Rootkit.win32 problème! - Page 3

Résolu
Précédent
  • 1
  • 2
  • 3
Réponse 41 / 59
bastyen
 
Bonsoir,
Merci de t'occuper de moi, ça soulage de savoir quequ'un avec soi
voilà le rapport (j'avais déja hijackthis)

Logfile of HijackThis v1.99.1
Scan saved at 04:55:07, on 28/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\CyberLink\PowerVCRII\Agent.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Mightyfax\MFNTCTL.EXE
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2internet.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {C759E317-FF4E-4914-A71E-9C92B43F355A} - c:\windows\system32\dfrgsnapj.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Agent] C:\Program Files\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g
O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MightyFAX Controller.lnk = C:\Program Files\Mightyfax\MFNTCTL.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - Winlogon Notify: oxtemyhd - C:\WINDOWS\SYSTEM32\dfrgsnapj.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 42 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

ok,

Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp

++
0
Réponse 43 / 59
bastyen
 
Bonsoir GreenDay,

après le scan de combofix, au redémarrage de windows, j'ai eu ce message :

application launcher exe composant introuvable
l'application n'a pas pu démarrer car Telecalib_logging.dll est introuvable
La réinstallation de l'application peut corriger ce problème

Voilà le rapport,

ComboFix 08-02-25.3 - roger 2008-02-29 4:53:23.1 - NTFSx86 MINIMAL
Endroit: C:\Documents and Settings\roger\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\roger\Application Data\inst.exe
D:\Autorun.inf
C:\WINDOWS\system32\dfrgsnapj.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-28 to 2008-02-29 ))))))))))))))))))))))))))))))))))))
.

