Trojans Drviecleaner et Virtumonde

rose -  
 Utilisateur anonyme -
Pour Philo:

Logfile of HijackThis v1.99.1
Scan saved at 06:32:43, on 06/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\dragdiag.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe
E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\wuauclt.exe
E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrobat.exe
C:\WINDOWS\system32\winmds.exe
C:\WINDOWS\system32\winmds.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\ADOBE CS3 PREMIUM\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll
O2 - BHO: (no name) - {88b925ab-729f-4fb4-b4ed-51105d987fde} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp54.tmp.dll
O3 - Toolbar: &PixVue - {B28B4479-D9C2-41D1-B74D-74A1827037CD} - C:\Program Files\PixVue.Com\PixVue\bin\PixVue.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\ADOBE CS3 PREMIUM\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [dragdiag] C:\WINDOWS\system32\dragdiag.exe /icon
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\nnmmmj.dll",forkonce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\MFClpr.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\MFClpr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://components.viewpoint.com/...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - http://www.photodex.com/pxplay.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\vtsqnmn.dll
O20 - Winlogon Notify: MFClpr - C:\WINDOWS\SYSTEM32\MFClpr.dll
O20 - Winlogon Notify: PixVue - C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PixVue - PixVue.Com - C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

33 réponses

  • 1
  • 2
Réponse 1 / 33
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
drive cleaner:

lance rogue remover


https://www.01net.com/telecharger/

__________________


smit fraud fix (colle le rapport)

http://telechargement.zebulon.fr/smitfraudfix.html



2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général)

3/ puis refaire comme en 2/ mais selectionne l'option 2 et appuyer sur entrée pour commencer la desinfection. lorsque le programme demande si tu veut nettoyer le registre metsoui en tapant 0 et entrée


____________________



pour vundo:



scan avec vundo

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.


puis :




virtumondebegone en mode sans echec (demarrer l'ordi en appuyant plusieurs fois sur F8 )

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe


puis Symantec Vundo Remove Tool en mode sans echec

https://www.broadcom.com/support/security-center


et aussi en mode sans echec:


https://www.broadcom.com/support/security-center





________________

combofix (colle le rapport)

http://mickael.barroux.free.fr/securite/combofix.php








utilise aussi pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare erreurs) sans la barre yahoo

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html






__________________________


colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr


scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html





désactive la restauration système pour purger les virus qui seraient dedans (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)
puis reactive là


______________

recolle hijackthis et dis tes problemes
0
rose972 Messages postés 27 Statut Membre
 
Bonsoir et Merci de ton aide jlpjlp,

J'ai fait (presque) tout ce que tu as inscrit dans le premier message.
Je viens de terminer Combo Fix.

C'est depuis hier soir que j'ai le rapport de Spybot avec les trojans.
Avant hier soir, Spybot me disait "Félicitations" Rien n'a été trouvé.

Voici le rapport de Combo Fix :

________________________________________________


ComboFix 07-08-04.3 - "ARH" 2007-08-06 12:15:43.1 [GMT -4:00] - NTFS
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\ARH\APPLIC~1\tmp44.tmp.exe
C:\DOCUME~1\ARH\APPLIC~1\tmp54.tmp.exe
C:\WINDOWS\system32\dn58dcb8c8.dat
C:\WINDOWS\system32\MFClpr.dll
C:\WINDOWS\system32\tmp2F.tmp.dll
C:\WINDOWS\system32\tmp46.tmp.dll
C:\WINDOWS\system32\tmp54.tmp.dll
C:\WINDOWS\system32\tmpAAB.tmp.dll


((((((((((((((((((((((((( Files Created from 2007-07-06 to 2007-08-06 )))))))))))))))))))))))))))))))


