Virus PWS grave...

Résolu
xiaokrs -  
FillPCA Messages postés 2264 Statut Contributeur sécurité -
Bonjour,
J'ai rencontré un gros problèm du PC. Le logiciel détecte des virus de pws que je ne peux pas supprimer avec MCFREE.
Voici le résultat du scan
Merci de me dire comment je pourrais faire....

Logfile of HijackThis v1.99.1
Scan saved at 12:43:30, on 16/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Microsoft Autorun7] C:\WINDOWS\system32\nwizqjsj.exe
O4 - HKLM\..\Run: [Microsoft Autorun5] C:\WINDOWS\system32\mosou.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
O20 - AppInit_DLLs: zxdpri.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
Configuration: Windows XP
Firefox 2.0.0.4

32 réponses

  • 1
  • 2
Résumé de la discussion

Problème identifié : un PC Windows XP affiche des détections de virus et de programmes espions via HijackThis, et plusieurs outils exigent une élimination complète des composants malveillants. Des réponses soulignent que igfxtray.exe est légitime, mais que des infections nécessitent une désinfection approfondie et l'utilisation conjointe d'outils comme AVG Anti-Spyware et Kaspersky. En cas d'action, des conseils évoquent la restauration du système à désactiver puis réactiver et l'exécution de scans répétés pour purger les menaces détectées, avec des répercussions sur les paramètres de démarrage. Par ailleurs, des éléments signalés dans les rapports des scanners indiquent des objets élevés dans les points de restauration et dans des services ou DLL chargés au démarrage, ce qui peut compliquer la suppression.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonjour,
    igfxtray.exe est parfaitement légitime :
    http://www.castlecops.com/s1568-igfxtray.html

    En revanche, il y a des infections. J'examine ceci.

    FillPCA
    1
  2. lofo77 Messages postés 90 Statut Membre 10
     
    Salut,
    tu peux utiliser un scan en ligne gratuit sur le site de BitDefender "http://www.bitdefender.fr/scan_fr/scan8/ie.html" qui est un très bon antivirus.
    0
  3. xiaokrs
     
    En plus, je ne peux plus activer le pare feu. Pourriez-vous m'aider???

    Merci
    0
  4. xiaokrs
     
    Après avoir scanner par defend en ligne. Voici le le message du HIJACKTHIS

    Logfile of HijackThis v1.99.1
    Scan saved at 15:17:09, on 16/07/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
    C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\Dell\OpenManage\Client\Iap.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [Microsoft Autorun7] C:\WINDOWS\system32\nwizqjsj.exe
    O4 - HKLM\..\Run: [Microsoft Autorun5] C:\WINDOWS\system32\mosou.exe
    O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
    O20 - AppInit_DLLs: zxdpri.dll
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
    O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lofo77 Messages postés 90 Statut Membre 10
     
    Et que t'as dit Bitdefender ? Il a trouvé quelque chose ?
    Parce que là je vois déjà igfxtray.exe qui est un cheval de troie

    Télécharge Spybot spybot
    et ad-aware ad aware

    Mets à jour, fais les scans et redit nous
    0
  7. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1) Ouvre le Bloc-note
    et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)

    -----------------------------------------------------------------------------------
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    --------------------------------------------------------------------------------------------------------------

    Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).

    Double-clique sur Fixme.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
    Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.

    2) Ouvre Hijackthis>"Do a scan only" et coche ces deux lignes :
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm


    Clique sur fix/réparer.

    3) * Imprime ceci.
    * Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip
    * Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
    * Décompresse le fichier téléchargé dans ce nouveau dossier au moyen d'un clic droit (Extraire vers...C:\BFU).
    * Ouvre le bloc-note de windows.
    * Copie-colle ces lignes dans la fenêtre du bloc-note :

    OptionUnloadShell

    dllUnregister %SYSDIR%\zxdpri.dll|1

    Processkill \nwizqjsj.exe|1
    Processkill \mosou.exe|1
    Processkill \mppds.exe|1

    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Autorun7
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Autorun5
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mppds

    FileDelete %SYSDIR%\nwizqjsj.exe
    FileDelete %SYSDIR%\mosou.exe
    FileDelete %WINDIR%\mppds.exe
    FileDelete %SYSDIR%\zxdpri.dll

    SystemEmptyTempFolder
    SystemEmptyInternetCache
    SystemEmptyRecycleBin


    * Enregistre le fichier sur le bureau en fix.txt
    * Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
    * Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
    * Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
    * Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
    * Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
    * Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
    * Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
    * Clique sur Execute et laisse-le faire son travail.
    * Attendre que Complete script execution apparaîsse et clique sur OK.
    * Clique Exit pour fermer le programme BFU.
    * Redémarre normalement ton PC.