2008-02-28 13:40 . 2008-02-28 13:40 <REP> d-------- C:\Program Files\Trend Micro
2008-02-26 20:04 . 2008-02-26 20:02 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-02-26 20:04 . 2008-02-26 20:02 299,392 --a------ C:\WINDOWS\system32\imon.dll
2008-02-26 20:04 . 2008-02-26 20:02 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-02-26 20:02 . 2008-02-28 18:26 <REP> d-------- C:\Program Files\ESET
2008-02-23 11:35 . 2008-02-26 20:44 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-21 14:48 . 2008-02-21 14:48 36,399,697 --a------ C:\WINDOWS\VPTNFILE.117
2008-02-21 14:48 . 2008-02-21 14:48 36,399,697 --a------ C:\WINDOWS\LPT$VPN.117
2008-02-21 14:47 . 2008-02-21 14:48 <REP> d-------- C:\WINDOWS\AU_Temp
2008-02-18 20:21 . 2008-02-18 20:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\vsosdk
2008-02-18 19:39 . 2008-02-18 20:31 <REP> d-------- C:\Program Files\DVDFab Platinum 4
2008-02-18 19:39 . 2008-02-18 19:49 <REP> d-------- C:\Documents and Settings\roger\Application Data\Vso
2008-02-18 19:39 . 2008-02-18 19:39 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-02-18 19:39 . 2008-02-18 19:39 47,360 --a------ C:\Documents and Settings\roger\Application Data\pcouffin.sys
2008-02-18 19:29 . 2008-02-18 19:29 <REP> d-------- C:\Program Files\Windows Defender
2008-02-17 18:40 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\[u]0[/u]00001_.tmp
2008-02-16 15:38 . 2008-02-16 15:38 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2008-02-16 15:38 . 2008-02-16 15:38 741,632 --a------ C:\WINDOWS\system32\stmrgaam.dat
2008-02-16 15:38 . 2008-02-16 15:38 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2008-02-16 15:38 . 2008-02-16 15:38 120,576 --a------ C:\WINDOWS\system32\fhkzbnqy.dat
2008-02-16 15:38 . 2008-02-28 20:00 42,752 --a------ C:\WINDOWS\system32\yohfjhha.dat
2008-02-16 15:38 . 2008-02-19 15:54 36,608 --a------ C:\WINDOWS\system32\hdhcrsby.dat
2008-02-16 15:38 . 2008-02-16 15:38 35,072 --a------ C:\WINDOWS\system32\wjydimfe.dat
2008-02-16 15:38 . 19,712 C:\WINDOWS\system32\drivers\bkrccjvb.dat
2008-02-16 15:21 . 2004-08-19 18:09 86,528 --a------ C:\WINDOWS\system32\dfrgsnapj.dll
2008-02-07 18:27 . 2008-02-07 18:26 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-07 18:27 . 2008-02-07 18:27 3,450 --a------ C:\WINDOWS\unins000.dat
2008-01-31 14:32 . 2008-01-31 14:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-28 12:39 --------- d-----w C:\Program Files\Hijackthis Version Française
2008-02-23 10:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-21 17:15 --------- d-----w C:\Program Files\Plato Video To 3GP Converter
2008-02-21 13:48 86,094 ----a-w C:\WINDOWS\BPMNT.dll
2008-02-21 13:48 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2008-02-20 19:17 --------- d-----w C:\Program Files\RegCleaner
2008-02-17 09:27 132,096 ------w C:\WINDOWS\combatfs.exe
2008-02-17 06:46 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2008-02-17 06:46 267,845 ----a-w C:\WINDOWS\tsc.exe
2008-02-17 06:44 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-02-17 06:44 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-02-17 06:44 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-02-10 06:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
2008-01-31 13:18 --------- d-----w C:\Documents and Settings\roger\Application Data\Lavasoft
2008-01-29 17:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-29 17:31 --------- d-----w C:\Program Files\EA Games
2008-01-22 18:25 --------- d-----w C:\Program Files\SlySoft
2008-01-17 17:58 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-01-12 08:23 --------- d-----w C:\Program Files\Sony Ericsson
2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(2)
2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca
2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-01-12 08:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(3)
2008-01-12 08:08 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared(2)
2008-01-12 08:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(4)
2007-12-30 12:15 --------- d-----w C:\Program Files\PDFCreator
2002-12-14 16:48 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C759E317-FF4E-4914-A71E-9C92B43F355A}]
2004-08-19 18:09 86528 --a------ c:\windows\system32\dfrgsnapj.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EzAgent"="C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe" [2003-02-17 12:01 114688]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 17:00 1937408]
"H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-06-21 00:20 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-24 21:00 315392]
"CARPService"="carpserv.exe" [2002-05-14 06:36 4608 C:\WINDOWS\system32\carpserv.exe]
"LWBKEYBOARD"="C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe" [2002-04-02 10:52 371200]
"IW Controlcenter"="C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE" [2002-09-26 16:14 751104]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2003-05-16 00:41 163840]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"Agent"="C:\Program Files\CyberLink\PowerVCRII\Agent.exe" [2002-10-01 14:57 94208]
"Remote_Agent"="C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe" [2002-10-01 17:01 32768]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-02-26 20:02 950664]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ATIPRB"=" /g" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09 15360]
"MS Unix Binary"="msnq3insller.exe" []

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\Program Files\DVDIdle Pro\DVDShell.dll [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\oxtemyhd]
dfrgsnapj.dll 2004-08-19 18:09 86528 C:\WINDOWS\system32\dfrgsnapj.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ :\WINDOWS\SYSTEM32\srrstr.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 waraurrl;waraurrl;C:\WINDOWS\system32\drivers\bkrccjvb.dat []
R1 as6eio;as6eio;C:\WINDOWS\system32\drivers\as6eio.sys [1997-12-09 01:32]
R1 cdrdrv;cdrdrv;C:\WINDOWS\system32\drivers\cdrdrv.sys [2002-09-18 11:04]
R1 PVR101Disk;PVR101Disk;C:\WINDOWS\system32\drivers\PVR101Disk.sys [2006-10-04 21:02]
R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2002-09-26 16:46]
R2 NwSapAgent;Agent SAP;C:\WINDOWS\System32\svchost.exe [2004-08-19 18:10]
R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-10-02 03:17]
R3 PhTVTune;ASUS TV7134 WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-03-12 16:52]
S1 Asapi;ASAPI;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
S2 ssiutiwu;StarForce Protection Environment v6Support;C:\WINDOWS\System32\svchost.exe [2004-08-19 18:10]
S3 ms6823;IEEE802.11b Wireless USB Adapter;C:\WINDOWS\system32\DRIVERS\ms6823.sys [2003-09-15 16:10]
S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 13:51]
S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 13:52]
S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 13:53]
S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 13:54]
S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 13:55]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ssiutiwu