2007-08-06 12:13 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-06 09:08 <REP> d-------- C:\VundoFix Backups
2007-08-06 08:43 786,432 --ah----- C:\DOCUME~1\ADMINI~1.ARH\NTUSER.DAT
2007-08-06 08:43 <REP> dr------- C:\DOCUME~1\ADMINI~1.ARH\Menu D‚marrer
2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\Voisinage r‚seau
2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\Voisinage d'impression
2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\ModŠles
2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Mes documents
2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Favoris
2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Bureau
2007-08-06 08:32 3,368 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-06 07:57 <REP> d-------- C:\Program Files\RogueRemover
2007-08-06 06:31 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-06 05:20 131,382 --a------ C:\WINDOWS\nnmmmj.dll
2007-08-06 04:15 <REP> d-------- C:\Program Files\ADSL Autoconnect
2007-08-05 18:21 13,380 --a------ C:\WINDOWS\system32\ddccdef.dll
2007-08-05 15:50 13,380 --a------ C:\WINDOWS\system32\vtsqnmn.dll
2007-08-05 14:39 25,664 --a------ C:\WINDOWS\system32\iB0M3oar.exe
2007-08-04 00:03 84,992 --a------ C:\WINDOWS\WebAssist.dll
2007-08-03 20:48 15,950 --a------ C:\WINDOWS\system32\winmds.exe
2007-08-02 21:29 <REP> d-------- C:\NIKON
2007-08-02 15:38 <REP> d-------- C:\Program Files\BitTorrent
2007-08-02 15:38 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\BitTorrent
2007-07-31 20:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
2007-07-31 19:43 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\ALM
2007-07-31 19:16 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll
2007-07-31 19:16 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe
2007-07-31 19:04 <REP> d-------- C:\Program Files\Bonjour
2007-07-31 18:49 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-07-19 04:52 <REP> d-------- C:\WINDOWS\Zoomify
2007-07-19 04:32 <REP> d-------- C:\Program Files\Viewpoint
2007-07-19 04:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
2007-07-16 01:20 <REP> d-------- C:\Program Files\Fichiers communs\PACE Anti-Piracy
2007-07-16 01:20 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\PACE Anti-Piracy
2007-07-16 01:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PACE Anti-Piracy
2007-07-15 19:52 <REP> d-------- C:\Program Files\DxO Labs
2007-07-14 22:14 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2007-07-11 16:53 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\dvdcss


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-06 08:55 --------- d-------- C:\Program Files\Spamihilator
2007-08-05 00:05 --------- d-------- C:\Program Files\Fichiers communs\Ahead
2007-08-04 07:22 --------- d-------- C:\Program Files\Vertical Moon
2007-08-04 07:21 --------- d-------- C:\Program Files\CamStudio
2007-08-03 18:56 --------- d-------- C:\Program Files\eMule
2007-07-27 23:59 --------- d-------- C:\Program Files\Apophysis 2.0
2007-07-09 07:39 --------- d-------- C:\Program Files\Gertrudis Pro
2007-07-07 20:33 --------- d-------- C:\Program Files\CDex_150
2007-06-24 09:56 --------- d-------- C:\DOCUME~1\ARH\APPLIC~1\Artweaver
2007-06-24 09:54 --------- d-------- C:\Program Files\Artweaver 0.4
2007-05-06 16:10 446976 --a------ C:\WINDOWS\system32\ShellMPD.dll
--------- C:\Program Files\Hijackthis Version Française


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85589B5D-D53D-4237-A677-46B82EA275F3}]
2007-08-04 00:03 84992 --a------ C:\WINDOWS\WebAssist.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{88b925ab-729f-4fb4-b4ed-51105d987fde}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-05-05 22:34]
"nwiz"="nwiz.exe" [2004-05-05 22:34 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-05-05 22:34]
"dragdiag"="C:\WINDOWS\system32\dragdiag.exe" [2001-10-17 04:51]
"OfficeGuard RegChecker"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" [2001-09-12 15:33]
"AVPCC"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" [2003-05-27 18:21]
"IntelliType"="C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 00:41]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 15:57]
"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-25 22:48]
"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2005-10-25 22:48]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe" [2006-09-14 07:55]
"Acrobat Assistant 8.0"="E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 18:54]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-06 23:26]
"Spamihilator"="C:\Program Files\Spamihilator\spamihilator.exe" [2007-01-24 09:49]

C:\Documents and Settings\ARH\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2007-05-06 16:10:10]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
Adobe Reader Synchronizer.lnk - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 00:01:50]
Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2007-07-31 19:30:38]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20]
NkbMonitor.exe.lnk - C:\Program Files\Nikon\PictureProject\NkbMonitor.exe [2006-11-15 04:15:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PixVue]
C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.DLL 2005-09-22 23:07 45056 C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\vtsqnmn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap

