Rootkit.win32 problème! - Page 3

Résolu
Précédent
  • 1
  • 2
  • 3
  1. bastyen
     
    Bonsoir,
    Merci de t'occuper de moi, ça soulage de savoir quequ'un avec soi
    voilà le rapport (j'avais déja hijackthis)

    Logfile of HijackThis v1.99.1
    Scan saved at 04:55:07, on 28/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\SYSTEM32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\system32\carpserv.exe
    C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
    C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\CyberLink\PowerVCRII\Agent.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
    C:\PROGRA~1\MI3AA1~1\wcescomm.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    C:\Program Files\Mightyfax\MFNTCTL.EXE
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2internet.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {C759E317-FF4E-4914-A71E-9C92B43F355A} - c:\windows\system32\dfrgsnapj.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
    O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Agent] C:\Program Files\CyberLink\PowerVCRII\Agent.exe
    O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g
    O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
    O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: MightyFAX Controller.lnk = C:\Program Files\Mightyfax\MFNTCTL.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O20 - Winlogon Notify: oxtemyhd - C:\WINDOWS\SYSTEM32\dfrgsnapj.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  2. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    ok,

    Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Démarrer en mode sans echec
    * Double cliquer combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan
    * Le rapport sera crée dans: C:\Combofix.txt, poste le stp

    ++
    0
  3. bastyen
     
    Bonsoir GreenDay,

    après le scan de combofix, au redémarrage de windows, j'ai eu ce message :

    application launcher exe composant introuvable
    l'application n'a pas pu démarrer car Telecalib_logging.dll est introuvable
    La réinstallation de l'application peut corriger ce problème

    Voilà le rapport,

    ComboFix 08-02-25.3 - roger 2008-02-29 4:53:23.1 - NTFSx86 MINIMAL
    Endroit: C:\Documents and Settings\roger\Bureau\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\roger\Application Data\inst.exe
    D:\Autorun.inf
    C:\WINDOWS\system32\dfrgsnapj.dll . . . . Echec de suppression