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2803fffc-d543-11db-9148-000c6e06163d}]
\Shell\AutoRun\command - J:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34571140-4af0-11dc-922a-000c6e06163d}]
\Shell\AutoRun\command - K:\InstallTomTomHOME.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-29 04:01:55 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 04:59:37
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
ATIPRB = C:\WINDOWS\system32\rundll32.exe /g?? ?P???????????D?K??????a?wP????????? ???(?L????b?w0?K???L?????????????????????{??[???????w???w@???????????????????@???????????>??w@??????????????????[@???????????????????????W??[@???@????9?w?9?w????????????????='?w???????w

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Mightyfax\MFNTCTL.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-29 5:02:48 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-29 04:02:44
.
2008-02-23 18:12:48 --- E O F ---
0
Réponse 44 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

pour le message d'erreur, on procédera à une vérifications des fichiers système !

tout d'abord !

Crée un nouveau document texte et nomme le CFScript.txt ( attention très important ! ) : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes en gras :

File::

C:\WINDOWS\system32\dfrgsnapj.dll
C:\WINDOWS\[u]0/u00001_.tmp
C:\WINDOWS\system32\libeay32.dll
C:\WINDOWS\system32\stmrgaam.dat
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\fhkzbnqy.dat
C:\WINDOWS\system32\yohfjhha.dat
C:\WINDOWS\system32\hdhcrsby.dat
C:\WINDOWS\system32\wjydimfe.dat
C:\WINDOWS\system32\drivers\bkrccjvb.dat

registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C759E317-FF4E-4914-A71E-9C92B43F355A}]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MS Unix Binary"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\oxtemyhd]

driver::

waraurrl

ensuite fais glisser le fichier texte sur combo.exe comme sur l'animation :
http://img.bleepingcomputer.com/combofix/usage/rc.gif

Dans la fenêtre qui suit, choisie l'option 1 puis valide
Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
A la fin du scan, un rapport va s'afficher : poste le stp ( sinon il se situe dans ici : C:\ComboFix.txt )

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 59
bastyen
 
Bonjour Green Day

Pendant l'execution de combofix, l'application nircmd.cfexe a demandé des connexions internet (info zone alarm), j'ai accepté à chaque fois...
Ai-je bien fait ???

Le message d'erreur au démarrage est toujours là (mais tu me dis que ce n'est pas grave)

Je suis allé voir dans system32 : le fichier dfrgsnapj.dll a disparu !!!

Voilà le rapport combofix

ComboFix 08-02-25.3 - roger 2008-02-29 18:02:03.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.596 [GMT 1:00]
Endroit: C:\Documents and Settings\roger\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\roger\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\[u]0/u00001_.tmp
C:\WINDOWS\system32\dfrgsnapj.dll
C:\WINDOWS\system32\drivers\bkrccjvb.dat
C:\WINDOWS\system32\fhkzbnqy.dat
C:\WINDOWS\system32\hdhcrsby.dat
C:\WINDOWS\system32\libeay32.dll
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\stmrgaam.dat
C:\WINDOWS\system32\wjydimfe.dat
C:\WINDOWS\system32\yohfjhha.dat
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dfrgsnapj.dll
C:\WINDOWS\system32\drivers\bkrccjvb.dat
C:\WINDOWS\system32\fhkzbnqy.dat
C:\WINDOWS\system32\hdhcrsby.dat
C:\WINDOWS\system32\libeay32.dll
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\stmrgaam.dat
C:\WINDOWS\system32\wjydimfe.dat
C:\WINDOWS\system32\yohfjhha.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_WARAURRL
-------\waraurrl

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-28 to 2008-02-29 ))))))))))))))))))))))))))))))))))))
.