    4) * Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Double clique combofix.exe et suis les invites.
    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    5) Edite le rapport Combofix et un nouveau rapport Hijackthis.

    FillPCA
    0
    1. xiaokrs
       
      Bonjour,
      Merci votre instruction.
      Voici la réponse:

      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


      C:\WINDOWS\mppds.exe
      C:\WINDOWS\system32\avpsrv.dll
      C:\WINDOWS\system32\mppds.dll
      C:\WINDOWS\system32\nwizqjsj.dll


      ((((((((((((((((((((((((( Files Created from 2007-06-16 to 2007-07-16 )))))))))))))))))))))))))))))))


      2007-07-16 17:27 51,200 --a------ C:\WINDOWS\nircmd.exe
      2007-07-16 17:21 26,357 --a------ C:\WINDOWS\system32\k11846061275.exe
      2007-07-16 17:20 30,208 --a------ C:\WINDOWS\system32\k11846061232.exe
      2007-07-16 17:20 22,157 --a------ C:\WINDOWS\system32\k11846061221.exe
      2007-07-16 16:51 <REP> d-------- C:\LE BFU
      2007-07-16 13:07 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2007-07-16 12:06 30,558 --a------ C:\WINDOWS\system32\k11845875019.exe
      2007-07-16 12:04 30,208 --a------ C:\WINDOWS\system32\k11845874932.exe
      2007-07-16 12:04 26,357 --a------ C:\WINDOWS\system32\k11845874975.exe
      2007-07-16 12:04 22,157 --a------ C:\WINDOWS\system32\k11845874921.exe
      2007-07-16 08:55 30,208 --a------ C:\WINDOWS\system32\k11845761022.exe
      2007-07-16 08:55 22,157 --a------ C:\WINDOWS\system32\k11845761011.exe
      2007-07-13 16:25 187,333 --a------ C:\WINDOWS\system32\k118434344512.exe
      2007-07-13 16:24 9,558 --a------ C:\WINDOWS\system32\k118434344310.exe
      2007-07-13 16:24 26,334 --a------ C:\WINDOWS\system32\k118434344411.exe
      2007-07-13 16:23 26,357 --a------ C:\WINDOWS\system32\k11843434375.exe
      2007-07-13 16:22 22,157 --a------ C:\WINDOWS\system32\k11843434321.exe
      2007-07-13 14:34 183,133 --a------ C:\WINDOWS\system32\k118433711612.exe
      2007-07-13 14:33 9,558 --a------ C:\WINDOWS\system32\k118433711410.exe
      2007-07-13 14:33 26,334 --a------ C:\WINDOWS\system32\k118433711511.exe
      2007-07-13 14:32 26,357 --a------ C:\WINDOWS\system32\k11843371085.exe
      2007-07-13 14:31 22,157 --a------ C:\WINDOWS\system32\k11843371031.exe
      2007-07-13 14:17 187,333 --a------ C:\WINDOWS\system32\k118433609712.exe
      2007-07-13 14:16 9,558 --a------ C:\WINDOWS\system32\k118433609510.exe
      2007-07-13 14:16 26,334 --a------ C:\WINDOWS\system32\k118433609611.exe
      2007-07-13 14:15 26,357 --a------ C:\WINDOWS\system32\k11843360895.exe
      2007-07-13 14:14 22,157 --a------ C:\WINDOWS\system32\k11843360841.exe
      2007-07-13 14:14 11,947 --a------ C:\WINDOWS\system32\E9D0F112.DLL
      2007-07-13 14:04 184,533 --a------ C:\WINDOWS\system32\k118433526112.exe
      2007-07-13 14:01 6,502 --a------ C:\WINDOWS\system32\k11843352546.DAT
      2007-07-13 14:00 6,915 --a------ C:\WINDOWS\system32\k11843352524.DAT
      2007-07-13 13:52 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
      2007-07-13 13:03 187,333 --a------ C:\WINDOWS\system32\k118433164612.exe
      2007-07-13 13:02 9,558 --a------ C:\WINDOWS\system32\k118433164310.exe
