Trojans Drviecleaner et Virtumonde

rose -  
 Utilisateur anonyme -
Pour Philo:

Logfile of HijackThis v1.99.1
Scan saved at 06:32:43, on 06/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\dragdiag.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe
E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\wuauclt.exe
E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrobat.exe
C:\WINDOWS\system32\winmds.exe
C:\WINDOWS\system32\winmds.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\ADOBE CS3 PREMIUM\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll
O2 - BHO: (no name) - {88b925ab-729f-4fb4-b4ed-51105d987fde} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp54.tmp.dll
O3 - Toolbar: &PixVue - {B28B4479-D9C2-41D1-B74D-74A1827037CD} - C:\Program Files\PixVue.Com\PixVue\bin\PixVue.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\ADOBE CS3 PREMIUM\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [dragdiag] C:\WINDOWS\system32\dragdiag.exe /icon
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\nnmmmj.dll",forkonce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\MFClpr.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\MFClpr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://components.viewpoint.com/...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - http://www.photodex.com/pxplay.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\vtsqnmn.dll
O20 - Winlogon Notify: MFClpr - C:\WINDOWS\SYSTEM32\MFClpr.dll
O20 - Winlogon Notify: PixVue - C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PixVue - PixVue.Com - C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Configuration: Windows XP
Internet Explorer 6.0

33 réponses

  • 1
  • 2
Résumé de la discussion

Diagnostic : un fichier log HijackThis sur Windows XP SP2 signale une accumulation d'entrées suspectes dans les autoruns, les BHO et les pilotes, suggérant une infection potentielle.
Plusieurs éléments de réponse proposent des outils de nettoyage comme ComboFix, CCleaner et Spybot, avec des rapports détaillant les fichiers et clés registries identifiés comme suspects.
Des analyses complémentaires évoquent Navifix et des rapports de désinfection qui accompagnent les diagnostic et les actions, et des rapports de détections Trojan/Vundo apparaissent dans les échanges.
En parallèle, plusieurs messages précisent l'envoi des rapports pour analyse ultérieure et la suite des étapes de nettoyage, sans conclure formellement à l'état final du fil.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    drive cleaner:

    lance rogue remover

    https://www.01net.com/telecharger/

    __________________

    smit fraud fix (colle le rapport)

    http://telechargement.zebulon.fr/smitfraudfix.html

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général)

    3/ puis refaire comme en 2/ mais selectionne l'option 2 et appuyer sur entrée pour commencer la desinfection. lorsque le programme demande si tu veut nettoyer le registre metsoui en tapant 0 et entrée

    ____________________

    pour vundo:

    scan avec vundo

    Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

    Double cliquez VundoFix.exe pour l'exécuter.
    Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
    Une fois le scan fini, cliquez sur le bouton Remove Vundo.
    Vous recevrez un avertissement vous demandant si vous voulez effacer ces
    fichiers répondez en cliquant sur YES
    Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
    enlève Vundo.

    Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
    OK.

    puis :

    virtumondebegone en mode sans echec (demarrer l'ordi en appuyant plusieurs fois sur F8 )

    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    puis Symantec Vundo Remove Tool en mode sans echec

    https://www.broadcom.com/support/security-center

    et aussi en mode sans echec:

    https://www.broadcom.com/support/security-center

    ________________

    combofix (colle le rapport)

    http://mickael.barroux.free.fr/securite/combofix.php

    utilise aussi pour supprimer tes traces

    CCLEANER: (lance un nettoyage et répare erreurs) sans la barre yahoo

    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

    __________________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    scan en ligne firefox

    https://www.trendmicro.com/fr_fr/business.html

    désactive la restauration système pour purger les virus qui seraient dedans (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)
    puis reactive là

    ______________

    recolle hijackthis et dis tes problemes
    0
    1. rose972 Messages postés 27 Statut Membre
       
      Bonsoir et Merci de ton aide jlpjlp,

      J'ai fait (presque) tout ce que tu as inscrit dans le premier message.
      Je viens de terminer Combo Fix.

      C'est depuis hier soir que j'ai le rapport de Spybot avec les trojans.
      Avant hier soir, Spybot me disait "Félicitations" Rien n'a été trouvé.