2008-02-28 13:40 . 2008-02-28 13:40 <REP> d-------- C:\Program Files\Trend Micro
2008-02-26 20:04 . 2008-02-26 20:02 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-02-26 20:04 . 2008-02-26 20:02 299,392 --a------ C:\WINDOWS\system32\imon.dll
2008-02-26 20:04 . 2008-02-26 20:02 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-02-26 20:02 . 2008-02-28 18:26 <REP> d-------- C:\Program Files\ESET
2008-02-23 11:35 . 2008-02-26 20:44 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-21 14:48 . 2008-02-21 14:48 36,399,697 --a------ C:\WINDOWS\VPTNFILE.117
2008-02-21 14:48 . 2008-02-21 14:48 36,399,697 --a------ C:\WINDOWS\LPT$VPN.117
2008-02-21 14:47 . 2008-02-21 14:48 <REP> d-------- C:\WINDOWS\AU_Temp
2008-02-18 20:21 . 2008-02-18 20:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\vsosdk
2008-02-18 19:39 . 2008-02-18 20:31 <REP> d-------- C:\Program Files\DVDFab Platinum 4
2008-02-18 19:39 . 2008-02-18 19:49 <REP> d-------- C:\Documents and Settings\roger\Application Data\Vso
2008-02-18 19:39 . 2008-02-18 19:39 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-02-18 19:39 . 2008-02-18 19:39 47,360 --a------ C:\Documents and Settings\roger\Application Data\pcouffin.sys
2008-02-18 19:29 . 2008-02-18 19:29 <REP> d-------- C:\Program Files\Windows Defender
2008-02-17 18:40 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\[u]0[/u]00001_.tmp
2008-02-07 18:27 . 2008-02-07 18:26 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-07 18:27 . 2008-02-07 18:27 3,450 --a------ C:\WINDOWS\unins000.dat
2008-01-31 14:32 . 2008-01-31 14:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-28 12:39 --------- d-----w C:\Program Files\Hijackthis Version Française
2008-02-23 10:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-21 17:15 --------- d-----w C:\Program Files\Plato Video To 3GP Converter
2008-02-21 13:48 86,094 ----a-w C:\WINDOWS\BPMNT.dll
2008-02-21 13:48 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2008-02-20 19:17 --------- d-----w C:\Program Files\RegCleaner
2008-02-17 09:27 132,096 ------w C:\WINDOWS\combatfs.exe
2008-02-17 06:46 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2008-02-17 06:46 267,845 ----a-w C:\WINDOWS\tsc.exe
2008-02-17 06:44 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-02-17 06:44 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-02-17 06:44 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-02-10 06:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
2008-01-31 13:18 --------- d-----w C:\Documents and Settings\roger\Application Data\Lavasoft
2008-01-29 17:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-29 17:31 --------- d-----w C:\Program Files\EA Games
2008-01-22 18:25 --------- d-----w C:\Program Files\SlySoft
2008-01-17 17:58 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-01-12 08:23 --------- d-----w C:\Program Files\Sony Ericsson
2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(2)
2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca
2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-01-12 08:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(3)
2008-01-12 08:08 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared(2)
2008-01-12 08:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(4)
2007-12-30 12:15 --------- d-----w C:\Program Files\PDFCreator
2002-12-14 16:48 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EzAgent"="C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe" [2003-02-17 12:01 114688]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 17:00 1937408]
"H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-06-21 00:20 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-24 21:00 315392]
"CARPService"="carpserv.exe" [2002-05-14 06:36 4608 C:\WINDOWS\system32\carpserv.exe]
"LWBKEYBOARD"="C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe" [2002-04-02 10:52 371200]
"IW Controlcenter"="C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE" [2002-09-26 16:14 751104]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2003-05-16 00:41 163840]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"Agent"="C:\Program Files\CyberLink\PowerVCRII\Agent.exe" [2002-10-01 14:57 94208]
"Remote_Agent"="C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe" [2002-10-01 17:01 32768]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-02-26 20:02 950664]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ATIPRB"=" /g" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\Program Files\DVDIdle Pro\DVDShell.dll [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ :\WINDOWS\SYSTEM32\srrstr.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 as6eio;as6eio;C:\WINDOWS\system32\drivers\as6eio.sys [1997-12-09 01:32]
R1 cdrdrv;cdrdrv;C:\WINDOWS\system32\drivers\cdrdrv.sys [2002-09-18 11:04]
R1 PVR101Disk;PVR101Disk;C:\WINDOWS\system32\drivers\PVR101Disk.sys [2006-10-04 21:02]
R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2002-09-26 16:46]
R2 NwSapAgent;Agent SAP;C:\WINDOWS\System32\svchost.exe [2004-08-19 18:10]
R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-10-02 03:17]
R3 PhTVTune;ASUS TV7134 WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-03-12 16:52]
S1 Asapi;ASAPI;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
S2 ssiutiwu;StarForce Protection Environment v6Support;C:\WINDOWS\System32\svchost.exe [2004-08-19 18:10]
S3 ms6823;IEEE802.11b Wireless USB Adapter;C:\WINDOWS\system32\DRIVERS\ms6823.sys [2003-09-15 16:10]
S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 13:51]
S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 13:52]
S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 13:53]
S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 13:54]
S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 13:55]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ssiutiwu