      2007-07-13 13:02 26,334 --a------ C:\WINDOWS\system32\k118433164411.exe
      2007-07-13 13:01 26,357 --a------ C:\WINDOWS\system32\k11843316375.exe
      2007-07-13 13:00 22,157 --a------ C:\WINDOWS\system32\k11843316321.exe
      2007-07-13 12:03 187,333 --a------ C:\WINDOWS\system32\k118432802912.exe
      2007-07-13 12:02 24,934 --a------ C:\WINDOWS\system32\k118432802811.exe
      2007-07-13 12:01 26,357 --a------ C:\WINDOWS\system32\k11843280215.exe
      2007-07-13 12:00 22,157 --a------ C:\WINDOWS\system32\k11843280161.exe
      2007-07-13 11:04 <REP> d-------- C:\Program Files\CCleaner
      2007-07-13 11:03 187,333 --a------ C:\WINDOWS\system32\k118432441412.exe
      2007-07-13 11:02 8,158 --a------ C:\WINDOWS\system32\k118432441110.exe
      2007-07-13 11:02 26,334 --a------ C:\WINDOWS\system32\k118432441311.exe
      2007-07-13 11:01 26,357 --a------ C:\WINDOWS\system32\k11843244055.exe
      2007-07-13 11:00 22,157 --a------ C:\WINDOWS\system32\k11843244001.exe
      2007-07-13 10:58 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
      2007-07-13 10:50 <REP> d-------- C:\Program Files\Yahoo!
      2007-07-13 10:33 187,333 --a------ C:\WINDOWS\system32\k118432262112.exe
      2007-07-13 10:32 9,558 --a------ C:\WINDOWS\system32\k118432261910.exe
      2007-07-13 10:32 26,334 --a------ C:\WINDOWS\system32\k118432262011.exe
      2007-07-13 10:31 26,357 --a------ C:\WINDOWS\system32\k11843226125.exe
      2007-07-13 10:30 22,157 --a------ C:\WINDOWS\system32\k11843226081.exe
      2007-07-12 09:58 187,333 --a------ C:\WINDOWS\system32\k118423411112.exe
      2007-07-12 09:57 6,757 --a------ C:\WINDOWS\system32\k118423410810.exe
      2007-07-12 09:57 26,334 --a------ C:\WINDOWS\system32\k118423411011.exe
      2007-07-12 09:57 20,757 --a------ C:\WINDOWS\system32\k11842341079.exe
      2007-07-12 09:56 9,534 --a------ C:\WINDOWS\system32\k11842341046.exe
      2007-07-12 09:56 29,158 --a------ C:\WINDOWS\system32\k11842341068.exe
      2007-07-12 09:56 26,357 --a------ C:\WINDOWS\system32\k11842341025.exe
      2007-07-12 09:55 22,157 --a------ C:\WINDOWS\system32\k11842340981.exe
      2007-07-12 08:57 187,333 --a------ C:\WINDOWS\system32\k118423049512.exe
      2007-07-12 08:56 9,557 --a------ C:\WINDOWS\system32\k118423049210.exe
      2007-07-12 08:56 26,334 --a------ C:\WINDOWS\system32\k118423049411.exe
      2007-07-12 08:55 9,534 --a------ C:\WINDOWS\system32\k11842304886.exe
      2007-07-12 08:55 30,558 --a------ C:\WINDOWS\system32\k11842304908.exe
      2007-07-12 08:55 26,357 --a------ C:\WINDOWS\system32\k11842304865.exe
      2007-07-12 08:54 15,157 --a------ C:\WINDOWS\system32\k11842304811.exe
      2007-07-11 18:28 187,333 --a------ C:\WINDOWS\system32\k118417835712.exe
      2007-07-11 18:27 9,557 --a------ C:\WINDOWS\system32\k118417835410.exe
      2007-07-11 18:27 26,334 --a------ C:\WINDOWS\system32\k118417835511.exe
      2007-07-11 18:26 9,534 --a------ C:\WINDOWS\system32\k11841783496.exe
      2007-07-11 18:26 26,357 --a------ C:\WINDOWS\system32\k11841783485.exe
      2007-07-11 18:25 22,157 --a------ C:\WINDOWS\system32\k11841783431.exe
      2007-07-11 18:25 <REP> d-------- C:\quarantine
      2007-07-11 09:12 18,279 --ah----- C:\WINDOWS\system32\48F753A6.EXE