R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R0 TPkd;TPkd;C:\WINDOWS\system32\drivers\TPkd.sys
R2 PixVue;PixVue;"C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe"
R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
R3 alcan5wn;Alcatel SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\system32\DRIVERS\alcan5wn.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
S2 AVPCC;AVP Control Centre Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service
S2 KAVMonitorService;KAV Monitor Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service
S3 ADSLAutoconnect;ADSLAutoconnect;"C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z


Contents of the 'Scheduled Tasks' folder
2007-08-04 11:57:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-06 12:22:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-06 12:26:27 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-06 12:25

--- E O F ---
________________________________________________

Je passe le PC à Ccleaner
Ensuite, à Bit Defender
Puis je t'envoie le rapport de Bit Defender comme tu l'as demandé.

Merci encore de ton aide
rose972 (membre de CCM)
0
Réponse 2 / 33
Utilisateur anonyme
 
bien, je viens de trouver le message...
via le mail que tu as envoyé. ;-)
--------------------
termines ces processus: (inutiles pour le moment)
---------------------------------------------------
C:\WINDOWS\system32\winmds.exe
C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\dragdiag.exe
C:\Program Files\QuickTime\qttask
C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe
E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrobat.exe
---------------------
cocher + fixer ces lignes:
comment faire ?
https://leblogdeclaude.blogspot.com/2007/05/comment-utiliser-hijackthis-fixer.html
----------------------------------------------------------

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll
O2 - BHO: (no name) - {88b925ab-729f-4fb4-b4ed-51105d987fde} - (no file)
Inconnu
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp54.tmp.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
Inconnu
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\nnmmmj.dll",forkonce
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - http://www.photodex.com/pxplay.cab
Inconnu
O20 - AppInit_DLLs: c:\windows\system32\vtsqnmn.dll
O20 - Winlogon Notify: MFClpr - C:\WINDOWS\SYSTEM32\MFClpr.dll
--------------------------------------------
ensuite fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
copie le rapport



0
rose972 Messages postés 27 Statut Membre
 
Bonsoir Phil,

Il y a des lignes à fixer qui ne figurent pas dans le rapport :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\nnmmmj.dll",forkonce

O20 - Winlogon Notify: MFClpr - C:\WINDOWS\SYSTEM32\MFClpr.dll

J'ai donc fixé les 8 que je voyais, sur les 11 demandés.

____________________________________________________________________________

Voici le rapport
__________________________________________________________________________

Zut ! j'ai pas de rapport à montrer.
Quand j'ai demandé de fixer les 8, j'ai eu un message d'erreur et une invite me demandant de poursuivre le scan, que Hijackthis allait enlever ou corriger les erreurs et puis ....... page blanche !!!!

Que faut-il faire ?

A+
0
rose972 Messages postés 27 Statut Membre
 
Bonsoir Philo,

Voilà le résultat pour le Scan avec Navifix
_________________________________________________________________

Search Navipromo version 2.0.5 commencé le 06/08/2007 à 15:26:25,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\ARH\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/06/07 at 15:26:33.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..............................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/06/07 at 15:32:41 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :


*** Analyse Terminé le 06/08/2007 à 15:33:38,71 ***
________________________________________________________________________

J'attends la suite de la procédure.

Merci de ton aide en tous cas :-)
0
Réponse 3 / 33
Utilisateur anonyme
 
bien, rapport clean
fais ceci:
https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html
poste le rapport
0
rose972 Messages postés 27 Statut Membre
 
Bonsoir Philo,

Le scan avec VundoFix.exe n'a rien donné.
Je suis en train de faire un scan avec Symantec Trojan Vundo B removal.
Rien n'a encore été trouvé, mais tandis que Symantec scannait le Dossier Application Data, Kaspersky a couiné et a révélé la présence de :
tmp1C7.tmp.exe
et du Trojan.Win32.Agent.aoy (dans Application Data).
Kaspersky dit avoir supprimé ce trojan (mais bon, va savoir si on peut lui faire confiance).

J'ai toujours les fenêtres intempestives de Drivecleaner et j'ai dû fermer "sauvagement" le PC en plein scan de BitDefender car tout semblait planté durant un bon moment et la barre des tâches avait disparu.

