Sujet Précédent Sujet Suivant

Virus PWS grave...

Résolu/Fermé
xiaokrs - 16 juil. 2007 à 12:51
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 - 18 juil. 2007 à 16:13
Bonjour,
J'ai rencontré un gros problèm du PC. Le logiciel détecte des virus de pws que je ne peux pas supprimer avec MCFREE.
Voici le résultat du scan
Merci de me dire comment je pourrais faire....


Logfile of HijackThis v1.99.1
Scan saved at 12:43:30, on 16/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Microsoft Autorun7] C:\WINDOWS\system32\nwizqjsj.exe
O4 - HKLM\..\Run: [Microsoft Autorun5] C:\WINDOWS\system32\mosou.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
O20 - AppInit_DLLs: zxdpri.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
A voir également:

32 réponses

  • 1
  • 2
Réponse 1 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
16 juil. 2007 à 15:56
Bonjour,
igfxtray.exe est parfaitement légitime :
http://www.castlecops.com/s1568-igfxtray.html

En revanche, il y a des infections. J'examine ceci.

FillPCA
1
Réponse 2 / 32
lofo77 Messages postés 90 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 16 janvier 2008 10
16 juil. 2007 à 12:56
Salut,
tu peux utiliser un scan en ligne gratuit sur le site de BitDefender "http://www.bitdefender.fr/scan_fr/scan8/ie.html" qui est un très bon antivirus.
0
Réponse 3 / 32
xiaokrs
16 juil. 2007 à 13:48
En plus, je ne peux plus activer le pare feu. Pourriez-vous m'aider???

Merci
0
Réponse 4 / 32
xiaokrs
16 juil. 2007 à 15:19
Après avoir scanner par defend en ligne. Voici le le message du HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 15:17:09, on 16/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Microsoft Autorun7] C:\WINDOWS\system32\nwizqjsj.exe
O4 - HKLM\..\Run: [Microsoft Autorun5] C:\WINDOWS\system32\mosou.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
O20 - AppInit_DLLs: zxdpri.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 32
lofo77 Messages postés 90 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 16 janvier 2008 10
16 juil. 2007 à 15:35
Et que t'as dit Bitdefender ? Il a trouvé quelque chose ?
Parce que là je vois déjà igfxtray.exe qui est un cheval de troie

Télécharge Spybot spybot
et ad-aware ad aware

Mets à jour, fais les scans et redit nous
0
Réponse 6 / 32
lofo77 Messages postés 90 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 16 janvier 2008 10
16 juil. 2007 à 16:02
Ha moi j'ai une autre version : http://www.gsiteg.com
Enfin peut être que je me trompe mais même sur CCM, il l'indique en cheval de troie

Pour vérifier, https://virusscan.jotti.org/
0
Réponse 7 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
16 juil. 2007 à 16:14
Re,

1) Ouvre le Bloc-note
et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)

-----------------------------------------------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

--------------------------------------------------------------------------------------------------------------

Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).

Double-clique sur Fixme.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.

2) Ouvre Hijackthis>"Do a scan only" et coche ces deux lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm

Clique sur fix/réparer.

3) * Imprime ceci.
* Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip
* Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
* Décompresse le fichier téléchargé dans ce nouveau dossier au moyen d'un clic droit (Extraire vers...C:\BFU).
* Ouvre le bloc-note de windows.
* Copie-colle ces lignes dans la fenêtre du bloc-note :

OptionUnloadShell

dllUnregister %SYSDIR%\zxdpri.dll|1

Processkill \nwizqjsj.exe|1
Processkill \mosou.exe|1
Processkill \mppds.exe|1

RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Autorun7
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Autorun5
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mppds

FileDelete %SYSDIR%\nwizqjsj.exe
FileDelete %SYSDIR%\mosou.exe
FileDelete %WINDIR%\mppds.exe
FileDelete %SYSDIR%\zxdpri.dll

SystemEmptyTempFolder
SystemEmptyInternetCache
SystemEmptyRecycleBin




* Enregistre le fichier sur le bureau en fix.txt
* Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
* Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
* Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
* Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
* Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
* Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
* Clique sur Execute et laisse-le faire son travail.
* Attendre que Complete script execution apparaîsse et clique sur OK.
* Clique Exit pour fermer le programme BFU.
* Redémarre normalement ton PC.

4) * Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double clique combofix.exe et suis les invites.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

5) Edite le rapport Combofix et un nouveau rapport Hijackthis.

FillPCA
0
xiaokrs
16 juil. 2007 à 17:33
Bonjour,
Merci votre instruction.
Voici la réponse:

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\avpsrv.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\nwizqjsj.dll


((((((((((((((((((((((((( Files Created from 2007-06-16 to 2007-07-16 )))))))))))))))))))))))))))))))


2007-07-16 17:27 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-16 17:21 26,357 --a------ C:\WINDOWS\system32\k11846061275.exe
2007-07-16 17:20 30,208 --a------ C:\WINDOWS\system32\k11846061232.exe
2007-07-16 17:20 22,157 --a------ C:\WINDOWS\system32\k11846061221.exe
2007-07-16 16:51 <REP> d-------- C:\LE BFU
2007-07-16 13:07 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-07-16 12:06 30,558 --a------ C:\WINDOWS\system32\k11845875019.exe
2007-07-16 12:04 30,208 --a------ C:\WINDOWS\system32\k11845874932.exe
2007-07-16 12:04 26,357 --a------ C:\WINDOWS\system32\k11845874975.exe
2007-07-16 12:04 22,157 --a------ C:\WINDOWS\system32\k11845874921.exe
2007-07-16 08:55 30,208 --a------ C:\WINDOWS\system32\k11845761022.exe
2007-07-16 08:55 22,157 --a------ C:\WINDOWS\system32\k11845761011.exe
2007-07-13 16:25 187,333 --a------ C:\WINDOWS\system32\k118434344512.exe
2007-07-13 16:24 9,558 --a------ C:\WINDOWS\system32\k118434344310.exe
2007-07-13 16:24 26,334 --a------ C:\WINDOWS\system32\k118434344411.exe
2007-07-13 16:23 26,357 --a------ C:\WINDOWS\system32\k11843434375.exe
2007-07-13 16:22 22,157 --a------ C:\WINDOWS\system32\k11843434321.exe
2007-07-13 14:34 183,133 --a------ C:\WINDOWS\system32\k118433711612.exe
2007-07-13 14:33 9,558 --a------ C:\WINDOWS\system32\k118433711410.exe
2007-07-13 14:33 26,334 --a------ C:\WINDOWS\system32\k118433711511.exe
2007-07-13 14:32 26,357 --a------ C:\WINDOWS\system32\k11843371085.exe
2007-07-13 14:31 22,157 --a------ C:\WINDOWS\system32\k11843371031.exe
2007-07-13 14:17 187,333 --a------ C:\WINDOWS\system32\k118433609712.exe
2007-07-13 14:16 9,558 --a------ C:\WINDOWS\system32\k118433609510.exe
2007-07-13 14:16 26,334 --a------ C:\WINDOWS\system32\k118433609611.exe
2007-07-13 14:15 26,357 --a------ C:\WINDOWS\system32\k11843360895.exe
2007-07-13 14:14 22,157 --a------ C:\WINDOWS\system32\k11843360841.exe
2007-07-13 14:14 11,947 --a------ C:\WINDOWS\system32\E9D0F112.DLL
2007-07-13 14:04 184,533 --a------ C:\WINDOWS\system32\k118433526112.exe
2007-07-13 14:01 6,502 --a------ C:\WINDOWS\system32\k11843352546.DAT
2007-07-13 14:00 6,915 --a------ C:\WINDOWS\system32\k11843352524.DAT
2007-07-13 13:52 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-07-13 13:03 187,333 --a------ C:\WINDOWS\system32\k118433164612.exe
2007-07-13 13:02 9,558 --a------ C:\WINDOWS\system32\k118433164310.exe
2007-07-13 13:02 26,334 --a------ C:\WINDOWS\system32\k118433164411.exe
2007-07-13 13:01 26,357 --a------ C:\WINDOWS\system32\k11843316375.exe
2007-07-13 13:00 22,157 --a------ C:\WINDOWS\system32\k11843316321.exe
2007-07-13 12:03 187,333 --a------ C:\WINDOWS\system32\k118432802912.exe
2007-07-13 12:02 24,934 --a------ C:\WINDOWS\system32\k118432802811.exe
2007-07-13 12:01 26,357 --a------ C:\WINDOWS\system32\k11843280215.exe
2007-07-13 12:00 22,157 --a------ C:\WINDOWS\system32\k11843280161.exe