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-28 to 2008-02-29 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-28 13:40 . 2008-02-28 13:40 <REP> d-------- C:\Program Files\Trend Micro
    2008-02-26 20:04 . 2008-02-26 20:02 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
    2008-02-26 20:04 . 2008-02-26 20:02 299,392 --a------ C:\WINDOWS\system32\imon.dll
    2008-02-26 20:04 . 2008-02-26 20:02 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
    2008-02-26 20:02 . 2008-02-28 18:26 <REP> d-------- C:\Program Files\ESET
    2008-02-23 11:35 . 2008-02-26 20:44 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-02-21 14:48 . 2008-02-21 14:48 36,399,697 --a------ C:\WINDOWS\VPTNFILE.117
    2008-02-21 14:48 . 2008-02-21 14:48 36,399,697 --a------ C:\WINDOWS\LPT$VPN.117
    2008-02-21 14:47 . 2008-02-21 14:48 <REP> d-------- C:\WINDOWS\AU_Temp
    2008-02-18 20:21 . 2008-02-18 20:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\vsosdk
    2008-02-18 19:39 . 2008-02-18 20:31 <REP> d-------- C:\Program Files\DVDFab Platinum 4
    2008-02-18 19:39 . 2008-02-18 19:49 <REP> d-------- C:\Documents and Settings\roger\Application Data\Vso
    2008-02-18 19:39 . 2008-02-18 19:39 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
    2008-02-18 19:39 . 2008-02-18 19:39 47,360 --a------ C:\Documents and Settings\roger\Application Data\pcouffin.sys
    2008-02-18 19:29 . 2008-02-18 19:29 <REP> d-------- C:\Program Files\Windows Defender
    2008-02-17 18:40 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\[u]0[/u]00001_.tmp
    2008-02-16 15:38 . 2008-02-16 15:38 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
    2008-02-16 15:38 . 2008-02-16 15:38 741,632 --a------ C:\WINDOWS\system32\stmrgaam.dat
    2008-02-16 15:38 . 2008-02-16 15:38 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
    2008-02-16 15:38 . 2008-02-16 15:38 120,576 --a------ C:\WINDOWS\system32\fhkzbnqy.dat
    2008-02-16 15:38 . 2008-02-28 20:00 42,752 --a------ C:\WINDOWS\system32\yohfjhha.dat
    2008-02-16 15:38 . 2008-02-19 15:54 36,608 --a------ C:\WINDOWS\system32\hdhcrsby.dat
    2008-02-16 15:38 . 2008-02-16 15:38 35,072 --a------ C:\WINDOWS\system32\wjydimfe.dat
    2008-02-16 15:38 . 19,712 C:\WINDOWS\system32\drivers\bkrccjvb.dat
    2008-02-16 15:21 . 2004-08-19 18:09 86,528 --a------ C:\WINDOWS\system32\dfrgsnapj.dll
    2008-02-07 18:27 . 2008-02-07 18:26 691,545 --a------ C:\WINDOWS\unins000.exe
    2008-02-07 18:27 . 2008-02-07 18:27 3,450 --a------ C:\WINDOWS\unins000.dat
    2008-01-31 14:32 . 2008-01-31 14:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-28 12:39 --------- d-----w C:\Program Files\Hijackthis Version Française
    2008-02-23 10:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-02-21 17:15 --------- d-----w C:\Program Files\Plato Video To 3GP Converter
    2008-02-21 13:48 86,094 ----a-w C:\WINDOWS\BPMNT.dll
    2008-02-21 13:48 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
    2008-02-20 19:17 --------- d-----w C:\Program Files\RegCleaner
    2008-02-17 09:27 132,096 ------w C:\WINDOWS\combatfs.exe
    2008-02-17 06:46 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
    2008-02-17 06:46 267,845 ----a-w C:\WINDOWS\tsc.exe
    2008-02-17 06:44 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
    2008-02-17 06:44 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
    2008-02-17 06:44 286,720 ----a-w C:\WINDOWS\PATCH.EXE
    2008-02-10 06:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
    2008-01-31 13:18 --------- d-----w C:\Documents and Settings\roger\Application Data\Lavasoft
    2008-01-29 17:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-29 17:31 --------- d-----w C:\Program Files\EA Games
    2008-01-22 18:25 --------- d-----w C:\Program Files\SlySoft
    2008-01-17 17:58 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
    2008-01-12 08:23 --------- d-----w C:\Program Files\Sony Ericsson
    2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(2)
    2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca
    2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
    2008-01-12 08:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(3)
    2008-01-12 08:08 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared(2)
    2008-01-12 08:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(4)
    2007-12-30 12:15 --------- d-----w C:\Program Files\PDFCreator
    2002-12-14 16:48 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C759E317-FF4E-4914-A71E-9C92B43F355A}]
    2004-08-19 18:09 86528 --a------ c:\windows\system32\dfrgsnapj.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "EzAgent"="C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe" [2003-02-17 12:01 114688]
    "NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 17:00 1937408]
    "H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-06-21 00:20 1211176]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-24 21:00 315392]
    "CARPService"="carpserv.exe" [2002-05-14 06:36 4608 C:\WINDOWS\system32\carpserv.exe]
    "LWBKEYBOARD"="C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe" [2002-04-02 10:52 371200]
    "IW Controlcenter"="C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE" [2002-09-26 16:14 751104]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
    "IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2003-05-16 00:41 163840]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
    "Agent"="C:\Program Files\CyberLink\PowerVCRII\Agent.exe" [2002-10-01 14:57 94208]
    "Remote_Agent"="C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe" [2002-10-01 17:01 32768]
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
    "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
    "UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
    "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-02-26 20:02 950664]
    "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "ATIPRB"=" /g" []

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09 15360]
    "MS Unix Binary"="msnq3insller.exe" []