Encore merci pour ton aide, mais il se fait tard, pour toi ;-)

A+
0
rose972 Messages postés 27 Statut Membre
 
Bonsoir Philo,

Je viens de regarder dans Application Data, l'application tmp1C7.tmp.exe que Kaspersky avait signalée n'est plus, mais il y avait un autre exe

tmp1C8.tmp.exe

Je l'ai viré (shift + suppr) mais bientôt, j'aurai sans doute un tmp1C9.tmp.exe !!!!

Merci encore de ton aide précieuse.

Bonne nuit :-)

A+
0
rose972 Messages postés 27 Statut Membre
 
Bonjour,
Toujours pas résolu, ces problèmes de trojans.
Au contraire, j'ai l'impression que ça a empiré.
Faut-il passer par un formatage ?
Merci de votre aide et Bonne journée

__________________________________________________________

Je place un autre rapport HijackThis :

_______________________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 04:45:32, on 07/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dragdiag.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe
E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\qwerty12.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\ADOBE CS3 PREMIUM\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: (no name) - {2f0703e2-0bd8-42bf-9cea-ff76de6ed387} - C:\WINDOWS\system32\audnfg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp138E.tmp.dll
O3 - Toolbar: &PixVue - {B28B4479-D9C2-41D1-B74D-74A1827037CD} - C:\Program Files\PixVue.Com\PixVue\bin\PixVue.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\ADOBE CS3 PREMIUM\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [dragdiag] C:\WINDOWS\system32\dragdiag.exe /icon
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\ljkhhg.dll",forkonce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\audnfg.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\audnfg.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://components.viewpoint.com/...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F2DA946-0786-42BD-8CC5-1B4856DCCB7A}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\vtsqnmn.dll
O20 - Winlogon Notify: audnfg - C:\WINDOWS\SYSTEM32\audnfg.dll
O20 - Winlogon Notify: PixVue - C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PixVue - PixVue.Com - C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

0
Réponse 4 / 33
Utilisateur anonyme
 
ok,
fais ceci:
http://leblogdeclaude.blogspot.com/2007/07/utilisation-de-combofix.html
poste le rapport
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 33
rose972 Messages postés 27 Statut Membre
 
re bonjour Philo et merci :-)

Voici le rapport :

____________________________________________________________________

ComboFix 07-08-04.3 - "ARH" 2007-08-07 6:51:31.1 [GMT -4:00] - NTFS [SAFE MODE]
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai
Command switches used :: /wow


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\ARH\APPLIC~1\tmp138C.tmp.exe
C:\DOCUME~1\ARH\APPLIC~1\tmp138D.tmp.exe
C:\DOCUME~1\ARH\APPLIC~1\tmp138E.tmp.exe
C:\DOCUME~1\ARH\APPLIC~1\tmp5.tmp.exe
C:\WINDOWS\system32\audnfg.dll
C:\WINDOWS\system32\awvts.exe
C:\WINDOWS\system32\dn58dcb8c8.dat
C:\WINDOWS\system32\qwerty12.exe
C:\WINDOWS\system32\tmp138E.tmp.dll
C:\WINDOWS\system32\tmp1C8.tmp.dll


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((((( Files Created from 2007-07-07 to 2007-08-07 )))))))))))))))))))))))))))))))