      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

      2007-07-11 18:03:58 77,014 ----a-w C:\WINDOWS\system32\perfc00C.dat
      2007-07-11 18:03:58 472,378 ----a-w C:\WINDOWS\system32\perfh00C.dat
      2007-06-11 17:35:21 -------- d-----w C:\Program Files\autocad
      2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
      2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
      2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
      2007-04-16 22:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
      2007-04-16 22:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
      2007-04-16 22:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
      2007-04-16 22:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
      2007-04-16 22:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
      2007-04-16 22:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
      2007-04-16 22:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
      2007-04-16 22:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
      2007-04-10 15:55:13 1,191 ----a-w C:\Program Files\hdd14.etq
      2006-12-21 12:07:22 42,384 ----a-w C:\DOCUME~1\ZAWADI~1\APPLIC~1\GDIPFONTCACHEV1.DAT


      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


      *Note* empty entries & legit default entries are not shown

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
      2006-10-26 10:28 440384 --a------ C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
      2006-12-18 04:16 59032 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48]
      "Dell Photo AIO Printer 922"="C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe" [2004-11-10 19:36]
      "ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00]
      "McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50]
      "Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48]
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-01-30 16:43]
      "UserFaultCheck"="%systemroot%\system32\dumprep 0 -u" []

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]
      "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 16:24]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      "{4A65498A-7653-9801-1647-987114AB7F44}"="C:\WINDOWS\system32\zxdpri.dll" [2004-08-04 14:01]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "appinit_dlls"=zxdpri.dll


      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
      Auto\command- auto.exe
      AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf5b4053-e0be-11da-ab9a-0013201bc266}]
      Auto\command- E:\auto.exe
      AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8784778-96ec-11da-ab57-0013201bc266}]
      Auto\command- E:\auto.exe
      AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5f96001-9492-11da-ab56-0013201bc266}]
      Auto\command- E:\auto.exe
      AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

      *Newly Created Service* - ENTDRV51

      **************************************************************************

      catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
      Rootkit scan 2007-07-16 17:30:06
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      Completion time: 2007-07-16 17:30:54
      C:\ComboFix-quarantined-files.txt ... 2007-07-16 17:30
      0
    2. xiaokrs
       
      Rebonjour,
      J'ai oublié le report de HIJACKTHIS, voici le rapport. Merci d'avance!!!

      Logfile of HijackThis v1.99.1
      Scan saved at 17:37:42, on 16/07/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
      C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
      C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
      C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      C:\Program Files\Dell\OpenManage\Client\Iap.exe
      C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
      O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
      O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
      O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
      O20 - AppInit_DLLs: zxdpri.dll
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
      O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
      O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
      0
  8. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1)
    * Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
    * Cliquer sur outils>options des dossiers>affichage.
    * Sélectionner :
    o afficher les fichiers et dossiers cachés,
    o décocher "masquer les extensions des fichiers dont le type est connu",
    o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

    * "appliquer" et "ok"

    2) * Peux-tu tester ceci : C:\WINDOWS\system32\k11842340981.exe
    * Clique sur ce lien.
    * Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
    * Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.

    Même chose avec ce fichier : C:\WINDOWS\system32\48F753A6.EXE

    3) Télécharge Ccleaner : http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/
    Installe-le en décochant la toolbar Yahoo !
    Ouvre Ccleaner, clique sur "analyse" puis "lancer le nettoyage".

    4) Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    5) Reviens avec les deux rapports virustotal et le rapport AVGantispyware.

    FillPCA
    0
  9. xiaokrs
     
    Bonjour,
    Merci bcp....

    Quand je treste : C:\WINDOWS\system32\k11842340981.exe, ca n'a pas marché, ca marqué impossible.

    Et quand je teste : C:\WINDOWS\system32\48F753A6.EXE, il n'y a aucune réponse....