      Voici le rapport de Combo Fix :

      ________________________________________________


      ComboFix 07-08-04.3 - "ARH" 2007-08-06 12:15:43.1 [GMT -4:00] - NTFS
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai


      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


      C:\DOCUME~1\ARH\APPLIC~1\tmp44.tmp.exe
      C:\DOCUME~1\ARH\APPLIC~1\tmp54.tmp.exe
      C:\WINDOWS\system32\dn58dcb8c8.dat
      C:\WINDOWS\system32\MFClpr.dll
      C:\WINDOWS\system32\tmp2F.tmp.dll
      C:\WINDOWS\system32\tmp46.tmp.dll
      C:\WINDOWS\system32\tmp54.tmp.dll
      C:\WINDOWS\system32\tmpAAB.tmp.dll


      ((((((((((((((((((((((((( Files Created from 2007-07-06 to 2007-08-06 )))))))))))))))))))))))))))))))


      2007-08-06 12:13 51,200 --a------ C:\WINDOWS\nircmd.exe
      2007-08-06 09:08 <REP> d-------- C:\VundoFix Backups
      2007-08-06 08:43 786,432 --ah----- C:\DOCUME~1\ADMINI~1.ARH\NTUSER.DAT
      2007-08-06 08:43 <REP> dr------- C:\DOCUME~1\ADMINI~1.ARH\Menu D‚marrer
      2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\Voisinage r‚seau
      2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\Voisinage d'impression
      2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\ModŠles
      2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Mes documents
      2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Favoris
      2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Bureau
      2007-08-06 08:32 3,368 --a------ C:\WINDOWS\system32\tmp.reg
      2007-08-06 07:57 <REP> d-------- C:\Program Files\RogueRemover
      2007-08-06 06:31 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
      2007-08-06 05:20 131,382 --a------ C:\WINDOWS\nnmmmj.dll
      2007-08-06 04:15 <REP> d-------- C:\Program Files\ADSL Autoconnect
      2007-08-05 18:21 13,380 --a------ C:\WINDOWS\system32\ddccdef.dll
      2007-08-05 15:50 13,380 --a------ C:\WINDOWS\system32\vtsqnmn.dll
      2007-08-05 14:39 25,664 --a------ C:\WINDOWS\system32\iB0M3oar.exe
      2007-08-04 00:03 84,992 --a------ C:\WINDOWS\WebAssist.dll
      2007-08-03 20:48 15,950 --a------ C:\WINDOWS\system32\winmds.exe
      2007-08-02 21:29 <REP> d-------- C:\NIKON
      2007-08-02 15:38 <REP> d-------- C:\Program Files\BitTorrent
      2007-08-02 15:38 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\BitTorrent
      2007-07-31 20:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
      2007-07-31 19:43 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\ALM
      2007-07-31 19:16 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll
      2007-07-31 19:16 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe
      2007-07-31 19:04 <REP> d-------- C:\Program Files\Bonjour
      2007-07-31 18:49 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
      2007-07-19 04:52 <REP> d-------- C:\WINDOWS\Zoomify
      2007-07-19 04:32 <REP> d-------- C:\Program Files\Viewpoint
      2007-07-19 04:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
      2007-07-16 01:20 <REP> d-------- C:\Program Files\Fichiers communs\PACE Anti-Piracy
      2007-07-16 01:20 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\PACE Anti-Piracy
      2007-07-16 01:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PACE Anti-Piracy
      2007-07-15 19:52 <REP> d-------- C:\Program Files\DxO Labs
      2007-07-14 22:14 327,168 --a------ C:\WINDOWS\IsUn040c.exe
      2007-07-11 16:53 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\dvdcss


      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

      2007-08-06 08:55 --------- d-------- C:\Program Files\Spamihilator
      2007-08-05 00:05 --------- d-------- C:\Program Files\Fichiers communs\Ahead
      2007-08-04 07:22 --------- d-------- C:\Program Files\Vertical Moon
      2007-08-04 07:21 --------- d-------- C:\Program Files\CamStudio
      2007-08-03 18:56 --------- d-------- C:\Program Files\eMule
      2007-07-27 23:59 --------- d-------- C:\Program Files\Apophysis 2.0
      2007-07-09 07:39 --------- d-------- C:\Program Files\Gertrudis Pro
      2007-07-07 20:33 --------- d-------- C:\Program Files\CDex_150
      2007-06-24 09:56 --------- d-------- C:\DOCUME~1\ARH\APPLIC~1\Artweaver
      2007-06-24 09:54 --------- d-------- C:\Program Files\Artweaver 0.4
      2007-05-06 16:10 446976 --a------ C:\WINDOWS\system32\ShellMPD.dll
      --------- C:\Program Files\Hijackthis Version Française


      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


      *Note* empty entries & legit default entries are not shown

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85589B5D-D53D-4237-A677-46B82EA275F3}]
      2007-08-04 00:03 84992 --a------ C:\WINDOWS\WebAssist.dll