2007-07-13 11:04 <REP> d-------- C:\Program Files\CCleaner
2007-07-13 11:03 187,333 --a------ C:\WINDOWS\system32\k118432441412.exe
2007-07-13 11:02 8,158 --a------ C:\WINDOWS\system32\k118432441110.exe
2007-07-13 11:02 26,334 --a------ C:\WINDOWS\system32\k118432441311.exe
2007-07-13 11:01 26,357 --a------ C:\WINDOWS\system32\k11843244055.exe
2007-07-13 11:00 22,157 --a------ C:\WINDOWS\system32\k11843244001.exe
2007-07-13 10:58 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
2007-07-13 10:50 <REP> d-------- C:\Program Files\Yahoo!
2007-07-13 10:33 187,333 --a------ C:\WINDOWS\system32\k118432262112.exe
2007-07-13 10:32 9,558 --a------ C:\WINDOWS\system32\k118432261910.exe
2007-07-13 10:32 26,334 --a------ C:\WINDOWS\system32\k118432262011.exe
2007-07-13 10:31 26,357 --a------ C:\WINDOWS\system32\k11843226125.exe
2007-07-13 10:30 22,157 --a------ C:\WINDOWS\system32\k11843226081.exe
2007-07-12 09:58 187,333 --a------ C:\WINDOWS\system32\k118423411112.exe
2007-07-12 09:57 6,757 --a------ C:\WINDOWS\system32\k118423410810.exe
2007-07-12 09:57 26,334 --a------ C:\WINDOWS\system32\k118423411011.exe
2007-07-12 09:57 20,757 --a------ C:\WINDOWS\system32\k11842341079.exe
2007-07-12 09:56 9,534 --a------ C:\WINDOWS\system32\k11842341046.exe
2007-07-12 09:56 29,158 --a------ C:\WINDOWS\system32\k11842341068.exe
2007-07-12 09:56 26,357 --a------ C:\WINDOWS\system32\k11842341025.exe
2007-07-12 09:55 22,157 --a------ C:\WINDOWS\system32\k11842340981.exe
2007-07-12 08:57 187,333 --a------ C:\WINDOWS\system32\k118423049512.exe
2007-07-12 08:56 9,557 --a------ C:\WINDOWS\system32\k118423049210.exe
2007-07-12 08:56 26,334 --a------ C:\WINDOWS\system32\k118423049411.exe
2007-07-12 08:55 9,534 --a------ C:\WINDOWS\system32\k11842304886.exe
2007-07-12 08:55 30,558 --a------ C:\WINDOWS\system32\k11842304908.exe
2007-07-12 08:55 26,357 --a------ C:\WINDOWS\system32\k11842304865.exe
2007-07-12 08:54 15,157 --a------ C:\WINDOWS\system32\k11842304811.exe
2007-07-11 18:28 187,333 --a------ C:\WINDOWS\system32\k118417835712.exe
2007-07-11 18:27 9,557 --a------ C:\WINDOWS\system32\k118417835410.exe
2007-07-11 18:27 26,334 --a------ C:\WINDOWS\system32\k118417835511.exe
2007-07-11 18:26 9,534 --a------ C:\WINDOWS\system32\k11841783496.exe
2007-07-11 18:26 26,357 --a------ C:\WINDOWS\system32\k11841783485.exe
2007-07-11 18:25 22,157 --a------ C:\WINDOWS\system32\k11841783431.exe
2007-07-11 18:25 <REP> d-------- C:\quarantine
2007-07-11 09:12 18,279 --ah----- C:\WINDOWS\system32\48F753A6.EXE


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-11 18:03:58 77,014 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-07-11 18:03:58 472,378 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-06-11 17:35:21 -------- d-----w C:\Program Files\autocad
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 22:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 22:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 22:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 22:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 22:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 22:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 22:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 22:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-10 15:55:13 1,191 ----a-w C:\Program Files\hdd14.etq
2006-12-21 12:07:22 42,384 ----a-w C:\DOCUME~1\ZAWADI~1\APPLIC~1\GDIPFONTCACHEV1.DAT