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\Program Files\DVDIdle Pro\DVDShell.dll [2004-10-09 15:18 49152]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\oxtemyhd]
    dfrgsnapj.dll 2004-08-19 18:09 86528 C:\WINDOWS\system32\dfrgsnapj.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Notification Packages REG_MULTI_SZ :\WINDOWS\SYSTEM32\srrstr.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R0 waraurrl;waraurrl;C:\WINDOWS\system32\drivers\bkrccjvb.dat []
    R1 as6eio;as6eio;C:\WINDOWS\system32\drivers\as6eio.sys [1997-12-09 01:32]
    R1 cdrdrv;cdrdrv;C:\WINDOWS\system32\drivers\cdrdrv.sys [2002-09-18 11:04]
    R1 PVR101Disk;PVR101Disk;C:\WINDOWS\system32\drivers\PVR101Disk.sys [2006-10-04 21:02]
    R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]
    R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2002-09-26 16:46]
    R2 NwSapAgent;Agent SAP;C:\WINDOWS\System32\svchost.exe [2004-08-19 18:10]
    R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-10-02 03:17]
    R3 PhTVTune;ASUS TV7134 WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-03-12 16:52]
    S1 Asapi;ASAPI;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
    S2 ssiutiwu;StarForce Protection Environment v6Support;C:\WINDOWS\System32\svchost.exe [2004-08-19 18:10]
    S3 ms6823;IEEE802.11b Wireless USB Adapter;C:\WINDOWS\system32\DRIVERS\ms6823.sys [2003-09-15 16:10]
    S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 13:51]
    S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 13:52]
    S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 13:53]
    S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 13:54]
    S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 13:55]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ssiutiwu

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2803fffc-d543-11db-9148-000c6e06163d}]
    \Shell\AutoRun\command - J:\InstallTomTomHOME.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34571140-4af0-11dc-922a-000c6e06163d}]
    \Shell\AutoRun\command - K:\InstallTomTomHOME.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-02-29 04:01:55 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
    - C:\Program Files\Windows Defender\MpCmdRun.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-29 04:59:37
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    ATIPRB = C:\WINDOWS\system32\rundll32.exe /g?? ?P???????????D?K??????a?wP????????? ???(?L????b?w0?K???L?????????????????????{??[???????w???w@???????????????????@???????????>??w@??????????????????[@???????????????????????W??[@???@????9?w?9?w????????????????='?w???????w

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    C:\Program Files\Mightyfax\MFNTCTL.EXE
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-29 5:02:48 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-29 04:02:44
    .
    2008-02-23 18:12:48 --- E O F ---
    0
  4. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    pour le message d'erreur, on procédera à une vérifications des fichiers système !

    tout d'abord !

    Crée un nouveau document texte et nomme le CFScript.txt ( attention très important ! ) : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes en gras :

    File::

    C:\WINDOWS\system32\dfrgsnapj.dll
    C:\WINDOWS\[u]0/u00001_.tmp
    C:\WINDOWS\system32\libeay32.dll
    C:\WINDOWS\system32\stmrgaam.dat
    C:\WINDOWS\system32\libssl32.dll
    C:\WINDOWS\system32\fhkzbnqy.dat
    C:\WINDOWS\system32\yohfjhha.dat
    C:\WINDOWS\system32\hdhcrsby.dat
    C:\WINDOWS\system32\wjydimfe.dat
    C:\WINDOWS\system32\drivers\bkrccjvb.dat

    registry::

    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C759E317-FF4E-4914-A71E-9C92B43F355A}]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "MS Unix Binary"=-

    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\oxtemyhd]

    driver::

    waraurrl


    ensuite fais glisser le fichier texte sur combo.exe comme sur l'animation :
    http://img.bleepingcomputer.com/combofix/usage/rc.gif

    Dans la fenêtre qui suit, choisie l'option 1 puis valide
    Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
    A la fin du scan, un rapport va s'afficher : poste le stp ( sinon il se situe dans ici : C:\ComboFix.txt )

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bastyen
     
    Bonjour Green Day

    Pendant l'execution de combofix, l'application nircmd.cfexe a demandé des connexions internet (info zone alarm), j'ai accepté à chaque fois...
    Ai-je bien fait ???

    Le message d'erreur au démarrage est toujours là (mais tu me dis que ce n'est pas grave)

    Je suis allé voir dans system32 : le fichier dfrgsnapj.dll a disparu !!!