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{88b925ab-729f-4fb4-b4ed-51105d987fde}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-05-05 22:34]
      "nwiz"="nwiz.exe" [2004-05-05 22:34 C:\WINDOWS\system32\nwiz.exe]
      "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-05-05 22:34]
      "dragdiag"="C:\WINDOWS\system32\dragdiag.exe" [2001-10-17 04:51]
      "OfficeGuard RegChecker"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" [2001-09-12 15:33]
      "AVPCC"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" [2003-05-27 18:21]
      "IntelliType"="C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 00:41]
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 15:57]
      "TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-25 22:48]
      "Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2005-10-25 22:48]
      "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe" [2006-09-14 07:55]
      "Acrobat Assistant 8.0"="E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24]
      "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 18:54]
      "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-06 23:26]
      "Spamihilator"="C:\Program Files\Spamihilator\spamihilator.exe" [2007-01-24 09:49]

      C:\Documents and Settings\ARH\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
      MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2007-05-06 16:10:10]

      C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
      Adobe Reader Synchronizer.lnk - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 00:01:50]
      Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2007-07-31 19:30:38]
      Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20]
      NkbMonitor.exe.lnk - C:\Program Files\Nikon\PictureProject\NkbMonitor.exe [2006-11-15 04:15:18]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PixVue]
      C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.DLL 2005-09-22 23:07 45056 C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "appinit_dlls"=c:\windows\system32\vtsqnmn.dll

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
      "Authentication Packages"= msv1_0 relog_ap

      R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
      R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
      R0 TPkd;TPkd;C:\WINDOWS\system32\drivers\TPkd.sys
      R2 PixVue;PixVue;"C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe"
      R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
      R3 alcan5wn;Alcatel SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\system32\DRIVERS\alcan5wn.sys
      R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
      S2 AVPCC;AVP Control Centre Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service
      S2 KAVMonitorService;KAV Monitor Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service
      S3 ADSLAutoconnect;ADSLAutoconnect;"C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z


      Contents of the 'Scheduled Tasks' folder
      2007-08-04 11:57:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

      **************************************************************************

      catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2007-08-06 12:22:54
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      Completion time: 2007-08-06 12:26:27 - machine was rebooted
      C:\ComboFix-quarantined-files.txt ... 2007-08-06 12:25

      --- E O F ---
      ________________________________________________

      Je passe le PC à Ccleaner
      Ensuite, à Bit Defender
      Puis je t'envoie le rapport de Bit Defender comme tu l'as demandé.

      Merci encore de ton aide
      rose972 (membre de CCM)
      0
  2. Utilisateur anonyme
     
    bien, je viens de trouver le message...
    via le mail que tu as envoyé. ;-)
    --------------------
    termines ces processus: (inutiles pour le moment)
    ---------------------------------------------------
    C:\WINDOWS\system32\winmds.exe
    C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
    C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\dragdiag.exe
    C:\Program Files\QuickTime\qttask
    C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe
    E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrobat.exe
    ---------------------
    cocher + fixer ces lignes:
    comment faire ?
    https://leblogdeclaude.blogspot.com/2007/05/comment-utiliser-hijackthis-fixer.html
    ----------------------------------------------------------

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll
    O2 - BHO: (no name) - {88b925ab-729f-4fb4-b4ed-51105d987fde} - (no file)
    Inconnu
    O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp54.tmp.dll
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    Inconnu
    O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\nnmmmj.dll",forkonce
    O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - http://www.photodex.com/pxplay.cab
    Inconnu
    O20 - AppInit_DLLs: c:\windows\system32\vtsqnmn.dll
    O20 - Winlogon Notify: MFClpr - C:\WINDOWS\SYSTEM32\MFClpr.dll
    --------------------------------------------
    ensuite fais ceci:
    https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
    copie le rapport

    0
    1. rose972 Messages postés 27 Statut Membre
       
      Bonsoir Phil,

      Il y a des lignes à fixer qui ne figurent pas dans le rapport :

      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

      O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\nnmmmj.dll",forkonce

      O20 - Winlogon Notify: MFClpr - C:\WINDOWS\SYSTEM32\MFClpr.dll

      J'ai donc fixé les 8 que je voyais, sur les 11 demandés.

      ____________________________________________________________________________

      Voici le rapport
      __________________________________________________________________________

      Zut ! j'ai pas de rapport à montrer.
      Quand j'ai demandé de fixer les 8, j'ai eu un message d'erreur et une invite me demandant de poursuivre le scan, que Hijackthis allait enlever ou corriger les erreurs et puis ....... page blanche !!!!

      Que faut-il faire ?

      A+
      0
    2. rose972 Messages postés 27 Statut Membre
       
      Bonsoir Philo,

      Voilà le résultat pour le Scan avec Navifix
      _________________________________________________________________

      Search Navipromo version 2.0.5 commencé le 06/08/2007 à 15:26:25,81

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Poster ce rapport sur le forum pour le faire analyser !!!
      !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

      Fix lancé depuis C:\Program Files\navilog1
      Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

      Executé en mode normal

      *** Recherche Programmes installes ***




      *** Recherche dossiers dans C:\WINDOWS ***




      *** Recherche dossiers dans C:\Program Files ***




      *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




      *** Recherche dossiers dans C:\Documents and Settings\ARH\Application Data ***



      *** Recherche avec BlackLight Engine/F-secure ***
      BlackLight Engine est un produit de F-secure, pour + d'infos :
      https://www.f-secure.com/en


      F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
      ======================================

      Copyright 2005-2006 F-Secure Corporation. All rights reserved.
      This is a beta version. It will expire on 1st of October, 2007.
      Version information: 2.2.1064.