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
2006-10-26 10:28 440384 --a------ C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-12-18 04:16 59032 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48]
"Dell Photo AIO Printer 922"="C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe" [2004-11-10 19:36]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50]
"Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-01-30 16:43]
"UserFaultCheck"="%systemroot%\system32\dumprep 0 -u" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 16:24]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4A65498A-7653-9801-1647-987114AB7F44}"="C:\WINDOWS\system32\zxdpri.dll" [2004-08-04 14:01]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=zxdpri.dll


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
Auto\command- auto.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf5b4053-e0be-11da-ab9a-0013201bc266}]
Auto\command- E:\auto.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8784778-96ec-11da-ab57-0013201bc266}]
Auto\command- E:\auto.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5f96001-9492-11da-ab56-0013201bc266}]
Auto\command- E:\auto.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

*Newly Created Service* - ENTDRV51

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-16 17:30:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-16 17:30:54
C:\ComboFix-quarantined-files.txt ... 2007-07-16 17:30
0
xiaokrs
16 juil. 2007 à 17:40
Rebonjour,
J'ai oublié le report de HIJACKTHIS, voici le rapport. Merci d'avance!!!

Logfile of HijackThis v1.99.1
Scan saved at 17:37:42, on 16/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
O20 - AppInit_DLLs: zxdpri.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
0
Réponse 8 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
16 juil. 2007 à 18:09
Re,

1)
* Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
* Cliquer sur outils>options des dossiers>affichage.
* Sélectionner :
o afficher les fichiers et dossiers cachés,
o décocher "masquer les extensions des fichiers dont le type est connu",
o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

* "appliquer" et "ok"

2) * Peux-tu tester ceci : C:\WINDOWS\system32\k11842340981.exe
* Clique sur ce lien.
* Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
* Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.

Même chose avec ce fichier : C:\WINDOWS\system32\48F753A6.EXE

3) Télécharge Ccleaner : http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/
Installe-le en décochant la toolbar Yahoo !
Ouvre Ccleaner, clique sur "analyse" puis "lancer le nettoyage".

4) Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

5) Reviens avec les deux rapports virustotal et le rapport AVGantispyware.

FillPCA
0
Réponse 9 / 32
xiaokrs
17 juil. 2007 à 10:35
Bonjour,
Merci bcp....

Quand je treste : C:\WINDOWS\system32\k11842340981.exe, ca n'a pas marché, ca marqué impossible.

Et quand je teste : C:\WINDOWS\system32\48F753A6.EXE, il n'y a aucune réponse....

Je suis en train de télécharger AVG

Merci
0
Réponse 10 / 32
xiaokrs
17 juil. 2007 à 11:26
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 11:25:36 17/07/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP537\A0067083.EXE -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP539\A0067788.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068397.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068418.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068518.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068526.EXE -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068530.exe -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0068542.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0068557.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069557.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069583.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\48F753A6.EXE -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1056] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1100] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1144] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1548] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1656] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1664] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1672] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1688] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1708] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1728] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[1780] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[204] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[308] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[328] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[400] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[460] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[476] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[652] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[676] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[724] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[736] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[892] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
[968] C:\WINDOWS\system32\E9D0F112.DLL -> Backdoor.Agent.ahj : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\ZAWADIL Laurent\Mes documents\Laurent\Programmes_gratuit\Photoshop\Adobe Photoshop 7 Keygen1.exe -> Logger.Delf.ncs : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\ZAWADIL Laurent\Mes documents\Laurent\Programmes_gratuit\Photoshop\Adobe Photoshop 7 Keygen2.exe -> Logger.Delf.ncs : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.10:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.13:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.12:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
C:\QooBox\Quarantine\C\WINDOWS\mppds.exe.vir -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068525.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0068551.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\mppds.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11845761022.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11845874932.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11846061232.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11846628482.exe -> Trojan.OnLineGames.es : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118432261910.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118433164310.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118433609510.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118433711410.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118434344310.exe -> Trojan.OnLineGames.qw : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11841783485.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842304865.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842341025.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843226125.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843244055.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843280215.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843316375.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843360895.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843371085.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843434375.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11845874975.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11846061275.exe -> Trojan.OnLineGames.rt : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11841783496.exe -> Trojan.OnLineGames.sc : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842304886.exe -> Trojan.OnLineGames.sc : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842341046.exe -> Trojan.OnLineGames.sc : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842304908.exe -> Trojan.OnLineGames.yn : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842341068.exe -> Trojan.OnLineGames.yn : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11845875019.exe -> Trojan.OnLineGames.yn : Nettoyé et sauvegardé (mise en quarantaine).
C:\QooBox\Quarantine\C\WINDOWS\system32\AVPSrv.dll.vir -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069562.dll -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11841783431.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842304811.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842340981.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843226081.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843244001.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843280161.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843316321.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843360841.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843371031.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11843434321.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11845761011.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11845874921.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11846061221.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11846628471.exe -> Trojan.OnLineGames.zb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k11842341079.exe -> Trojan.OnLineGames.zq : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118417835511.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118423049411.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118423411011.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118432262011.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118432441311.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118432802811.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118433164411.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118433609611.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118433711511.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\k118434344411.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport
0
Réponse 11 / 32
xiaokrs
17 juil. 2007 à 11:32
Bonjour,
Voici le rapport ci-dessus. Merci de m'indiquer comment faire....