2007-08-07 03:51 131,419 --a------ C:\WINDOWS\ljkhhg.dll
2007-08-06 18:25 <REP> d-------- C:\Program Files\RegCleaner
2007-08-06 15:24 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-06 15:23 <REP> d-------- C:\Program Files\Navilog1
2007-08-06 13:24 131,421 --a------ C:\WINDOWS\vtrqpn.dll
2007-08-06 13:13 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-06 12:13 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-06 09:08 <REP> d-------- C:\VundoFix Backups
2007-08-06 08:43 786,432 --ah----- C:\DOCUME~1\ADMINI~1.ARH\NTUSER.DAT
2007-08-06 08:43 <REP> dr------- C:\DOCUME~1\ADMINI~1.ARH\Menu D‚marrer
2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\Voisinage r‚seau
2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\Voisinage d'impression
2007-08-06 08:43 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ARH\ModŠles
2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Mes documents
2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Favoris
2007-08-06 08:43 <REP> d-------- C:\DOCUME~1\ADMINI~1.ARH\Bureau
2007-08-06 08:32 3,368 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-06 07:57 <REP> d-------- C:\Program Files\RogueRemover
2007-08-06 06:31 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-06 05:20 131,382 --a------ C:\WINDOWS\nnmmmj.dll
2007-08-06 04:15 <REP> d-------- C:\Program Files\ADSL Autoconnect
2007-08-05 15:50 13,380 --a------ C:\WINDOWS\system32\vtsqnmn.dll
2007-08-04 00:03 84,992 --a------ C:\WINDOWS\WebAssist.dll
2007-08-02 21:29 <REP> d-------- C:\NIKON
2007-08-02 15:38 <REP> d-------- C:\Program Files\BitTorrent
2007-08-02 15:38 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\BitTorrent
2007-07-31 20:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
2007-07-31 19:43 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\ALM
2007-07-31 19:16 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll
2007-07-31 19:16 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe
2007-07-31 19:04 <REP> d-------- C:\Program Files\Bonjour
2007-07-31 18:49 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-07-19 04:52 <REP> d-------- C:\WINDOWS\Zoomify
2007-07-19 04:32 <REP> d-------- C:\Program Files\Viewpoint
2007-07-19 04:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
2007-07-16 01:20 <REP> d-------- C:\Program Files\Fichiers communs\PACE Anti-Piracy
2007-07-16 01:20 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\PACE Anti-Piracy
2007-07-16 01:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PACE Anti-Piracy
2007-07-15 19:52 <REP> d-------- C:\Program Files\DxO Labs
2007-07-14 22:14 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2007-07-11 16:53 <REP> d-------- C:\DOCUME~1\ARH\APPLIC~1\dvdcss


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-07 06:45 --------- d-------- C:\Program Files\Spamihilator
2007-08-07 04:01 72126 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-08-07 04:01 460986 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-08-06 15:00 --------- d-------- C:\Program Files\Photodex Presenter
2007-08-05 00:05 --------- d-------- C:\Program Files\Fichiers communs\Ahead
2007-08-04 07:22 --------- d-------- C:\Program Files\Vertical Moon
2007-08-04 07:21 --------- d-------- C:\Program Files\CamStudio
2007-08-03 18:56 --------- d-------- C:\Program Files\eMule
2007-07-27 23:59 --------- d-------- C:\Program Files\Apophysis 2.0
2007-07-09 07:39 --------- d-------- C:\Program Files\Gertrudis Pro
2007-07-07 20:33 --------- d-------- C:\Program Files\CDex_150
2007-06-24 09:56 --------- d-------- C:\DOCUME~1\ARH\APPLIC~1\Artweaver
2007-06-24 09:54 --------- d-------- C:\Program Files\Artweaver 0.4
--------- C:\Program Files\Hijackthis Version Française


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-05-05 22:34]
"nwiz"="nwiz.exe" [2004-05-05 22:34 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-05-05 22:34]
"dragdiag"="C:\WINDOWS\system32\dragdiag.exe" [2001-10-17 04:51]
"OfficeGuard RegChecker"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" [2001-09-12 15:33]
"AVPCC"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" [2003-05-27 18:21]
"IntelliType"="C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" [2002-03-22 00:41]
"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-25 22:48]
"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2005-10-25 22:48]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe" [2006-09-14 07:55]
"Acrobat Assistant 8.0"="E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 18:54]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-06 23:26]
"Spamihilator"="C:\Program Files\Spamihilator\spamihilator.exe" [2007-01-24 09:49]

C:\Documents and Settings\ARH\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2007-05-06 16:10:10]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]
Adobe Reader Synchronizer.lnk - E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 00:01:50]
Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2007-07-31 19:30:38]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20]
NkbMonitor.exe.lnk - C:\Program Files\Nikon\PictureProject\NkbMonitor.exe [2006-11-15 04:15:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PixVue]
C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.DLL 2005-09-22 23:07 45056 C:\Program Files\PixVue.Com\PixVue\bin\WinLogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\vtsqnmn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 relog_ap

R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R0 TPkd;TPkd;C:\WINDOWS\system32\drivers\TPkd.sys
R2 PixVue;PixVue;"C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe"
R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
R3 alcan5wn;Alcatel SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\system32\DRIVERS\alcan5wn.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
S2 AVPCC;AVP Control Centre Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service
S2 KAVMonitorService;KAV Monitor Service;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service
S3 ADSLAutoconnect;ADSLAutoconnect;"C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z