    Je suis en train de télécharger AVG

    Merci
    0
  10. xiaokrs
     
    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 11:25:36 17/07/2007

    + Résultat de l'analyse:

    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP537\A0067083.EXE -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP539\A0067788.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068397.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068418.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068518.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068526.EXE -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068530.exe -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0068542.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0068557.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069557.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069583.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\48F753A6.EXE -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1056] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1100] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1144] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1548] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1656] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1664] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1672] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1688] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1708] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1728] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [1780] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [204] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [308] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [328] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [400] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [460] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [476] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [652] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [676] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [724] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [736] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [892] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    [968] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\ZAWADIL Laurent\Mes documents\Laurent\Programmes_gratuit\Photoshop\Adobe Photoshop 7 Keygen1.exe -> Logger.Delf.ncs : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\ZAWADIL Laurent\Mes documents\Laurent\Programmes_gratuit\Photoshop\Adobe Photoshop 7 Keygen2.exe -> Logger.Delf.ncs : Nettoyé et sauvegardé (mise en quarantaine).
    :mozilla.10:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
    :mozilla.13:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
    :mozilla.12:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
    C:\QooBox\Quarantine\C\WINDOWS\mppds.exe.vir -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068525.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0068551.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\mppds.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11845761022.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11845874932.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11846061232.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11846628482.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118432261910.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118433164310.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118433609510.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118433711410.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118434344310.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11841783485.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842304865.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842341025.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843226125.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843244055.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843280215.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843316375.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843360895.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843371085.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843434375.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11845874975.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11846061275.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11841783496.exe -> Trojan.OnLineGames.sc : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842304886.exe -> Trojan.OnLineGames.sc : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842341046.exe -> Trojan.OnLineGames.sc : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842304908.exe -> Trojan.OnLineGames.yn : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842341068.exe -> Trojan.OnLineGames.yn : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11845875019.exe -> Trojan.OnLineGames.yn : Nettoyé et sauvegardé (mise en quarantaine).
    C:\QooBox\Quarantine\C\WINDOWS\system32\AVPSrv.dll.vir -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069562.dll -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11841783431.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842304811.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842340981.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843226081.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843244001.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843280161.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843316321.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843360841.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843371031.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11843434321.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11845761011.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11845874921.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11846061221.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11846628471.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k11842341079.exe -> Trojan.OnLineGames.zq : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118417835511.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118423049411.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118423411011.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118432262011.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118432441311.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118432802811.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118433164411.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118433609611.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118433711511.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\k118434344411.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

    Fin du rapport
    0
  11. xiaokrs
     
    Bonjour,
    Voici le rapport ci-dessus. Merci de m'indiquer comment faire....

    Merci
    0
  12. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Il faudra éviter les cracks qui sont sans doute responsables de ton infection.

    1) Ouvre Hijackthis>"Do a scan only" et coche ceci :
    O20 - AppInit_DLLs: zxdpri.dll

    Clique sur fix/réparer.

    2) * Télécharge clean.zip (merci Malekal) : http://www.malekal.com/download/clean.zip
    * Dézippe-le sur le bureau.
    * Ouvre le dossier jaune nommé clean sur ton bureau.
    * Double-clique sur clean.cmd
    * Choisis l'option 1 et copie sur le bureau le rapport généré. Il doit normalement aussi se trouver là : c:\rapport_clean.txt
    * Clique sur Q pour quitter le programme.

    3) Edite le rapport clean et un nouveau rapport Hijackthis.

    FillPCA
    0
    1. xiaokrs
       
      Bonjour,
      Je ne peux pas fix et repair ceci. Il y a un message d'erreur comme quoi il faut que je contacte spywareinfo.
      0
    2. xiaokrs
       
      Bonjour,
      Voici après " clean".
      Rapport de HIJACKTHIS

      Logfile of HijackThis v1.99.1
      Scan saved at 11:51:12, on 17/07/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
      C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
      C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
      C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Dell\OpenManage\Client\Iap.exe
      C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
      C:\WINDOWS\system32\dlbtcoms.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
      O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
      O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
      O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
      O20 - AppInit_DLLs: zxdpri.dll
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
      O23 - Service: E7B45C6C - Unknown owner - C:\WINDOWS\system32\48F753A6.EXE (file missing)
      O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
      O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe


      Merci

      Xiaokrs
      0
    3. xiaokrs
       
      Et voici le rapport de Clean

      17/07/2007 a 11:48:26.91

      *** Recherche des fichiers dans C:
      C:\autorun.inf FOUND

      *** Recherche des fichiers dans C:\WINDOWS\

      *** Recherche des fichiers dans C:\WINDOWS\system32

      *** Recherche des fichiers dans C:\Program Files
      *** Fin du rapport !
      0
  13. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,
    Peux-tu éditer les deux rapports demandés ?