      [+] Started on 08/06/07 at 15:26:33.
      [+] Initializing ...
      [+] Starting scan, press Ctrl-C to abort.
      [+] Scanning for hidden items ..............................................................
      [+] Scan complete.
      [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
      [+] Exited on 08/06/07 at 15:32:41 (return code = 0).


      *** Recherche fichiers ***




      *** Recherche cles registre ***


      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



      Recherche Clé Magic Control



      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche fichiers connus:


      2)Recherche Heuristique :
      *
      **
      ***
      ****
      *****
      ******
      *******
      ********

      3)Recherche Certificats :


      *** Analyse Terminé le 06/08/2007 à 15:33:38,71 ***
      ________________________________________________________________________

      J'attends la suite de la procédure.

      Merci de ton aide en tous cas :-)
      0
  3. Utilisateur anonyme
     
    bien, rapport clean
    fais ceci:
    https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html
    poste le rapport
    0
    1. rose972 Messages postés 27 Statut Membre
       
      Bonsoir Philo,

      Le scan avec VundoFix.exe n'a rien donné.
      Je suis en train de faire un scan avec Symantec Trojan Vundo B removal.
      Rien n'a encore été trouvé, mais tandis que Symantec scannait le Dossier Application Data, Kaspersky a couiné et a révélé la présence de :
      tmp1C7.tmp.exe
      et du Trojan.Win32.Agent.aoy (dans Application Data).
      Kaspersky dit avoir supprimé ce trojan (mais bon, va savoir si on peut lui faire confiance).

      J'ai toujours les fenêtres intempestives de Drivecleaner et j'ai dû fermer "sauvagement" le PC en plein scan de BitDefender car tout semblait planté durant un bon moment et la barre des tâches avait disparu.

      Encore merci pour ton aide, mais il se fait tard, pour toi ;-)

      A+
      0
    2. rose972 Messages postés 27 Statut Membre
       
      Bonsoir Philo,

      Je viens de regarder dans Application Data, l'application tmp1C7.tmp.exe que Kaspersky avait signalée n'est plus, mais il y avait un autre exe

      tmp1C8.tmp.exe

      Je l'ai viré (shift + suppr) mais bientôt, j'aurai sans doute un tmp1C9.tmp.exe !!!!

      Merci encore de ton aide précieuse.

      Bonne nuit :-)

      A+
      0
    3. rose972 Messages postés 27 Statut Membre
       
      Bonjour,
      Toujours pas résolu, ces problèmes de trojans.
      Au contraire, j'ai l'impression que ça a empiré.
      Faut-il passer par un formatage ?
      Merci de votre aide et Bonne journée

      __________________________________________________________

      Je place un autre rapport HijackThis :

      _______________________________________________________

      Logfile of HijackThis v1.99.1
      Scan saved at 04:45:32, on 07/08/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
      C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
      C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\dragdiag.exe
      C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
      C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
      C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
      C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe
      E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Spamihilator\spamihilator.exe
      C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
      C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Outlook Express\msimn.exe
      C:\WINDOWS\system32\qwerty12.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINDOWS\explorer.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\ADOBE CS3 PREMIUM\/Adobe Contribute CS3/contributeieplugin.dll
      O2 - BHO: (no name) - {2f0703e2-0bd8-42bf-9cea-ff76de6ed387} - C:\WINDOWS\system32\audnfg.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
      O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
      O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp138E.tmp.dll
      O3 - Toolbar: &PixVue - {B28B4479-D9C2-41D1-B74D-74A1827037CD} - C:\Program Files\PixVue.Com\PixVue\bin\PixVue.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
      O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
      O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\ADOBE CS3 PREMIUM\/Adobe Contribute CS3/contributeieplugin.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [dragdiag] C:\WINDOWS\system32\dragdiag.exe /icon
      O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
      O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
      O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
      O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
      O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe"
      O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\ljkhhg.dll",forkonce
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
      O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
      O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
      O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
      O8 - Extra context menu item: Ajouter au fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
      O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\audnfg.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\audnfg.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://components.viewpoint.com/...
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9F2DA946-0786-42BD-8CC5-1B4856DCCB7A}: NameServer = 80.10.246.130 80.10.246.3
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - AppInit_DLLs: c:\windows\system32\vtsqnmn.dll
      O20 - Winlogon Notify: audnfg - C:\WINDOWS\SYSTEM32\audnfg.dll
      O20 - Winlogon Notify: PixVue - C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.DLL
      O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
      O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
      O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
      O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe
      O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PixVue - PixVue.Com - C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
      O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