Contents of the 'Scheduled Tasks' folder
2007-08-04 11:57:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-07 06:59:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-07 7:02:28 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-07 07:01
C:\ComboFix2.txt ... 2007-08-06 12:26

--- E O F ---
____________________________________________________________________________________

A+
0
Réponse 6 / 33
rose972 Messages postés 27 Statut Membre
 
Ah ! J'avais oublié de joindre le rapport de quarantaine de Combofix :
___________________________________________________________

[code]
2007-08-05 15:51 92730 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\MFClpr.dll.vir
2007-08-06 12:21 90637 --a------ C:\Qoobox\Quarantine\catchme2007-08-06_122251.32.zip
2007-08-06 13:22 105428 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\awvts.exe.vir
2007-08-06 13:23 92702 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\audnfg.dll.vir
2007-08-06 14:18 63525 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\tmp1C8.tmp.dll.vir
2007-08-06 20:32 124774 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\ARH\APPLIC~1\tmp5.tmp.exe.vir
2007-08-07 03:51 124743 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\ARH\APPLIC~1\tmp138C.tmp.exe.vir
2007-08-07 03:51 55235 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\qwerty12.exe.vir
2007-08-07 03:51 58798 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\ARH\APPLIC~1\tmp138D.tmp.exe.vir
2007-08-07 03:52 63532 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\tmp138E.tmp.dll.vir
2007-08-07 03:52 78517 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\ARH\APPLIC~1\tmp138E.tmp.exe.vir
2007-08-07 06:56 120098 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\dn58dcb8c8.dat.vir
2007-08-07 06:56 2956 --a------ C:\Qoobox\Quarantine\Registry_backups\services_DomainService.reg.cf
2007-08-07 06:56 308 --a------ C:\Qoobox\Quarantine\catchme.log
2007-08-07 06:56 846 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_DOMAINSERVICE.reg.cf
2007-08-07 06:56 90600 --a------ C:\Qoobox\Quarantine\catchme2007-08-07_ 65900.09.zip


Structure du dossier
Le num‚ro de s‚rie du volume est 58DC-B8C8
C:\QOOBOX
\---Quarantine
| catchme.log
| catchme2007-08-06_122251.32.zip
| catchme2007-08-07_ 65900.09.zip
|
+---C
| +---DOCUME~1
| | \---ARH
| | \---APPLIC~1
| | tmp138C.tmp.exe.vir
| | tmp138D.tmp.exe.vir
| | tmp138E.tmp.exe.vir
| | tmp5.tmp.exe.vir
| |
| \---WINDOWS
| \---system32
| audnfg.dll.vir
| awvts.exe.vir
| dn58dcb8c8.dat.vir
| MFClpr.dll.vir
| qwerty12.exe.vir
| tmp138E.tmp.dll.vir
| tmp1C8.tmp.dll.vir
|
\---Registry_backups
LEGACY_DOMAINSERVICE.reg.cf
services_DomainService.reg.cf

[/code]
________________________________________________________

Merci et A + :-)
0
Réponse 7 / 33
rose972 Messages postés 27 Statut Membre
 
Salut,

Je rajoute la présence aussi d'un Trojan-downloader.Win32.ConHook.bg :-(

A+ et Merci
0
Réponse 8 / 33
Utilisateur anonyme
 
sacré travail ...le Combofix !
-------------------------------------
bien :
fais ceci:
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html
poste le rapport
0
Réponse 9 / 33
rose972 Messages postés 27 Statut Membre
 
Merci Philo,

Mais j'ai l'impression que ce Trojan-downloader.Win32.ConHook génère des fichiers.
J'ai constaté que les paramètres de mon Navigateur (IE) avaient changé et que lex niveaux de sécurité étaient au plus bas.
Or, je n'ai rien modifié et je suis la seule à utiliser le PC.
Entre ce que Combofix avait bloqué et maintenant, il y avait d'autres exe dans l'Application Data. :-(
Le passage à Spybot n'était pas beau !
Encore plus laid qu'hier soir :-(

_____________________________________________________________


Voici le rapport demandé :

