrobjs.dll
C:\WINDOWS\system32\mucpx32r.dLL
C:\WINDOWS\system32\mwjet40.dll
C:\WINDOWS\system32\o066lajs1do6.dll
C:\WINDOWS\system32\sumpsnap.dll
C:\WINDOWS\system32\wphip6.dll

Granting sedebugprivilege to Administrateurs ... successful

((((((((((((((((((((((((((((((((((((((((((((( Qoologic's Log )))))))))))))))))))))))))))))))))))))))))))))))))))

* * * PRE-RUN - Filepaths extracted from the Registry * * * * * * * * * * * * * * * * * * * * * *

O4 - HKCU\...\Run C:\WINDOWS\system32\osnbvy.exe
O4 - HKLM\...\Run C:\WINDOWS\system32\osnbvy.exe
F2 -REG:system.ini: Shell C:\WINDOWS\system32\fcffv.exe
F2 -REG:system.ini: UserInit C:\WINDOWS\system32\pwljgeu.exe

* * * PRE-RUN - Filepaths extracted by Memory Dump * * * * * * * * * * * * * * * * * * * * * *

C:\WINDOWS\system32\osnbvy.exe
C:\WINDOWS\system32\uanbnhg.dll
C:\WINDOWS\system32\pwljgeu.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\haacc.exe
C:\WINDOWS\nnuim.dll
C:\WINDOWS\system32\tpdeh.dat
C:\WINDOWS\system32\fcffv.exe

* * * POST-RUN - Files in the Quarantine folder * * * * * * * * * * * * * * * * * * * * * * * * *

06-11-13 18:10 127488 tpdeh.dat.qoo
06-11-13 18:10 127488 osnbvy.exe.qoo
06-11-14 17:52 51712 uanbnhg.dll.qoo
06-11-14 17:41 28672 fcffv.exe.qoo
06-11-13 19:16 23552 pwljgeu.exe.qoo
06-11-16 18:19 290 nnuim.dll.qoo
06-11-13 18:10 53 ncbvnw.dat.qoo

DO NOT DELETE ANY FILES FROM THIS DIRECTORY UNLESS INSTRUCTED TO

((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\dxclib303562752.dll
C:\Documents and Settings\Jonathan\Application Data\Dxcknwrd.dll
C:\Documents and Settings\Jonathan\Application Data\Dxcuknwrd.dll
C:\Documents and Settings\Vickie\Application Data\Dxcdmns.dll
C:\Documents and Settings\Vickie\Application Data\Dxcknwrd.dll
C:\Documents and Settings\Vickie\Application Data\Dxcuknwrd.dll
C:\WINDOWS\system32\bkd.exe
C:\Program Files\DeluxeCommunications\Dxc.exe
C:\Program Files\DeluxeCommunications\DxcBho.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

C:\WINDOWS\system32\dxclib303562752.dll
C:\Program Files\DeluxeCommunications\Dxc.exe
C:\Program Files\DeluxeCommunications\DxcBho.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\keyboard1.dat
C:\dfndrff_e56.exe
C:\dfndrff_e57.exe
C:\deskbar.exe
C:\deskbar_e47.exe
C:\deskbar_e55.exe
C:\kybrdff_e47.exe
C:\kybrdff_e56.exe
C:\kybrdff_e57.exe
C:\kybrdff_e58.exe
C:\MTE3NDI6ODoxNg12112006.exe
C:\MTE3NDI6ODoxNgnew.exe
C:\nwnmff_e47.exe
C:\nwnmff_e55.exe
C:\nwnmff_e56.exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\GTQBK9EB\dfndrff_e_uit[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\18GFH1SD\drsmartload44a[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\18GFH1SD\deskbar_e[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\SLIZS5AN\kybrdff_e[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\XG8JXTGH\MTE3NDI6ODoxNg[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\EVAPIPWF\nwnmff_e[1].exe
C:\ac3_0010.exe
C:\RDFX4.exe
C:\WINDOWS\wallpap.exe
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\dwdsregt.exe
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\Installer5.exe
C:\Program Files\MSN\kyzeqeni.html
C:\Program Files\Fichiers communs\howy.html
C:\dollarrev.exe
C:\windows.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\Documents and Settings\LocalService\Application Data\NetMon
C:\Program Files\Deskbar
C:\Program Files\outlook
C:\Program Files\PrintView
C:\Program Files\Fichiers communs\{B416BBC8-063A-3084-0620-020824000002}
C:\Program Files\network monitor
C:\WINDOWS\Sm9uYXRoYW4