      0
  4. Utilisateur anonyme
     
    ok,
    fais ceci:
    http://leblogdeclaude.blogspot.com/2007/07/utilisation-de-combofix.html
    poste le rapport
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. rose972 Messages postés 27 Statut Membre
     
    re bonjour Philo et merci :-)

    Voici le rapport :

    ____________________________________________________________________

    ComboFix 07-08-04.3 - "ARH" 2007-08-07 6:51:31.1 [GMT -4:00] - NTFS [SAFE MODE]
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai
    Command switches used :: /wow

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\DOCUME~1\ARH\APPLIC~1\tmp138C.tmp.exe
    C:\DOCUME~1\ARH\APPLIC~1\tmp138D.tmp.exe
    C:\DOCUME~1\ARH\APPLIC~1\tmp138E.tmp.exe
    C:\DOCUME~1\ARH\APPLIC~1\tmp5.tmp.exe
    C:\WINDOWS\system32\audnfg.dll
    C:\WINDOWS\system32\awvts.exe
    C:\WINDOWS\system32\dn58dcb8c8.dat
    C:\WINDOWS\system32\qwerty12.exe
    C:\WINDOWS\system32\tmp138E.tmp.dll
    C:\WINDOWS\system32\tmp1C8.tmp.dll

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    -------\LEGACY_DOMAINSERVICE
    -------\DomainService

    ((((((((((((((((((((((((( Files Created from 2007-07-07 to 2007-08-07 )))))))))))))))))))))))))))))))

    2007-08-07 03:51 131,419 --a------ C:\WINDOWS\ljkhhg.dll
    2007-08-06 18:25 <REP> d-------- C:\Program Files\RegCleaner
    2007-08-06 15:24 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-08-06 15:23 <REP> d-------- C:\Program Files\Navilog1
    2007-08-06 13:24 131,421 --a------ C:\WINDOWS\vtrqpn.dll
    2007-08-06 13:13 <REP> d-------- C:\WINDOWS\BDOSCAN8
    2007-08-06 12:13 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-08-06 09:08 <REP> d-------- C:\VundoFix Backups
    2007-08-06 08:43 786,432 --ah----- C:\DOCUME~1\ADMINI~1.ARH\NTUSER.DAT
    2007-08-06 08:43 <REP> dr------- C:\DOCUME~1\ADMINI~1.ARH\Menu D‚marrer
    2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\Voisinage r‚seau
    2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\Voisinage d'impression
    2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\ModŠles
    2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Mes documents
    2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Favoris
    2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Bureau
    2007-08-06 08:32 3,368 --a------ C:\WINDOWS\system32\tmp.reg
    2007-08-06 07:57 <REP> d-------- C:\Program Files\RogueRemover
    2007-08-06 06:31 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
    2007-08-06 05:20 131,382 --a------ C:\WINDOWS\nnmmmj.dll
    2007-08-06 04:15 <REP> d-------- C:\Program Files\ADSL Autoconnect
    2007-08-05 15:50 13,380 --a------ C:\WINDOWS\system32\vtsqnmn.dll
    2007-08-04 00:03 84,992 --a------ C:\WINDOWS\WebAssist.dll
    2007-08-02 21:29 <REP> d-------- C:\NIKON
    2007-08-02 15:38 <REP> d-------- C:\Program Files\BitTorrent
    2007-08-02 15:38 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\BitTorrent
    2007-07-31 20:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
    2007-07-31 19:43 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\ALM
    2007-07-31 19:16 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll
    2007-07-31 19:16 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe
    2007-07-31 19:04 <REP> d-------- C:\Program Files\Bonjour
    2007-07-31 18:49 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
    2007-07-19 04:52 <REP> d-------- C:\WINDOWS\Zoomify
    2007-07-19 04:32 <REP> d-------- C:\Program Files\Viewpoint
    2007-07-19 04:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
    2007-07-16 01:20 <REP> d-------- C:\Program Files\Fichiers communs\PACE Anti-Piracy
    2007-07-16 01:20 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\PACE Anti-Piracy
    2007-07-16 01:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PACE Anti-Piracy
    2007-07-15 19:52 <REP> d-------- C:\Program Files\DxO Labs
    2007-07-14 22:14 327,168 --a------ C:\WINDOWS\IsUn040c.exe
    2007-07-11 16:53 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\dvdcss