    FillPCA
    0
  14. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1) On retente ceci :
    Ouvre le Bloc-note
    et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)

    -----------------------------------------------------------------------------------
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    --------------------------------------------------------------------------------------------------------------

    Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).

    Double-clique sur Fixme.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
    Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.

    2) Ré-édite un rapport Hijackthis.

    Si ça ne marche pas, on fera autrement.

    FillPCA
    0
    1. xiaokrs
       
      Voici le rapport:

      Logfile of HijackThis v1.99.1
      Scan saved at 12:02:27, on 17/07/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
      C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
      C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
      C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Dell\OpenManage\Client\Iap.exe
      C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
      C:\WINDOWS\system32\dlbtcoms.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
      O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
      O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
      O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
      O20 - AppInit_DLLs: zxdpri.dll
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
      O23 - Service: E7B45C6C - Unknown owner - C:\WINDOWS\system32\48F753A6.EXE (file missing)
      O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
      O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

      Merci d'avance!!

      Xiaokrs
      0
  15. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1. Télécharger The Avenger par Swandog46 sur votre Bureau.
    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
    · Click sur Avenger.zip pour ouvrir le fichier
    · Extraire avenger.exe sur votre bureau

    2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Registry values to replace with dummy:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

    Files to delete:
    C:\WINDOWS\system32\zxdpri.dll


    Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

    3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
    · Sous "Script file to execute" choisir "Input Script Manually".
    · Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
    · Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
    · Cliquer Done
    · ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
    · Répondre "Yes" deux fois quand demandé.
    4. The Avenger va automatiquement faire ce qui suit:
    · Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
    · Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
    · Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    · The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
    5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE

    FillPCA
    0
    1. xiaokrs
       
      Bonjour FillPCA,
      Voici le fichier avenger.txt:
      Logfile of The Avenger version 1, by Swandog46
      Running from registry key:
      \Registry\Machine\System\CurrentControlSet\Services\cqlwsnyb

      *******************

      Script file located at: \??\C:\tfmwngfn.txt
      Script file opened successfully.

      Script file read successfully

      Backups directory opened successfully at C:\Avenger

      *******************

      Beginning to process script file:

      File C:\WINDOWS\system32\zxdpri.dll deleted successfully.
      Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

      Completed script processing.

      *******************

      Finished! Terminate.


      Et fichier HIJACKTHIS:

      Logfile of HijackThis v1.99.1
      Scan saved at 12:34:45, on 17/07/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
      C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
      C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
      C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Dell\OpenManage\Client\Iap.exe
      C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
      C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
      O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
      O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
      O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
      O23 - Service: E7B45C6C - Unknown owner - C:\WINDOWS\system32\48F753A6.EXE (file missing)
      O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
      O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

      Merci

      Xiaokrs
      0
  16. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,
    Pour cela, c'est bon, mais il y a eu ré-infection entre temps.

    1) Ouvre Hijackthis>"Do a scan only" et coche ceci :
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm

    Clique sur fix/réparer.

    2) Imprime ceci.

    3) * Ouvre le bloc-note de windows.
    * Copie-colle ces lignes dans la fenêtre du bloc-note :

    OptionUnloadShell

    Processkill \mppds.exe|1
    Processkill \48F753A6.EXE|1

    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mppds

    ServiceStop E7B45C6C
    ServiceDisable E7B45C6C
    ServiceDelete E7B45C6C

    FileDelete %SYSDIR%\mppds.exe
    FileDelete %SYSDIR%\48F753A6.EXE

    SystemEmptyInternetCache
    SystemEmptyTempFolder
    SystemEmptyRecycleBin


    * Enregistre le fichier sur le bureau en fix.txt
    * Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
    * Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
    * Remplace le précédent fichier fix.BFU
    * Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
    * Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
    * Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
    * Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
    * Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
    * Clique sur Execute et laisse-le faire son travail.
    * Attendre que Complete script execution apparaîsse et clique sur OK.
    * Clique Exit pour fermer le programme BFU.
    * Redémarre normalement ton PC.