    Voilà le rapport combofix

    ComboFix 08-02-25.3 - roger 2008-02-29 18:02:03.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.596 [GMT 1:00]
    Endroit: C:\Documents and Settings\roger\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\roger\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\WINDOWS\[u]0/u00001_.tmp
    C:\WINDOWS\system32\dfrgsnapj.dll
    C:\WINDOWS\system32\drivers\bkrccjvb.dat
    C:\WINDOWS\system32\fhkzbnqy.dat
    C:\WINDOWS\system32\hdhcrsby.dat
    C:\WINDOWS\system32\libeay32.dll
    C:\WINDOWS\system32\libssl32.dll
    C:\WINDOWS\system32\stmrgaam.dat
    C:\WINDOWS\system32\wjydimfe.dat
    C:\WINDOWS\system32\yohfjhha.dat
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\dfrgsnapj.dll
    C:\WINDOWS\system32\drivers\bkrccjvb.dat
    C:\WINDOWS\system32\fhkzbnqy.dat
    C:\WINDOWS\system32\hdhcrsby.dat
    C:\WINDOWS\system32\libeay32.dll
    C:\WINDOWS\system32\libssl32.dll
    C:\WINDOWS\system32\stmrgaam.dat
    C:\WINDOWS\system32\wjydimfe.dat
    C:\WINDOWS\system32\yohfjhha.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_WARAURRL
    -------\waraurrl

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-28 to 2008-02-29 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-28 13:40 . 2008-02-28 13:40 <REP> d-------- C:\Program Files\Trend Micro
    2008-02-26 20:04 . 2008-02-26 20:02 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
    2008-02-26 20:04 . 2008-02-26 20:02 299,392 --a------ C:\WINDOWS\system32\imon.dll
    2008-02-26 20:04 . 2008-02-26 20:02 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
    2008-02-26 20:02 . 2008-02-28 18:26 <REP> d-------- C:\Program Files\ESET
    2008-02-23 11:35 . 2008-02-26 20:44 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-02-21 14:48 . 2008-02-21 14:48 36,399,697 --a------ C:\WINDOWS\VPTNFILE.117
    2008-02-21 14:48 . 2008-02-21 14:48 36,399,697 --a------ C:\WINDOWS\LPT$VPN.117
    2008-02-21 14:47 . 2008-02-21 14:48 <REP> d-------- C:\WINDOWS\AU_Temp
    2008-02-18 20:21 . 2008-02-18 20:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\vsosdk
    2008-02-18 19:39 . 2008-02-18 20:31 <REP> d-------- C:\Program Files\DVDFab Platinum 4
    2008-02-18 19:39 . 2008-02-18 19:49 <REP> d-------- C:\Documents and Settings\roger\Application Data\Vso
    2008-02-18 19:39 . 2008-02-18 19:39 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
    2008-02-18 19:39 . 2008-02-18 19:39 47,360 --a------ C:\Documents and Settings\roger\Application Data\pcouffin.sys
    2008-02-18 19:29 . 2008-02-18 19:29 <REP> d-------- C:\Program Files\Windows Defender
    2008-02-17 18:40 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\[u]0[/u]00001_.tmp
    2008-02-07 18:27 . 2008-02-07 18:26 691,545 --a------ C:\WINDOWS\unins000.exe
    2008-02-07 18:27 . 2008-02-07 18:27 3,450 --a------ C:\WINDOWS\unins000.dat
    2008-01-31 14:32 . 2008-01-31 14:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-28 12:39 --------- d-----w C:\Program Files\Hijackthis Version Française
    2008-02-23 10:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-02-21 17:15 --------- d-----w C:\Program Files\Plato Video To 3GP Converter
    2008-02-21 13:48 86,094 ----a-w C:\WINDOWS\BPMNT.dll
    2008-02-21 13:48 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
    2008-02-20 19:17 --------- d-----w C:\Program Files\RegCleaner
    2008-02-17 09:27 132,096 ------w C:\WINDOWS\combatfs.exe
    2008-02-17 06:46 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
    2008-02-17 06:46 267,845 ----a-w C:\WINDOWS\tsc.exe
    2008-02-17 06:44 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
    2008-02-17 06:44 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
    2008-02-17 06:44 286,720 ----a-w C:\WINDOWS\PATCH.EXE
    2008-02-10 06:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
    2008-01-31 13:18 --------- d-----w C:\Documents and Settings\roger\Application Data\Lavasoft
    2008-01-29 17:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-29 17:31 --------- d-----w C:\Program Files\EA Games
    2008-01-22 18:25 --------- d-----w C:\Program Files\SlySoft
    2008-01-17 17:58 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
    2008-01-12 08:23 --------- d-----w C:\Program Files\Sony Ericsson
    2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(2)
    2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca
    2008-01-12 08:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
    2008-01-12 08:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(3)
    2008-01-12 08:08 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared(2)
    2008-01-12 08:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca(4)
    2007-12-30 12:15 --------- d-----w C:\Program Files\PDFCreator
    2002-12-14 16:48 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "EzAgent"="C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe" [2003-02-17 12:01 114688]
    "NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 17:00 1937408]
    "H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-06-21 00:20 1211176]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-24 21:00 315392]
    "CARPService"="carpserv.exe" [2002-05-14 06:36 4608 C:\WINDOWS\system32\carpserv.exe]
    "LWBKEYBOARD"="C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe" [2002-04-02 10:52 371200]
    "IW Controlcenter"="C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE" [2002-09-26 16:14 751104]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
    "IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2003-05-16 00:41 163840]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
    "Agent"="C:\Program Files\CyberLink\PowerVCRII\Agent.exe" [2002-10-01 14:57 94208]
    "Remote_Agent"="C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe" [2002-10-01 17:01 32768]
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
    "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
    "UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
    "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-02-26 20:02 950664]
    "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "ATIPRB"=" /g" []