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-07 06:45 --------- d-------- C:\Program Files\Spamihilator
    2007-08-07 04:01 72126 --a------ C:\WINDOWS\system32\perfc00C.dat
    2007-08-07 04:01 460986 --a------ C:\WINDOWS\system32\perfh00C.dat
    2007-08-06 15:00 --------- d-------- C:\Program Files\Photodex Presenter
    2007-08-05 00:05 --------- d-------- C:\Program Files\Fichiers communs\Ahead
    2007-08-04 07:22 --------- d-------- C:\Program Files\Vertical Moon
    2007-08-04 07:21 --------- d-------- C:\Program Files\CamStudio
    2007-08-03 18:56 --------- d-------- C:\Program Files\eMule
    2007-07-27 23:59 --------- d-------- C:\Program Files\Apophysis 2.0
    2007-07-09 07:39 --------- d-------- C:\Program Files\Gertrudis Pro
    2007-07-07 20:33 --------- d-------- C:\Program Files\CDex_150
    2007-06-24 09:56 --------- d-------- C:\DOCUME~1\ARH\APPLIC~1\Artweaver
    2007-06-24 09:54 --------- d-------- C:\Program Files\Artweaver 0.4
    --------- C:\Program Files\Hijackthis Version Française

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-05-05 22:34]
    "nwiz"="nwiz.exe" [2004-05-05 22:34 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-05-05 22:34]
    "dragdiag"="C:\WINDOWS\system32\dragdiag.exe" [2001-10-17 04:51]
    "OfficeGuard RegChecker"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" [2001-09-12 15:33]
    "AVPCC"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" [2003-05-27 18:21]
    "IntelliType"="C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 00:41]
    "TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-25 22:48]
    "Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2005-10-25 22:48]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe" [2006-09-14 07:55]
    "Acrobat Assistant 8.0"="E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24]
    "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 18:54]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-06 23:26]
    "Spamihilator"="C:\Program Files\Spamihilator\spamihilator.exe" [2007-01-24 09:49]

    C:\Documents and Settings\ARH\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
    MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2007-05-06 16:10:10]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
    Adobe Reader Synchronizer.lnk - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 00:01:50]
    Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2007-07-31 19:30:38]
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20]
    NkbMonitor.exe.lnk - C:\Program Files\Nikon\PictureProject\NkbMonitor.exe [2006-11-15 04:15:18]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PixVue]
    C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.DLL 2005-09-22 23:07 45056 C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "appinit_dlls"=c:\windows\system32\vtsqnmn.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"= msv1_0 relog_ap

    R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
    R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
    R0 TPkd;TPkd;C:\WINDOWS\system32\drivers\TPkd.sys
    R2 PixVue;PixVue;"C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe"
    R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
    R3 alcan5wn;Alcatel SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\system32\DRIVERS\alcan5wn.sys
    R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
    S2 AVPCC;AVP Control Centre Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service
    S2 KAVMonitorService;KAV Monitor Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service
    S3 ADSLAutoconnect;ADSLAutoconnect;"C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z

    Contents of the 'Scheduled Tasks' folder
    2007-08-04 11:57:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-07 06:59:02
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-08-07 7:02:28 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-08-07 07:01
    C:\ComboFix2.txt ... 2007-08-06 12:26

    --- E O F ---
    ____________________________________________________________________________________

    A+
    0
  7. rose972 Messages postés 27 Statut Membre
     
    Ah ! J'avais oublié de joindre le rapport de quarantaine de Combofix :
    ___________________________________________________________

    [code]
    2007-08-05 15:51 92730 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\MFClpr.dll.vir
    2007-08-06 12:21 90637 --a------ C:\Qoobox\Quarantine\catchme2007-08-06_122251.32.zip
    2007-08-06 13:22 105428 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\awvts.exe.vir
    2007-08-06 13:23 92702 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\audnfg.dll.vir
    2007-08-06 14:18 63525 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\tmp1C8.tmp.dll.vir
    2007-08-06 20:32 124774 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\ARH\APPLIC~1\tmp5.tmp.exe.vir
    2007-08-07 03:51 124743 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\ARH\APPLIC~1\tmp138C.tmp.exe.vir
    2007-08-07 03:51 55235 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\qwerty12.exe.vir
    2007-08-07 03:51 58798 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\ARH\APPLIC~1\tmp138D.tmp.exe.vir
    2007-08-07 03:52 63532 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\tmp138E.tmp.dll.vir
    2007-08-07 03:52 78517 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\ARH\APPLIC~1\tmp138E.tmp.exe.vir
    2007-08-07 06:56 120098 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\dn58dcb8c8.dat.vir
    2007-08-07 06:56 2956 --a------ C:\Qoobox\Quarantine\Registry_backups\services_DomainService.reg.cf
    2007-08-07 06:56 308 --a------ C:\Qoobox\Quarantine\catchme.log
    2007-08-07 06:56 846 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_DOMAINSERVICE.reg.cf
    2007-08-07 06:56 90600 --a------ C:\Qoobox\Quarantine\catchme2007-08-07_ 65900.09.zip