Merci
0
Réponse 12 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
17 juil. 2007 à 11:38
Re,

Il faudra éviter les cracks qui sont sans doute responsables de ton infection.

1) Ouvre Hijackthis>"Do a scan only" et coche ceci :
O20 - AppInit_DLLs: zxdpri.dll

Clique sur fix/réparer.

2) * Télécharge clean.zip (merci Malekal) : http://www.malekal.com/download/clean.zip
* Dézippe-le sur le bureau.
* Ouvre le dossier jaune nommé clean sur ton bureau.
* Double-clique sur clean.cmd
* Choisis l'option 1 et copie sur le bureau le rapport généré. Il doit normalement aussi se trouver là : c:\rapport_clean.txt
* Clique sur Q pour quitter le programme.

3) Edite le rapport clean et un nouveau rapport Hijackthis.

FillPCA
0
xiaokrs
17 juil. 2007 à 11:43
Bonjour,
Je ne peux pas fix et repair ceci. Il y a un message d'erreur comme quoi il faut que je contacte spywareinfo.
0
xiaokrs
17 juil. 2007 à 11:52
Bonjour,
Voici après " clean".
Rapport de HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 11:51:12, on 17/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\dlbtcoms.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
O20 - AppInit_DLLs: zxdpri.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: E7B45C6C - Unknown owner - C:\WINDOWS\system32\48F753A6.EXE (file missing)
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe


Merci

Xiaokrs
0
xiaokrs
17 juil. 2007 à 11:54
Et voici le rapport de Clean

17/07/2007 a 11:48:26.91

*** Recherche des fichiers dans C:
C:\autorun.inf FOUND

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
0
Réponse 13 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
17 juil. 2007 à 11:48
Re,
Peux-tu éditer les deux rapports demandés ?

FillPCA
0
Réponse 14 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
17 juil. 2007 à 11:55
Re,

1) On retente ceci :
Ouvre le Bloc-note
et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)

-----------------------------------------------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

--------------------------------------------------------------------------------------------------------------

Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).

Double-clique sur Fixme.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.

2) Ré-édite un rapport Hijackthis.

Si ça ne marche pas, on fera autrement.

FillPCA
0
xiaokrs
17 juil. 2007 à 12:03
Voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:27, on 17/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\dlbtcoms.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
O20 - AppInit_DLLs: zxdpri.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: E7B45C6C - Unknown owner - C:\WINDOWS\system32\48F753A6.EXE (file missing)
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

Merci d'avance!!

Xiaokrs
0
Réponse 15 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
17 juil. 2007 à 12:20
Re,

1. Télécharger The Avenger par Swandog46 sur votre Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
· Click sur Avenger.zip pour ouvrir le fichier
· Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):


Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\zxdpri.dll


Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
· Sous "Script file to execute" choisir "Input Script Manually".
· Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
· Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
· Cliquer Done
· ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
· Répondre "Yes" deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
· Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
· Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
· Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
· The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE

FillPCA
0
xiaokrs
17 juil. 2007 à 12:35
Bonjour FillPCA,
Voici le fichier avenger.txt:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cqlwsnyb

*******************

Script file located at: \??\C:\tfmwngfn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\zxdpri.dll deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.