    4) Lance AVG Anti-Spyware
    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    5) * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Kaspersky.
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

    6) Edite les rapports suivants :
    AVGantispyware,
    Kaspersky,
    Nouveau rapport Hijackthis.

    On devrait voir la fin d'ici peu.

    FillPCA
    0
    1. xiaokrs
       
      Bonjour,
      Voici le rapport de AVGANTISPY:
      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 14:17:49 17/07/2007

      + Résultat de l'analyse:



      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069615.EXE -> Backdoor.Agent.ahj : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069671.DLL -> Backdoor.Agent.ahj : Nettoyé.
      :mozilla.12:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
      :mozilla.11:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
      :mozilla.17:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069616.exe -> Trojan.OnLineGames.es : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069617.exe -> Trojan.OnLineGames.es : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069618.exe -> Trojan.OnLineGames.es : Nettoyé.
      C:\WINDOWS\mppds.exe -> Trojan.OnLineGames.es : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069661.exe -> Trojan.OnLineGames.qw : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069662.exe -> Trojan.OnLineGames.qw : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069663.exe -> Trojan.OnLineGames.qw : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069664.exe -> Trojan.OnLineGames.qw : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069665.exe -> Trojan.OnLineGames.qw : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069632.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069633.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069634.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069635.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069636.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069637.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069638.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069639.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069640.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069641.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069642.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069643.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\WINDOWS\system32\k11846717305.exe -> Trojan.OnLineGames.rt : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069644.exe -> Trojan.OnLineGames.sc : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069645.exe -> Trojan.OnLineGames.sc : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069646.exe -> Trojan.OnLineGames.sc : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069657.exe -> Trojan.OnLineGames.yn : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069658.exe -> Trojan.OnLineGames.yn : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069659.exe -> Trojan.OnLineGames.yn : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069619.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069620.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069621.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069622.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069623.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069624.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069625.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069626.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069627.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069628.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069629.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069630.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069631.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\WINDOWS\system32\k11846717251.exe -> Trojan.OnLineGames.zb : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069660.exe -> Trojan.OnLineGames.zq : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068431.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069647.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069648.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069649.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069650.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069651.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069652.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069653.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069654.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069655.exe -> Trojan.Small : Nettoyé.
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069656.exe -> Trojan.Small : Nettoyé.


      Fin du rapport


      Rapport de KASPERSKY:
      KASPERSKY ONLINE SCANNER REPORT
      Tuesday, July 17, 2007 4:07:19 PM
      Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
      Kaspersky Online Scanner version: 5.0.83.0
      Kaspersky Anti-Virus database last update: 17/07/2007
      Kaspersky Anti-Virus database records: 340845
      Scan Settings
      Scan using the following antivirus database standard
      Scan Archives true
      Scan Mail Bases true
      Scan Target My Computer
      A:\
      C:\
      D:\
      E:\
      Scan Statistics
      Total number of scanned objects 61339
      Number of viruses found 5
      Number of infected objects 14 / 0
      Number of suspicious objects 0
      Duration of the scan process 01:34:19