_________________________________________________________________

SmitFraudFix v2.209

Rapport fait à 10:59:46,10, 07/08/2007
Executé à partir de C:\Documents and Settings\ARH\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PixVue.Com\PixVue\bin\Daemon.exe
C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\dragdiag.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
E:\ADOBE CS3 PREMIUM\Acrobat 8.0\Acrobat\Acrobat.exe
C:\WINDOWS\system32\qwerty12.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ARH


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ARH\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ARH\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="c:\\windows\\system32\\vtsqnmn.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 80.10.246.130
DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9F2DA946-0786-42BD-8CC5-1B4856DCCB7A}: NameServer=80.10.246.130 80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9F2DA946-0786-42BD-8CC5-1B4856DCCB7A}: NameServer=80.10.246.130 80.10.246.3


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

____________________________________________________

Merci Philo et A+ :-)
0
Réponse 10 / 33
Utilisateur anonyme
 
fais l'option 2 de Smitfraud
de préférence en mode sans échec:
https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html
----------------------------
ensuite,
télécharge ceci:
http://www.ashampoo-root03.com/webcache/html/1/product_2_0049_.htm
sur cette page, rends toi au texte et procédure:
Suppression de Magic.Control avec Ashampoo (procédure longue)
http://www.malekal.com/Adware.Magic_Control.php

0
Réponse 11 / 33
rose972 Messages postés 27 Statut Membre
 
Merci Philo,
Je le fais de suite :-)
A+
0
Réponse 12 / 33
rose972 Messages postés 27 Statut Membre
 
Voici ce que l'option 2 de Smitfraud a donné :

________________________________________________________________________

SmitFraudFix v2.209

Rapport fait à 14:49:50,46, 07/08/2007
Executé à partir de C:\Documents and Settings\ARH\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

________________________________________________________________

A+ :-)
0
Réponse 13 / 33
Utilisateur anonyme
 
Bien, j'attends de voir si tu as un Rootkit de détecté...
0
Réponse 14 / 33
rose972 Messages postés 27 Statut Membre
 
Philo ça n'a trouvé aucun Rootkit !
C'est vraiment bizarre (?????!!!!!!)
0
Réponse 15 / 33
Utilisateur anonyme
 
je préfère !
-------------
bien
fais ceci:
https://www.pcparadise.fr
lances-le et fais l'option 1
copie le rapport
0
Réponse 16 / 33
rose972 Messages postés 27 Statut Membre
 
ok, j'ai lancé un scan avec Ashampoo qui a déjà trouvé 25 objets infectés !!!!
Je le stoppe et je fais ce que tu dis.

A+ :-)
0
Réponse 17 / 33
rose972 Messages postés 27 Statut Membre
 
Voilà le rapport :

_________________________________________________

Rapport fait à 16:34:38,03 le 07/08/2007

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 58DC-B8C8

R‚pertoire de C:\Documents and Settings\Administrateur.ARH-C95672DD472\Application Data

06/08/2007 08:43 62 desktop.ini
06/08/2007 08:43 <REP> ..
06/08/2007 08:43 <REP> Microsoft
06/08/2007 08:43 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 9190592512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 58DC-B8C8

R‚pertoire de C:\Documents and Settings\All Users\Application Data

31/07/2007 20:03 <REP> FLEXnet
31/07/2007 19:43 <REP> ALM
19/07/2007 04:32 <REP> Viewpoint
16/07/2007 01:20 <REP> PACE Anti-Piracy
05/04/2007 03:06 <REP> nView_Profiles
28/02/2007 22:13 <REP> Skyline
07/12/2006 00:04 <REP> InstallShield
06/12/2006 23:33 <REP> Ulead Systems
19/11/2006 10:57 <REP> Spybot - Search & Destroy
15/11/2006 05:39 <REP> Windows Genuine Advantage
06/11/2006 02:27 <REP> PicturesToExe
05/11/2006 01:51 <REP> Acronis
25/10/2006 21:59 1759 QTSBandwidthCache
25/10/2006 20:43 <REP> Apple Computer
03/10/2006 02:04 <REP> Macromedia
30/09/2006 01:44 <REP> Adobe Systems
30/09/2006 01:43 <REP> Adobe
29/09/2006 20:27 <REP> Google
02/09/2006 13:54 62 desktop.ini
02/09/2006 13:54 <REP> ..
02/09/2006 13:54 <REP> .
02/09/2006 13:54 <REP> Microsoft
2 fichier(s) 1821 octets
20 R‚p(s) 9190588416 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 58DC-B8C8