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09 15360]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\Program Files\DVDIdle Pro\DVDShell.dll [2004-10-09 15:18 49152]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Notification Packages REG_MULTI_SZ :\WINDOWS\SYSTEM32\srrstr.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R1 as6eio;as6eio;C:\WINDOWS\system32\drivers\as6eio.sys [1997-12-09 01:32]
    R1 cdrdrv;cdrdrv;C:\WINDOWS\system32\drivers\cdrdrv.sys [2002-09-18 11:04]
    R1 PVR101Disk;PVR101Disk;C:\WINDOWS\system32\drivers\PVR101Disk.sys [2006-10-04 21:02]
    R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]
    R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2002-09-26 16:46]
    R2 NwSapAgent;Agent SAP;C:\WINDOWS\System32\svchost.exe [2004-08-19 18:10]
    R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-10-02 03:17]
    R3 PhTVTune;ASUS TV7134 WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-03-12 16:52]
    S1 Asapi;ASAPI;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
    S2 ssiutiwu;StarForce Protection Environment v6Support;C:\WINDOWS\System32\svchost.exe [2004-08-19 18:10]
    S3 ms6823;IEEE802.11b Wireless USB Adapter;C:\WINDOWS\system32\DRIVERS\ms6823.sys [2003-09-15 16:10]
    S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 13:51]
    S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 13:52]
    S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 13:53]
    S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 13:54]
    S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 13:55]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ssiutiwu

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2803fffc-d543-11db-9148-000c6e06163d}]
    \Shell\AutoRun\command - J:\InstallTomTomHOME.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34571140-4af0-11dc-922a-000c6e06163d}]
    \Shell\AutoRun\command - K:\InstallTomTomHOME.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-02-29 17:10:40 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
    - C:\Program Files\Windows Defender\MpCmdRun.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-29 18:08:19
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    ATIPRB = C:\WINDOWS\system32\rundll32.exe /g?? ?P???????????D?K??????a?wP????????? ???(?L????b?w0?K???L?????????????????????{??[???????w???w@???????????????????@???????????>??w@??????????????????[@???????????????????????W??[@???@????9?w?9?w????????????????='?w???????w

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    C:\Program Files\Mightyfax\MFNTCTL.EXE
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-29 18:11:32 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-29 17:11:28
    ComboFix2.txt 2008-02-29 04:02:49
    .
    2008-02-23 18:12:48 --- E O F ---
    0
  7. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Re-salut

    Pendant l'execution de combofix, l'application nircmd.cfexe a demandé des connexions internet (info zone alarm), j'ai accepté à chaque fois...
    Ai-je bien fait ???


    ==> oui !