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2803fffc-d543-11db-9148-000c6e06163d}]
\Shell\AutoRun\command - J:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34571140-4af0-11dc-922a-000c6e06163d}]
\Shell\AutoRun\command - K:\InstallTomTomHOME.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-29 17:10:40 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 18:08:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
ATIPRB = C:\WINDOWS\system32\rundll32.exe /g?? ?P???????????D?K??????a?wP????????? ???(?L????b?w0?K???L?????????????????????{??[???????w???w@???????????????????@???????????>??w@??????????????????[@???????????????????????W??[@???@????9?w?9?w????????????????='?w???????w

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Mightyfax\MFNTCTL.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-29 18:11:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-29 17:11:28
ComboFix2.txt 2008-02-29 04:02:49
.
2008-02-23 18:12:48 --- E O F ---
0
Réponse 46 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Re-salut

Pendant l'execution de combofix, l'application nircmd.cfexe a demandé des connexions internet (info zone alarm), j'ai accepté à chaque fois...
Ai-je bien fait ???

==> oui !

Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

++
0
Réponse 47 / 59
bastyen
 
Bonsoir Green Day, et encore merci pour ce que tu fais, les gens comme toi mériteraient qu'on en parle (à la télé ???)

Voilà le rapport "Report.txt"

[b]SDFix: Version 1.149 [/b]

Run by roger on 29/02/2008 at 20:53

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\roger\Bureau\SDFix

[b]Checking Services [/b]:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

[b]Checking Files [/b]:

No Trojan Files Found

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 20:58:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\0008]
"DeviceDesc"="Processeur AMD K7"
"DisplayName"="AMD Athlon(tm) XP 2600+"
"Mfg"="Advanced Micro Devices"
"ProviderName"="Microsoft"
"DeviceInstanceIds"=str(7):"ACPI\AUTHENTICAMD_-_X86_FAMILY_6_MODEL_8\_0\0"
"ReinstallString"="C:\WINDOWS\System32\ReinstallBackups\0008\DriverFiles\cpu.inf"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\XP\23]
"DisplayName"="\x3e98\23\x40d0\23"
"DeviceDesc"="\x3e98\23\x40d0\23"
"ProviderName"=""
"MFG"="\x435c\x616c\x7373\"
"ReinstallString"="C:\WINDOWS\System32\ReinstallBackups\\x5058\23\DriverFiles\.INF"
"DeviceInstanceIds"=str(7):"cx_07448.inf"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

[b]Remaining Files [/b]:

[b]Files with Hidden Attributes [/b]:

Tue 22 Jan 2008 48 ..SH. --- "C:\WINDOWS\SEACA2FDB.tmp"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Sat 20 May 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 10 May 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sat 14 Dec 2002 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"
Sat 20 May 2006 4,348 ...H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Sat 20 May 2006 20 A..H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Sat 20 May 2006 400 A.SH. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Sat 21 Apr 2007 444 ...HR --- "C:\Documents and Settings\roger\Application Data\SecuROM\UserData\securom_v7_01.bak"

[b]Finished![/b]

..et le rapport "hijackthis"

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:24, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Mightyfax\MFNTCTL.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2internet.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g
O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MightyFAX Controller.lnk = C:\Program Files\Mightyfax\MFNTCTL.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 48 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut :-)

CCM passe déjà à la radio !

1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

@+
0
Réponse 49 / 59
bastyen
 
Bonjour GreenDay,

J'ai fait tout bien (je pense)
pour RAV : j'ai attendu un moment, pas de rapport (votre ordinateur est sain)

Pour flash_disinfector : pas de rapport non plus

Suis guéri ???