    Structure du dossier
    Le num‚ro de s‚rie du volume est 58DC-B8C8
    C:\QOOBOX
    \---Quarantine
    | catchme.log
    | catchme2007-08-06_122251.32.zip
    | catchme2007-08-07_ 65900.09.zip
    |
    +---C
    | +---DOCUME~1
    | | \---ARH
    | | \---APPLIC~1
    | | tmp138C.tmp.exe.vir
    | | tmp138D.tmp.exe.vir
    | | tmp138E.tmp.exe.vir
    | | tmp5.tmp.exe.vir
    | |
    | \---WINDOWS
    | \---system32
    | audnfg.dll.vir
    | awvts.exe.vir
    | dn58dcb8c8.dat.vir
    | MFClpr.dll.vir
    | qwerty12.exe.vir
    | tmp138E.tmp.dll.vir
    | tmp1C8.tmp.dll.vir
    |
    \---Registry_backups
    LEGACY_DOMAINSERVICE.reg.cf
    services_DomainService.reg.cf

    [/code]
    ________________________________________________________

    Merci et A + :-)
    0
  8. rose972 Messages postés 27 Statut Membre
     
    Salut,

    Je rajoute la présence aussi d'un Trojan-downloader.Win32.ConHook.bg :-(

    A+ et Merci
    0
  9. rose972 Messages postés 27 Statut Membre
     
    Merci Philo,

    Mais j'ai l'impression que ce Trojan-downloader.Win32.ConHook génère des fichiers.
    J'ai constaté que les paramètres de mon Navigateur (IE) avaient changé et que lex niveaux de sécurité étaient au plus bas.
    Or, je n'ai rien modifié et je suis la seule à utiliser le PC.
    Entre ce que Combofix avait bloqué et maintenant, il y avait d'autres exe dans l'Application Data. :-(
    Le passage à Spybot n'était pas beau !
    Encore plus laid qu'hier soir :-(

    _____________________________________________________________

    Voici le rapport demandé :

    _________________________________________________________________

    SmitFraudFix v2.209

    Rapport fait à 10:59:46,10, 07/08/2007
    Executé à partir de C:\Documents and Settings\ARH\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
    C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\dragdiag.exe
    C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
    C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    C:\WINDOWS\system32\wscntfy.exe
    E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Spamihilator\spamihilator.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrobat.exe
    C:\WINDOWS\system32\qwerty12.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ARH

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ARH\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ARH\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="c:\\windows\\system32\\vtsqnmn.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: WAN (PPP/SLIP) Interface
    DNS Server Search Order: 80.10.246.130
    DNS Server Search Order: 80.10.246.3

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{9F2DA946-0786-42BD-8CC5-1B4856DCCB7A}: NameServer=80.10.246.130 80.10.246.3
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{9F2DA946-0786-42BD-8CC5-1B4856DCCB7A}: NameServer=80.10.246.130 80.10.246.3

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    ____________________________________________________

    Merci Philo et A+ :-)
    0
  10. rose972 Messages postés 27 Statut Membre
     
    Merci Philo,
    Je le fais de suite :-)
    A+
    0
  11. rose972 Messages postés 27 Statut Membre
     
    Voici ce que l'option 2 de Smitfraud a donné :

    ________________________________________________________________________

    SmitFraudFix v2.209

    Rapport fait à 14:49:50,46, 07/08/2007
    Executé à partir de C:\Documents and Settings\ARH\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    ________________________________________________________________

    A+ :-)
    0
  12. Utilisateur anonyme
     
    Bien, j'attends de voir si tu as un Rootkit de détecté...
    0
  13. rose972 Messages postés 27 Statut Membre
     
    Philo ça n'a trouvé aucun Rootkit !
    C'est vraiment bizarre (?????!!!!!!)
    0
  14. rose972 Messages postés 27 Statut Membre
     
    ok, j'ai lancé un scan avec Ashampoo qui a déjà trouvé 25 objets infectés !!!!
    Je le stoppe et je fais ce que tu dis.