      Infected Object Name Virus Name Last Action
      C:\Documents and Settings\All Users\Application Data\Network Associates\BOPDATA\_Date-20070717_Time-133717890_EnterceptExceptions.dat Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Network Associates\BOPDATA\_Date-20070717_Time-133717890_EnterceptRules.dat Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\Agent_LAURENT.log Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\PrdMgr_LAURENT.log Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\AccessProtectionLog.txt Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\BufferOverflowProtectionLog.txt Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\EmailOnDeliveryLog.txt Object is locked skipped
      C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\OnAccessScanLog.txt Object is locked skipped
      C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
      C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
      C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Application Data\Microsoft\Outlook\Outlook.srs Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cert8.db Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\history.dat Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\key3.db Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\parent.lock Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\search.sqlite Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\urlclassifier2.sqlite Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Cookies\index.dat Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Microsoft\Outlook\archive.pst Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\Cache\_CACHE_001_ Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\Cache\_CACHE_002_ Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\Cache\_CACHE_003_ Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\Cache\_CACHE_MAP_ Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\NTUSER.DAT Object is locked skipped
      C:\Documents and Settings\ZAWADIL Laurent\ntuser.dat.LOG Object is locked skipped
      C:\QooBox\Quarantine\C\WINDOWS\system32\mppds.dll.vir Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\QooBox\Quarantine\C\WINDOWS\system32\nwizqjsj.dll.vir Infected: Trojan-PSW.Win32.Nilage.bkw skipped
      C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068517.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0068541.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069561.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069563.dll Infected: Trojan-PSW.Win32.Nilage.bkw skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069677.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069685.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069703.dll Infected: Trojan-Downloader.Win32.Small.ewc skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069708.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069762.exe Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069763.exe Infected: Trojan-PSW.Win32.OnLineGames.zb skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069764.exe Infected: Trojan-PSW.Win32.OnLineGames.rt skipped
      C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\change.log Object is locked skipped
      C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
      C:\WINDOWS\SchedLgU.Txt Object is locked skipped
      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
      C:\WINDOWS\Sti_Trace.log Object is locked skipped
      C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
      C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
      C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
      C:\WINDOWS\system32\config\default.LOG Object is locked skipped
      C:\WINDOWS\system32\config\SAM Object is locked skipped
      C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
      C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\SECURITY Object is locked skipped
      C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
      C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
      C:\WINDOWS\system32\config\software.LOG Object is locked skipped
      C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
      C:\WINDOWS\system32\config\SYSTEM Object is locked skipped
      C:\WINDOWS\system32\config\system.LOG Object is locked skipped
      C:\WINDOWS\system32\h323log.txt Object is locked skipped
      C:\WINDOWS\system32\mppds.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
      C:\WINDOWS\wiadebug.log Object is locked skipped
      C:\WINDOWS\wiaservc.log Object is locked skipped
      C:\WINDOWS\WindowsUpdate.log Object is locked skipped
      Scan process completed.

      Finalement le report HIJACKTHIS:
      Logfile of HijackThis v1.99.1
      Scan saved at 16:08:49, on 17/07/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
      C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
      C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
      C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
      C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      C:\Program Files\Dell\OpenManage\Client\Iap.exe
      C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\system32\dlbtcoms.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
      O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
      O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
      O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
      O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
      O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
      O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

      Je vous remercie d'avance!!

      xiaokrs
      0
  17. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1) * Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List Of Files/Folders to be moved" :

    C:\WINDOWS\system32\mppds.dll

    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

    2) * Lance OTmoveIT.
    * Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargés).

    NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder à internet, Autorise le.

    * Une liste apparaît dans la partie gauche d'OTmoveIT.
    * Un message apparaît pour confirmer le nettoyage. Confirme.
    * Les fichiers infectés qui se trouvent dans les quarantaines seront supprimés aussi.

    3) Tu dois désactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Dans l’onglet « restauration du système », coche la case « désactiver la restauration système ». Clique sur appliquer>OK.
    Décoche cette case, clique sur appliquer>OK et redémarre le PC.

    4) Vide ta corbeille.

    5) As-tu toujours des soucis ? Sinon, je te donne quelques tuyaux pour améliorer la sécurité de ton PC.

    FillPCA
    0
    1. xiaokrs
       
      Bonjour,
      Ca vaut dire quoi * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles ?

      Merci de préciser.

      xiaokrs
      0
  18. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,
    C'est le rapport généré par OTMoveIt. Si tu es passé à la suite, il a sans doute disparu.
    Poste-le s'il s'y trouve toujours, sinon, continue la procédure.

    FillPCA
    0
  19. xiaokrs
     
    Bonjour,
    Dsl, je ne comprends pas:::

    3) Tu dois désactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Dans l’onglet « restauration du système », coche la case « désactiver la restauration système ». Clique sur appliquer>OK.
    Décoche cette case, clique sur appliquer>OK et redémarre le PC.

    Vaut dire que je coche et décoche tout de suite apres?

    Merci

    xiaokrs
    0
  20. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Oui : tu coches, appliquer>OK.
    Tu décoches immédiatemment puis apliquer>OK et tu redémarres le PC.

    Ca supprime tous les points de restauration.

    FillPCA
    0
  • 1
  • 2