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Documents and Settings\Vickie\Application Data\SSEMBL~1
C:\QooBox\Purity\Documents and Settings\Vickie\Application Data\SSTEM3~1

((((((((((((((((((((((((((((((( Files Created from 2006-10-16 to 2006-11-16 ))))))))))))))))))))))))))))))))))

2006-11-16 18:49 3,652 --a------ C:\WINDOWS\system32\tmp.reg
2006-11-16 18:48 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-11-16 18:48 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-16 18:48 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-11-16 18:48 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-11-14 17:34 45,080 --a------ C:\WINDOWS\system32\nndsregs.exe
2006-11-13 18:14 17,920 --a------ C:\WINDOWS\system32\ntio256.sys
2006-11-13 18:14 1,465 --a------ C:\dacmi.exe
2006-11-13 18:14 1,024 --a------ C:\gwxelccp.exe
2006-11-13 18:13 80 --a------ C:\a.bat
2006-11-13 18:13 5,376 --a------ C:\WINDOWS\hide_evr2.sys
2006-11-13 18:13 5,146 --a------ C:\rttdkor.exe
2006-11-13 18:13 19,236 --a------ C:\WINDOWS\9129837.exe
2006-11-13 18:13 19,236 --a------ C:\oysb.exe
2006-11-13 18:13 1,024 --a------ C:\rapqy.exe
2006-11-13 18:11 978 --a------ C:\WINDOWS\system32\winpfg32.sys
2006-11-13 18:11 74,240 --a------ C:\degoqatr.exe
2006-11-13 18:11 172,133 --a------ C:\WINDOWS\system32\pwinooem.exe
2006-11-13 18:09 438,272 --a------ C:\windows_e56.exe
2006-11-13 18:09 32,768 --a------ C:\mc44a56.exe
2006-11-12 21:03 32,768 --a------ C:\mc44a55.exe
2006-11-12 21:03 19,456 --a------ C:\DXC9.exe
2006-11-12 12:18 425,984 --a------ C:\windows_e55.exe
2006-11-12 12:18 106,496 --a------ C:\WINDOWS\system32\DomainHelper.dll
2006-11-03 19:57 96,768 --------- C:\WINDOWS\system32\dxclib303562752.dll
2006-10-30 17:26 237,056 --a------ C:\WINDOWS\system32\qldptge.exe
2006-10-29 11:20 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2006-10-25 15:04 16,384 --a------ C:\mc44a37.exe
2006-10-22 10:48 2 --a------ C:\WINDOWS\system32\wnscpsv.exe
2006-10-21 12:43 20,480 --a------ C:\mc44a34.exe
2006-10-20 17:38 20,480 --a------ C:\mc44a3.exe
2006-10-20 17:37 62,976 --a------ C:\WINDOWS\system32\sqe1fa60.dll
2006-10-20 17:37 192 --a------ C:\WINDOWS\system32\ggg.bat
2006-10-20 17:37 16,384 --a------ C:\WINDOWS\system32\dr.exe
2006-10-20 17:37 115,947 --a------ C:\WINDOWS\system32\install.exe
2006-10-20 17:37 1,335 --a------ C:\WINDOWS\system32\sqe1fa60.sys
2006-10-20 17:36 20,480 --a------ C:\WINDOWS\system32\setup9X.exe