    Télécharge SDFix sur ton bureau

    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    Redémarre ton ordinateur en mode sans échec
    Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
    Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    ++
    0
  8. bastyen
     
    Bonsoir Green Day, et encore merci pour ce que tu fais, les gens comme toi mériteraient qu'on en parle (à la télé ???)

    Voilà le rapport "Report.txt"

    [b]SDFix: Version 1.149 [/b]

    Run by roger on 29/02/2008 at 20:53

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\DOCUME~1\roger\Bureau\SDFix

    [b]Checking Services [/b]:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    No Trojan Files Found

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-29 20:58:09
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\0008]
    "DeviceDesc"="Processeur AMD K7"
    "DisplayName"="AMD Athlon(tm) XP 2600+"
    "Mfg"="Advanced Micro Devices"
    "ProviderName"="Microsoft"
    "DeviceInstanceIds"=str(7):"ACPI\AUTHENTICAMD_-_X86_FAMILY_6_MODEL_8\_0\0"
    "ReinstallString"="C:\WINDOWS\System32\ReinstallBackups\0008\DriverFiles\cpu.inf"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\XP\23]
    "DisplayName"="\x3e98\23\x40d0\23"
    "DeviceDesc"="\x3e98\23\x40d0\23"
    "ProviderName"=""
    "MFG"="\x435c\x616c\x7373\"
    "ReinstallString"="C:\WINDOWS\System32\ReinstallBackups\\x5058\23\DriverFiles\.INF"
    "DeviceInstanceIds"=str(7):"cx_07448.inf"

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
    "C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
    "C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
    "C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
    "C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

    [b]Remaining Files [/b]:

    [b]Files with Hidden Attributes [/b]:

    Tue 22 Jan 2008 48 ..SH. --- "C:\WINDOWS\SEACA2FDB.tmp"
    Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    Sat 20 May 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Thu 10 May 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Sat 14 Dec 2002 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"
    Sat 20 May 2006 4,348 ...H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
    Sat 20 May 2006 20 A..H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
    Sat 20 May 2006 400 A.SH. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
    Sat 21 Apr 2007 444 ...HR --- "C:\Documents and Settings\roger\Application Data\SecuROM\UserData\securom_v7_01.bak"

    [b]Finished![/b]

    ..et le rapport "hijackthis"

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:07:24, on 29/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\system32\carpserv.exe
    C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
    C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
    C:\PROGRA~1\MI3AA1~1\wcescomm.exe
    C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    C:\Program Files\Mightyfax\MFNTCTL.EXE
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2internet.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
    O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g
    O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: MightyFAX Controller.lnk = C:\Program Files\Mightyfax\MFNTCTL.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  9. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut :-)

    CCM passe déjà à la radio !

    1/ # Télécharge RavAntivirus d'Evosla :
    http://ww25.evosla.com/compteur.php?soft=rav_antivirus

    # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
    # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
    # Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
    # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
    # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
    # Retire tes disques amovibles et redémarrez votre ordinateur.
    # Poste le rapport, si infection!

    2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

    Double-clique sur l’icône.
    Les icônes vont disparaître. C’est normal.
    Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
    Redémarre ensuite le PC.

    @+
    0
  10. bastyen
     
    Bonjour GreenDay,

    J'ai fait tout bien (je pense)
    pour RAV : j'ai attendu un moment, pas de rapport (votre ordinateur est sain)

    Pour flash_disinfector : pas de rapport non plus

    Suis guéri ???

    Cependant, j'ai lance Nod32 qui a trouvé dfrgsnap.dll dans un fichier compressé, faut il le supprimer ?

    j'ai toujours le mess d'erreur au démarrage :
    application launch.exe composant introuvable
    telecalib_logging.dll introuvable
    la réinstallation de l'applicationpeut corriger le problème

    Merci
    Merci
    Merci
    0
  11. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Re-salut

    ça dépend où il l'a trouvé, dans la quarantaine ?!

    j'ai toujours le mess d'erreur au démarrage :
    application launch.exe composant introuvable
    telecalib_logging.dll introuvable
    la réinstallation de l'applicationpeut corriger le problème


    Fais ceci :

    http://www.commentcamarche.net/faq/sujet 3713 fichier corrompu ou manquant

    @+

    ;-))
    0
    1. bastyen
       
      Bonsoir GreenDay,

      J'ai supprimé les fichiers zippés contenant les fichiers suspects dans la zone "quarantine"
      Il semble que je n'ai plus rien, les point de restaurations se créent normalement
      Encore merci pour tout, je suppose que tu es déja occupée avec quelqu'un d'autre qui est dans la m....