R‚pertoire de C:\Documents and Settings\ARH\Application Data

02/08/2007 15:38 <REP> BitTorrent
16/07/2007 01:20 <REP> PACE Anti-Piracy
11/07/2007 16:53 <REP> dvdcss
24/06/2007 09:56 <REP> Artweaver
06/05/2007 16:10 <REP> MSN Pictures Displayer
09/04/2007 08:36 <REP> vlc
13/02/2007 19:56 <REP> VTC Preferences Folder
14/01/2007 21:42 <REP> Jasc
05/01/2007 18:23 <REP> Photodex
07/12/2006 00:03 <REP> Jasc Software Inc
06/12/2006 23:42 <REP> Ulead Systems
19/11/2006 11:35 <REP> Lavasoft
15/11/2006 02:32 <REP> Ultra Fractal 4
11/11/2006 06:39 <REP> Nikon
10/11/2006 19:14 <REP> Opera
30/10/2006 15:07 <REP> Netscape
30/10/2006 15:07 <REP> Mozilla
27/10/2006 14:50 <REP> Help
25/10/2006 22:01 <REP> Apple Computer
21/10/2006 03:43 <REP> Ahead
20/10/2006 00:27 <REP> AdobeUM
07/10/2006 19:57 <REP> PixVue
03/10/2006 20:10 <REP> Visicom Media
01/10/2006 19:56 <REP> Sun
30/09/2006 23:54 <REP> Macromedia
29/09/2006 20:27 <REP> Google
10/09/2006 18:02 <REP> FastStone
02/09/2006 18:19 <REP> Adobe
02/09/2006 18:19 <REP> InterTrust
02/09/2006 18:12 <REP> Identities
02/09/2006 18:12 62 desktop.ini
02/09/2006 18:12 <REP> ..
02/09/2006 18:12 <REP> .
02/09/2006 18:12 <REP> Microsoft
1 fichier(s) 62 octets
33 R‚p(s) 9190588416 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 58DC-B8C8

R‚pertoire de C:\Documents and Settings\Default User\Application Data

02/09/2006 13:54 62 desktop.ini
02/09/2006 13:54 <REP> ..
02/09/2006 13:54 <REP> Microsoft
02/09/2006 13:54 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 9190588416 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 58DC-B8C8

R‚pertoire de C:\WINDOWS\Tasks

25/10/2006 21:57 284 AppleSoftwareUpdate.job
02/09/2006 18:11 6 SA.DAT
02/09/2006 18:05 65 desktop.ini
02/09/2006 18:05 <REP> ..
02/09/2006 18:05 <REP> .
3 fichier(s) 355 octets
2 R‚p(s) 9ÿ190ÿ588ÿ416 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

_____________________________________________________________

A+ :-)
0
Réponse 18 / 33
Utilisateur anonyme
 
c'est quoi ça ?
AppleSoftwareUpdate.job
0
Réponse 19 / 33
rose972 Messages postés 27 Statut Membre
 
ça, je n'en sais rien, c'est peut-être en relation avec Quicktime ?

Je découvre des programmes qui ne me "causent" pas !
Je ne sais même pas à quoi ça peut correspondre. (???)
0
Réponse 20 / 33
rose972 Messages postés 27 Statut Membre
 
Bonjour Philo :-)

Je te remercie beaucoup de tous tes efforts pour m'aider mais je jette l'éponge.
Je passe au formatage.
Vous êtes formidables, ici !
Bravo !
A+ :-)
Rose
0

Discussions similaires

Virtumonde.dll/.sci virus ?
core_quad -
scaravenger -

4 réponses
Trojans Sirefef.b et Sirefef.p
momarqc -
momarqc -

33 réponses
des spywares et Trojans envahissent mon pc
titite_baby -
titite_baby -

37 réponses
Worm WIN32, trojans SillyDL DIC,Rolepi GM
vinoth91 -
vinoth91 -

5 réponses
trojan et pubs intempestives
Bigax26 -
Bigax26 -

13 réponses