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red][b]Rootkit driver pe386 is present. A rootkit scan is required[/b][/color]

2006-11-16 19:02 -------- d-------- C:\Program Files\MSN
2006-11-16 19:02 -------- d-------- C:\Program Files\Fichiers communs
2006-11-13 18:52 -------- d-------- C:\Program Files\mIRC
2006-11-12 21:03 -------- d-------- C:\Program Files\Online Services
2006-11-03 19:57 -------- d-------- C:\Program Files\DeluxeCommunications
2006-11-03 15:31 -------- d-------- C:\Documents and Settings\Vickie\Application Data\Bell
2006-11-02 22:16 -------- d-------- C:\Program Files\Bell
2006-10-29 11:21 -------- d-------- C:\Program Files\Common Files
2006-10-25 15:47 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-10-21 12:41 -------- d-------- C:\Program Files\WallMaster
2006-09-13 00:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-09 16:47 284 --a--c--- C:\Documents and Settings\Vickie\Application Data\ViewerApp.dat
2006-08-25 10:51 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 07:26 16896 --a--c--- C:\WINDOWS\system32\fltlib.dll
2006-08-21 04:14 23040 --a--c--- C:\WINDOWS\system32\fltmc.exe
2006-08-19 18:06 0 --a------ C:\WINDOWS\b.exe
2006-08-16 06:59 100352 --a------ C:\WINDOWS\system32\6to4svc.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Fichiers communs\\Ahead\\lib\\NMBgMonitor.exe\""
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
"MétéoIMédia"="C:\\Program Files\\MétéoMédia\\MétéoIMédia\\WeatherEye"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"StandardInstall"=""
"NWEReboot"=""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Motive SmartBridge"="C:\\PROGRA~1\\NETASS~1\\SMARTB~1\\MotiveSB.exe"
"Matrox Powerdesk"="C:\\WINDOWS\\system32\\PDesk\\PDesk.exe /Autolaunch"
"HP Software Update"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"sqe1fa60"="RUNDLL32.EXE w53b9847.dll,n 0061fa5a0000000a53b9847"
"uwa6pcw"="\"C:\\Program Files\\WinAntiVirus Pro 2006\\uwa6pcw.exe\" -c"
"qldptge"="c:\\windows\\system32\\qldptge.exe qldptge"
"SSA.exe"="\"C:\\Program Files\\Bell\\Sympatico Security Advisor\\SSA.exe\""
"windows"="C:\\\\windows_e56.exe"
"{6B-BB-BC-C8-ZN}"="C:\\windows\\system32\\nndsregs.exe SED001"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Program Files\\MSN\\kyzeqeni.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Program Files\\Fichiers communs\\howy.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,36,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-16 19:07:03.48
C:\ComboFix.txt ... 06-11-16 19:07

et voici le rapport de High jack

Logfile of HijackThis v1.99.1
Scan saved at 19:29:27, on 2006-11-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\PDesk\PDesk.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe
C:\windows_e56.exe
C:\windows\system32\nndsregs.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe
C:\Program Files\NetAssistant\bin\mpbtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Vickie\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sqe1fa60] RUNDLL32.EXE w53b9847.dll,n 0061fa5a0000000a53b9847
O4 - HKLM\..\Run: [uwa6pcw] "C:\Program Files\WinAntiVirus Pro 2006\uwa6pcw.exe" -c
O4 - HKLM\..\Run: [qldptge] c:\windows\system32\qldptge.exe qldptge
O4 - HKLM\..\Run: [SSA.exe] "C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe"
O4 - HKLM\..\Run: [windows] C:\\windows_e56.exe
O4 - HKLM\..\Run: [{6B-BB-BC-C8-ZN}] C:\windows\system32\nndsregs.exe SED001
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\pwinooem.exe SED001
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MétéoIMédia] C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - Startup: Think-Adz.lnk = C:\WINDOWS\system32\pwinooem.exe
O4 - Global Startup: Assistant Internet.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

que dois-je faire ensuite???
0
Réponse 14 / 43
did71 Messages postés 2187 Statut Contributeur sécurité 36
 
Bonjour,

Combo a bien bossé!