      Merci et bravo à toi et à CCM.
      0
  12. bastyen
     
    Rebonjour Green Day

    J'ai fait la procédure avec sfc /scannow mais au redémarrage j'ai toujours le mess d'erreur
    le système m'a demandé d'insérer un cd de XP professionnal alors que j'ai une version familiale avec SP2
    J'ai un cd de XP professionnal (PCde mon épouse), je l'ai mis, il l'a pris
    Il m'a ensuite demandé le cd de XP familial, je l'ai mis, il l'a pris
    Bizarre

    La version que j'ai est (je pense) une OEM, avec CD minima

    Pour le virus, il est zippé dans
    C:\QooBox\Quarantine\catchme2008-02-29_ 45900.28.zip »ZIP »dfrgsnapj.dll - probably a variant of Win32/Rootkit.Agent.QQ trojan

    je le vire ???

    Voilà, je suis sûrement un gros nul, mais je préfère attendre ton avis avant de faire quoi que ce soit

    A toutt...
    0
  13. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    toujours cette erreur au démarrage ?? poste un nouveau hijack stp

    ++
    0
  14. bastyen
     
    Bonsoir GreenDay,

    Non, je n'ai plus l'erreur au démarrage. J'ai trouvé l'application qui réclamait cette DLL et je l'ai désinstallée. C'était le logiciel de communication de mon téléphone portable vers le PC. (sonyericsson suite)
    En la désinstallant j'ai d'ailleurs viré mon réseau (il y a 2 PC réliés via un swictch vers ma freebox)
    J'ai scanné le 2ème PC avec NOD32 qui n'a rien vu et qui apparemment n'a pas de problème.

    Juste une chose, l'éxécution automatique des cd/dvd ne fonctionnne plus, même en l'activant dans les propriétés du périphérique, ce n'est pas très grave mais bon ...

    Voici le log hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:08:38, on 04/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\system32\carpserv.exe
    C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
    C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
    C:\PROGRA~1\MI3AA1~1\wcescomm.exe
    C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    C:\Program Files\Mightyfax\MFNTCTL.EXE
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2internet.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
    O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g
    O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: MightyFAX Controller.lnk = C:\Program Files\Mightyfax\MFNTCTL.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  15. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    ok, très bien, c'est tout bon !

    lire ceci à l'occasion : http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet

    @+
    0
  16. bastyen
     
    Bonjour GreenDay,

    Bon, c'est rassurant de lire ça. Sans vouloir abuser, tu n'aurais pas une idée pour le pb d'éxécution automatique des cd/dvd qui ne fonctionne plus ?
    En la réactivant dans les propriétés, les changements ne sont pas pris en compte...
    C'est pareil pour le lecteur de carte SD.

    Merci beaucoup en tout cas
    0
  17. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    je n'y connais pas grand chose en materiel :s

    as tu regardé au niveau des pilotes ??

    ++
    0
    1. bastyen
       
      Bonsoir GreenDay,

      Je vais essayer de me débrouiller...

      Merci pour tout
      Je ne sais pas comment, mais si un jour je peux renvoyer l'ascenseur, ce sera avec plaisir

      Te voilà ma meilleure amie désormais
      0
  18. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Pas d'quoi ! Avec plaisir ! ;-))

    n'hésite pas à poster dans le forum matériel !

    @+
    0
  19. bastyen
     
    Bonsoir GreenDay,

    Pas bien compris ton mess :

    ce poste commence à être un peu lourd, merci de créer ton propre poste ! ;-)

    C'est pour moi ???

    A+ (et merci encore)
    0
  20. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Bastyen

    non, nous on a fini !

    Je m'adressais à bluehorse ( cf poste 121 )

    @+

    ;-)
    0
Précédent
  • 1
  • 2
  • 3