Et fichier HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 12:34:45, on 17/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: E7B45C6C - Unknown owner - C:\WINDOWS\system32\48F753A6.EXE (file missing)
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

Merci

Xiaokrs
0
Réponse 16 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
17 juil. 2007 à 12:52
Re,
Pour cela, c'est bon, mais il y a eu ré-infection entre temps.

1) Ouvre Hijackthis>"Do a scan only" et coche ceci :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://219.129.239.219/00.htm

Clique sur fix/réparer.

2) Imprime ceci.

3) * Ouvre le bloc-note de windows.
* Copie-colle ces lignes dans la fenêtre du bloc-note :

OptionUnloadShell

Processkill \mppds.exe|1
Processkill \48F753A6.EXE|1

RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mppds

ServiceStop E7B45C6C
ServiceDisable E7B45C6C
ServiceDelete E7B45C6C

FileDelete %SYSDIR%\mppds.exe
FileDelete %SYSDIR%\48F753A6.EXE

SystemEmptyInternetCache
SystemEmptyTempFolder
SystemEmptyRecycleBin

* Enregistre le fichier sur le bureau en fix.txt
* Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
* Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
* Remplace le précédent fichier fix.BFU
* Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
* Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
* Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
* Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
* Clique sur Execute et laisse-le faire son travail.
* Attendre que Complete script execution apparaîsse et clique sur OK.
* Clique Exit pour fermer le programme BFU.
* Redémarre normalement ton PC.

4) Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

5) * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
* Choisis Kaspersky.
* Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
* Réalise un scan complet du système.
* Sauvegarde le rapport en mode texte à l'issue du scan.

6) Edite les rapports suivants :
AVGantispyware,
Kaspersky,
Nouveau rapport Hijackthis.

On devrait voir la fin d'ici peu.

FillPCA
0
xiaokrs
17 juil. 2007 à 16:09
Bonjour,
Voici le rapport de AVGANTISPY:
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 14:17:49 17/07/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069615.EXE -> Backdoor.Agent.ahj : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069671.DLL -> Backdoor.Agent.ahj : Nettoyé.
:mozilla.12:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.11:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.17:C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069616.exe -> Trojan.OnLineGames.es : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069617.exe -> Trojan.OnLineGames.es : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069618.exe -> Trojan.OnLineGames.es : Nettoyé.
C:\WINDOWS\mppds.exe -> Trojan.OnLineGames.es : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069661.exe -> Trojan.OnLineGames.qw : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069662.exe -> Trojan.OnLineGames.qw : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069663.exe -> Trojan.OnLineGames.qw : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069664.exe -> Trojan.OnLineGames.qw : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069665.exe -> Trojan.OnLineGames.qw : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069632.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069633.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069634.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069635.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069636.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069637.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069638.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069639.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069640.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069641.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069642.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069643.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\WINDOWS\system32\k11846717305.exe -> Trojan.OnLineGames.rt : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069644.exe -> Trojan.OnLineGames.sc : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069645.exe -> Trojan.OnLineGames.sc : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069646.exe -> Trojan.OnLineGames.sc : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069657.exe -> Trojan.OnLineGames.yn : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069658.exe -> Trojan.OnLineGames.yn : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069659.exe -> Trojan.OnLineGames.yn : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069619.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069620.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069621.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069622.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069623.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069624.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069625.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069626.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069627.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069628.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069629.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069630.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069631.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\WINDOWS\system32\k11846717251.exe -> Trojan.OnLineGames.zb : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069660.exe -> Trojan.OnLineGames.zq : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068431.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069647.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069648.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069649.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069650.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069651.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069652.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069653.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069654.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069655.exe -> Trojan.Small : Nettoyé.
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069656.exe -> Trojan.Small : Nettoyé.