Et smitfraudfix nous montre pe386, on s'occupera de tout dans la soirée!

a+
0
Réponse 15 / 43
did71 Messages postés 2187 Statut Contributeur sécurité 36
 
re,

On attaque, prends ton temps, lit bien tout ce qui est écrit! Imprime ces instruction car certains etapes se passeront en mode sans échec donc sans internet!

ETAPE 1

* Redémarre en mode sans échec.
* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Redémarres normalement

Communiques le deuxième rapport de SmitfraudFix

ETAPE 2

1) Désinstalle via ajout suppression de programme :

DeluxeCommunications
WinAntiVirus Pro 2006

2) Supprime ensuite les dossiers en gras ci dessous:

C:\Program Files\DeluxeCommunications
C:\Program Files\WinAntiVirus Pro 2006

ETAPE 3

Télécharge ce fichier (par ejvindh) sur ton bureau:

http://www.uploads.ejvindh.net/rustbfix.exe

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports

ETAPE 4

1)Télécharge Brute Force Uninstaller (de Merijn):

http://www.merijn.org/files/bfu.zip

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

2)FAIS UN CLIC-DROIT ICI:

http://metallica.geekstogo.com/alcanshorty.bfu

et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu(de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : BFU.exeet alcanshorty.bfu (très important).

3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe(du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

alcanshorty.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu

Clique sur Execute et laisse-le faire son travail. C'est très rapide comme exécution.

ETAPE 5

Ouvre le Bloc-note et copie-colle les lignes en gras ci-dessous :

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\qldptge
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|qldptge
FileDelete %SYSDIR%\qldptge_navps.dat
FileDelete %SYSDIR%\qldptge_nav.dat
FileDelete %SYSDIR%\qldptge.dat
FileDelete %SYSDIR%\qldptge.exe

SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Fixme.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Redémarre normalement.

Poste le rapport situé ici
C:\egd.txt

ETAPE 6

poste les différents rapport demandés

Courage, ne panique pas et reste concentré, Ne te précipite pas!

a+
0
Réponse 16 / 43
Vickie
 
Rebonjour,

ca y est, je me lance....

merci
0
Réponse 17 / 43
Vickie
 
Bonjour,

voici mon rapport smitfraud :

SmitFraudFix v2.122

Rapport fait à 14:57:17,50, 2006-11-17
Executé à partir de C:\Documents and Settings\Vickie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\uniq supprimé
C:\WINDOWS\newname.dat supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

je continue....
0
Réponse 18 / 43
Vickie
 
rebonjour,

je suis désolé mais je nai pas réussi a supprimer Win antivirus pro 2006 par suppression de programme car il netait pas dans la liste

de plus, je nai pas pu supprimer les dossier par l'explorateur...

qu'est-ce que je fais avec ca?
0
Réponse 19 / 43
did71 Messages postés 2187 Statut Contributeur sécurité 36
 
Vickie,

tu continues la procédure, on dégrossira à la fin!

Pas de problème pour ceci.

Courage!

a+
0
Réponse 20 / 43
did71 Messages postés 2187 Statut Contributeur sécurité 36
 
re,

j'ai oublié pour la suite,

Rendre visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

a+
0

Discussions similaires

USB Infectée !
Kimia77 -
Pierrecastor -

8 réponses
Infectée par Adware.Agent !
Leila -
Leila -

8 réponses
Clé mémoire infectée
Nadysa -
Malekal_morte- -

14 réponses
Clé USB infectée
tridouille -
bazfile -

1 réponse
Clé usb infectée
Asusneuf -
Asusneuf -

10 réponses