Cependant, j'ai lance Nod32 qui a trouvé dfrgsnap.dll dans un fichier compressé, faut il le supprimer ?

j'ai toujours le mess d'erreur au démarrage :
application launch.exe composant introuvable
telecalib_logging.dll introuvable
la réinstallation de l'applicationpeut corriger le problème

Merci
Merci
Merci
0
Réponse 50 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Re-salut

ça dépend où il l'a trouvé, dans la quarantaine ?!

j'ai toujours le mess d'erreur au démarrage :
application launch.exe composant introuvable
telecalib_logging.dll introuvable
la réinstallation de l'applicationpeut corriger le problème

Fais ceci :

http://www.commentcamarche.net/faq/sujet 3713 fichier corrompu ou manquant

@+

;-))
0
bastyen
 
Bonsoir GreenDay,

J'ai supprimé les fichiers zippés contenant les fichiers suspects dans la zone "quarantine"
Il semble que je n'ai plus rien, les point de restaurations se créent normalement
Encore merci pour tout, je suppose que tu es déja occupée avec quelqu'un d'autre qui est dans la m....

Merci et bravo à toi et à CCM.
0
Réponse 51 / 59
bastyen
 
Rebonjour Green Day

J'ai fait la procédure avec sfc /scannow mais au redémarrage j'ai toujours le mess d'erreur
le système m'a demandé d'insérer un cd de XP professionnal alors que j'ai une version familiale avec SP2
J'ai un cd de XP professionnal (PCde mon épouse), je l'ai mis, il l'a pris
Il m'a ensuite demandé le cd de XP familial, je l'ai mis, il l'a pris
Bizarre

La version que j'ai est (je pense) une OEM, avec CD minima

Pour le virus, il est zippé dans
C:\QooBox\Quarantine\catchme2008-02-29_ 45900.28.zip »ZIP »dfrgsnapj.dll - probably a variant of Win32/Rootkit.Agent.QQ trojan

je le vire ???

Voilà, je suis sûrement un gros nul, mais je préfère attendre ton avis avant de faire quoi que ce soit

A toutt...
0
Réponse 52 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

toujours cette erreur au démarrage ?? poste un nouveau hijack stp

++
0
Réponse 53 / 59
bastyen
 
Bonsoir GreenDay,

Non, je n'ai plus l'erreur au démarrage. J'ai trouvé l'application qui réclamait cette DLL et je l'ai désinstallée. C'était le logiciel de communication de mon téléphone portable vers le PC. (sonyericsson suite)
En la désinstallant j'ai d'ailleurs viré mon réseau (il y a 2 PC réliés via un swictch vers ma freebox)
J'ai scanné le 2ème PC avec NOD32 qui n'a rien vu et qui apparemment n'a pas de problème.

Juste une chose, l'éxécution automatique des cd/dvd ne fonctionnne plus, même en l'activant dans les propriétés du périphérique, ce n'est pas très grave mais bon ...

Voici le log hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:38, on 04/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Mightyfax\MFNTCTL.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2internet.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g
O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MightyFAX Controller.lnk = C:\Program Files\Mightyfax\MFNTCTL.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 54 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
ok, très bien, c'est tout bon !

lire ceci à l'occasion : http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet

@+
0
Réponse 55 / 59
bastyen
 
Bonjour GreenDay,

Bon, c'est rassurant de lire ça. Sans vouloir abuser, tu n'aurais pas une idée pour le pb d'éxécution automatique des cd/dvd qui ne fonctionne plus ?
En la réactivant dans les propriétés, les changements ne sont pas pris en compte...
C'est pareil pour le lecteur de carte SD.

Merci beaucoup en tout cas
0
Réponse 56 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

je n'y connais pas grand chose en materiel :s

as tu regardé au niveau des pilotes ??

++
0
bastyen
 
Bonsoir GreenDay,

Je vais essayer de me débrouiller...

Merci pour tout
Je ne sais pas comment, mais si un jour je peux renvoyer l'ascenseur, ce sera avec plaisir

Te voilà ma meilleure amie désormais
0
Réponse 57 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Pas d'quoi ! Avec plaisir ! ;-))

n'hésite pas à poster dans le forum matériel !

@+
0
Réponse 58 / 59
bastyen
 
Bonsoir GreenDay,

Pas bien compris ton mess :

ce poste commence à être un peu lourd, merci de créer ton propre poste ! ;-)

C'est pour moi ???

A+ (et merci encore)
0
Réponse 59 / 59
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut Bastyen

non, nous on a fini !

Je m'adressais à bluehorse ( cf poste 121 )

@+

;-)
0
Précédent
  • 1
  • 2
  • 3