Fin du rapport


Rapport de KASPERSKY:
KASPERSKY ONLINE SCANNER REPORT
Tuesday, July 17, 2007 4:07:19 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 17/07/2007
Kaspersky Anti-Virus database records: 340845
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
Scan Statistics
Total number of scanned objects 61339
Number of viruses found 5
Number of infected objects 14 / 0
Number of suspicious objects 0
Duration of the scan process 01:34:19

Infected Object Name Virus Name Last Action
C:\Documents and Settings\All Users\Application Data\Network Associates\BOPDATA\_Date-20070717_Time-133717890_EnterceptExceptions.dat Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Network Associates\BOPDATA\_Date-20070717_Time-133717890_EnterceptRules.dat Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\Agent_LAURENT.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\PrdMgr_LAURENT.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\AccessProtectionLog.txt Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\BufferOverflowProtectionLog.txt Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\EmailOnDeliveryLog.txt Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\OnAccessScanLog.txt Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Application Data\Microsoft\Outlook\Outlook.srs Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\cert8.db Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\history.dat Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\key3.db Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\parent.lock Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\search.sqlite Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Microsoft\Outlook\archive.pst Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\ljq5zflz.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\ZAWADIL Laurent\ntuser.dat.LOG Object is locked skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\mppds.dll.vir Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\QooBox\Quarantine\C\WINDOWS\system32\nwizqjsj.dll.vir Infected: Trojan-PSW.Win32.Nilage.bkw skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP540\A0068517.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0068541.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069561.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069563.dll Infected: Trojan-PSW.Win32.Nilage.bkw skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069677.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069685.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069703.dll Infected: Trojan-Downloader.Win32.Small.ewc skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069708.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069762.exe Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069763.exe Infected: Trojan-PSW.Win32.OnLineGames.zb skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\A0069764.exe Infected: Trojan-PSW.Win32.OnLineGames.rt skipped
C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP541\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\mppds.dll Infected: Trojan-PSW.Win32.OnLineGames.es skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
Scan process completed.

Finalement le report HIJACKTHIS:
Logfile of HijackThis v1.99.1
Scan saved at 16:08:49, on 17/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\dlbtcoms.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\ZAWADIL Laurent\Bureau\MOI\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/content/public/choosecountry.aspx?c=us&l=en&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BBF6273-EB51-40D8-AF16-80FA967F88BD}: NameServer = 193.252.19.3,193.252.19.4
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

Je vous remercie d'avance!!

xiaokrs
0
Réponse 17 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
17 juil. 2007 à 16:17
Re,

1) * Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List Of Files/Folders to be moved" :

C:\WINDOWS\system32\mppds.dll

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

2) * Lance OTmoveIT.
* Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargés).

NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder à internet, Autorise le.

* Une liste apparaît dans la partie gauche d'OTmoveIT.
* Un message apparaît pour confirmer le nettoyage. Confirme.
* Les fichiers infectés qui se trouvent dans les quarantaines seront supprimés aussi.

3) Tu dois désactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Dans l’onglet « restauration du système », coche la case « désactiver la restauration système ». Clique sur appliquer>OK.
Décoche cette case, clique sur appliquer>OK et redémarre le PC.

4) Vide ta corbeille.

5) As-tu toujours des soucis ? Sinon, je te donne quelques tuyaux pour améliorer la sécurité de ton PC.

FillPCA
0
xiaokrs
17 juil. 2007 à 16:35
Bonjour,
Ca vaut dire quoi * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles ?

Merci de préciser.

xiaokrs
0
Réponse 18 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
17 juil. 2007 à 16:40
Re,
C'est le rapport généré par OTMoveIt. Si tu es passé à la suite, il a sans doute disparu.
Poste-le s'il s'y trouve toujours, sinon, continue la procédure.

FillPCA
0
Réponse 19 / 32
xiaokrs
17 juil. 2007 à 16:53
Bonjour,
Dsl, je ne comprends pas:::

3) Tu dois désactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Dans l’onglet « restauration du système », coche la case « désactiver la restauration système ». Clique sur appliquer>OK.
Décoche cette case, clique sur appliquer>OK et redémarre le PC.

Vaut dire que je coche et décoche tout de suite apres?

Merci

xiaokrs
0
Réponse 20 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
17 juil. 2007 à 17:01
Re,

Oui : tu coches, appliquer>OK.
Tu décoches immédiatemment puis apliquer>OK et tu redémarres le PC.

Ca supprime tous les points de restauration.

FillPCA
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
ou est l'accent grave sur le u
Diogène -
fauconleader -

8 réponses
accent grave sur le clavier
Monique Normand -
Patricia -

20 réponses