    A+ :-)
    0
  15. rose972 Messages postés 27 Statut Membre
     
    Voilà le rapport :

    _________________________________________________

    Rapport fait à 16:34:38,03 le 07/08/2007

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 58DC-B8C8

    R‚pertoire de C:\Documents and Settings\Administrateur.ARH-C95672DD472\Application Data

    06/08/2007 08:43 62 desktop.ini
    06/08/2007 08:43 <REP> ..
    06/08/2007 08:43 <REP> Microsoft
    06/08/2007 08:43 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 9190592512 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 58DC-B8C8

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    31/07/2007 20:03 <REP> FLEXnet
    31/07/2007 19:43 <REP> ALM
    19/07/2007 04:32 <REP> Viewpoint
    16/07/2007 01:20 <REP> PACE Anti-Piracy
    05/04/2007 03:06 <REP> nView_Profiles
    28/02/2007 22:13 <REP> Skyline
    07/12/2006 00:04 <REP> InstallShield
    06/12/2006 23:33 <REP> Ulead Systems
    19/11/2006 10:57 <REP> Spybot - Search & Destroy
    15/11/2006 05:39 <REP> Windows Genuine Advantage
    06/11/2006 02:27 <REP> PicturesToExe
    05/11/2006 01:51 <REP> Acronis
    25/10/2006 21:59 1759 QTSBandwidthCache
    25/10/2006 20:43 <REP> Apple Computer
    03/10/2006 02:04 <REP> Macromedia
    30/09/2006 01:44 <REP> Adobe Systems
    30/09/2006 01:43 <REP> Adobe
    29/09/2006 20:27 <REP> Google
    02/09/2006 13:54 62 desktop.ini
    02/09/2006 13:54 <REP> ..
    02/09/2006 13:54 <REP> .
    02/09/2006 13:54 <REP> Microsoft
    2 fichier(s) 1821 octets
    20 R‚p(s) 9190588416 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 58DC-B8C8

    R‚pertoire de C:\Documents and Settings\ARH\Application Data

    02/08/2007 15:38 <REP> BitTorrent
    16/07/2007 01:20 <REP> PACE Anti-Piracy
    11/07/2007 16:53 <REP> dvdcss
    24/06/2007 09:56 <REP> Artweaver
    06/05/2007 16:10 <REP> MSN Pictures Displayer
    09/04/2007 08:36 <REP> vlc
    13/02/2007 19:56 <REP> VTC Preferences Folder
    14/01/2007 21:42 <REP> Jasc
    05/01/2007 18:23 <REP> Photodex
    07/12/2006 00:03 <REP> Jasc Software Inc
    06/12/2006 23:42 <REP> Ulead Systems
    19/11/2006 11:35 <REP> Lavasoft
    15/11/2006 02:32 <REP> Ultra Fractal 4
    11/11/2006 06:39 <REP> Nikon
    10/11/2006 19:14 <REP> Opera
    30/10/2006 15:07 <REP> Netscape
    30/10/2006 15:07 <REP> Mozilla
    27/10/2006 14:50 <REP> Help
    25/10/2006 22:01 <REP> Apple Computer
    21/10/2006 03:43 <REP> Ahead
    20/10/2006 00:27 <REP> AdobeUM
    07/10/2006 19:57 <REP> PixVue
    03/10/2006 20:10 <REP> Visicom Media
    01/10/2006 19:56 <REP> Sun
    30/09/2006 23:54 <REP> Macromedia
    29/09/2006 20:27 <REP> Google
    10/09/2006 18:02 <REP> FastStone
    02/09/2006 18:19 <REP> Adobe
    02/09/2006 18:19 <REP> InterTrust
    02/09/2006 18:12 <REP> Identities
    02/09/2006 18:12 62 desktop.ini
    02/09/2006 18:12 <REP> ..
    02/09/2006 18:12 <REP> .
    02/09/2006 18:12 <REP> Microsoft
    1 fichier(s) 62 octets
    33 R‚p(s) 9190588416 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 58DC-B8C8

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    02/09/2006 13:54 62 desktop.ini
    02/09/2006 13:54 <REP> ..
    02/09/2006 13:54 <REP> Microsoft
    02/09/2006 13:54 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 9190588416 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 58DC-B8C8

    R‚pertoire de C:\WINDOWS\Tasks

    25/10/2006 21:57 284 AppleSoftwareUpdate.job
    02/09/2006 18:11 6 SA.DAT
    02/09/2006 18:05 65 desktop.ini
    02/09/2006 18:05 <REP> ..
    02/09/2006 18:05 <REP> .
    3 fichier(s) 355 octets
    2 R‚p(s) 9ÿ190ÿ588ÿ416 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************

    _____________________________________________________________

    A+ :-)
    0
  16. Utilisateur anonyme
     
    c'est quoi ça ?
    AppleSoftwareUpdate.job
    0
  17. rose972 Messages postés 27 Statut Membre
     
    ça, je n'en sais rien, c'est peut-être en relation avec Quicktime ?

    Je découvre des programmes qui ne me "causent" pas !
    Je ne sais même pas à quoi ça peut correspondre. (???)
    0
  18. rose972 Messages postés 27 Statut Membre
     
    Bonjour Philo :-)

    Je te remercie beaucoup de tous tes efforts pour m'aider mais je jette l'éponge.
    Je passe au formatage.
    Vous êtes formidables, ici !
    Bravo !
    A+ :-)
    Rose
    0
  • 1
  • 2