Virus "Search Daily"

Question

Bonjour,


Voici mon problème: j'ai attrapé un virus et lors de mes recherches sur google, il me renvoit vers une page "search-daily.com".
J'aimerais connaitre la procédure à suivre pour enlever cette plaie.

Merci d'avance,

Jack

P.S: J'avais déjà essayé une soluce trouvé dans des forums mais malheuresement après, mon ordi s'est mis a buggé( merci la restauration système : )

philae83 · Answer

bonjour,

quel solution as tu essayée ?

* Télécharge  HijackThis  et poste le rapport stp
hijackthis

* Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici

jack_007 · Answer

voici le log D'HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:47:03, on 16/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
C:\Program Files\Winamp\winamp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32pcc.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

philae83 · Answer

tu n'as pas répondu à ma question : quelle manip as tu déjà essayée ?

philae83 · Answer

re

 Télécharge VundoFix.exe (par Atribune) sur ton Bureau

http://www.atribune.org/ccount/click.php?id=4

 * Double-clique VundoFix.exe afin de le lancer

* Clique sur le bouton Scan for Vundo

* Lorsque le scan est complété, clique sur le bouton Remove Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

 
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

jack_007 · Answer

Dsl pour le retard, j'ai eu des soucis connexions sur le site, j'ai du me réauthentifié c'est bizarre


Voici le rapport VundoFix:

VundoFix V6.5.0

Checking Java version...

Scan started at 21:03:13 17/06/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.0

Checking Java version...

Scan started at 21:10:40 17/06/2007

Listing files found while scanning....


Beginning removal...

VundoFix V6.5.0

Checking Java version...

Scan started at 12:06:15 2007-10-15

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.10

Checking Java version...

Scan started at 18:14:38 16/10/2007

Listing files found while scanning....

C:\windows\system32\FM20FRAk.dll

Beginning removal...

 Attempting to delete C:\windows\system32\FM20FRAk.dll
C:\windows\system32\FM20FRAk.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\windows\system32\FM20FRAk.dll
C:\windows\system32\FM20FRAk.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Voici le log HiJackThis

Logfile of HijackThis v1.99.1
Scan saved at 18:33:19, on 16/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32pcc.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

philae83 · Answer

non c'est pas étonnant, il y a eu un petit bug un court moment

Tu n'as toujours pas répondu à ma question tu ne la vois pas ? ca fait 2 x que je te la pose.

MERCI D Y REPONDRE STP

jack_007 · Answer

oui oui pardon mais je me souviens pu des noms des logiciels.

philae83 · Answer

ok tant pis

je regarde tes précédents rapports, je reviens ensuite

philae83 · Answer

re

ton xp n'est pas à jour.

renomme HJT en jack.exe

puis

* Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

* Redémarre ton ordinateur en mode sans échec

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis  te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter  et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

et

* Relance Vundofix
 * Ne clique pas sur "Scan for a vundo"
 * Clique droit au milieu de la fenêtre
 * Clique sur Add more files ?
 * Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\System32\syssetupb.dll 
c:\windows\system32\fm20frak.dll 

* Clique sur Add files
 * Ensuite clique sur Close Windows
 * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
 * Si l'outils demande un redémarrage, accepte
 * Poste le rapport Vundofix,

puis

* lance hijackthis puis coche ces lignes

O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll 
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll 
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll 

* toutes applications fermées et hors connexion, clique sur "fixer objet"

reposte un nouveau rapport hijackthis avec HJT renommé ainsi que le rapport de vundo

jack_007 · Answer

Voici le rapport SDFIX:


SDFix: Version 1.109

Run by Patrice on 16/10/2007 at 21:43

Microsoft Windows XP [version 5.1.2600]

Running From: D:\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Les deux lignes ajoutées a Vundo n'ont pas pu etre supprimées. Que faire?

philae83 · Answer

le rapport SDFix n'est pas entier

recommence stp

ensuite poste les rapports avec les manips, on verra ensuite

jack_007 · Answer

Je n'ai rien d'autre d'écrit sur le rapport, je recommences la manip.

philae83 · Answer

tu le lances bien en mode sans échec ?

jack_007 · Answer

Oui en mode sans échec, je viens de reesayer et rien de nouveau.

philae83 · Answer

décidément ce soir tous les softs ont décidés d'être récalcitrants avec moi :)

reposte rapport vundo après dernière manip et un nouveau rapport HJT

jack_007 · Answer

Voici le rapport Vundo:


VundoFix V6.5.0

Checking Java version...

Scan started at 21:03:13 17/06/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.0

Checking Java version...

Scan started at 21:10:40 17/06/2007

Listing files found while scanning....


Beginning removal...

VundoFix V6.5.0

Checking Java version...

Scan started at 12:06:15 2007-10-15

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.10

Checking Java version...

Scan started at 18:14:38 16/10/2007

Listing files found while scanning....

C:\windows\system32\FM20FRAk.dll

Beginning removal...

 Attempting to delete C:\windows\system32\FM20FRAk.dll
C:\windows\system32\FM20FRAk.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\windows\system32\FM20FRAk.dll
C:\windows\system32\FM20FRAk.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete c:\windows\system32\fm20frak.dll 
c:\windows\system32\fm20frak.dll  Could not be deleted.

 Attempting to delete C:\WINDOWS\System32\syssetupb.dll 
C:\WINDOWS\System32\syssetupb.dll  Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete c:\windows\system32\fm20frak.dll 
c:\windows\system32\fm20frak.dll  Could not be deleted.

 Attempting to delete C:\WINDOWS\System32\syssetupb.dll 
C:\WINDOWS\System32\syssetupb.dll  Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

le log hijack

Logfile of HijackThis v1.99.1
Scan saved at 22:58:51, on 16/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\HiJack\Jack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

philae83 · Answer

re

ok

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

ainsi qu'un nouveau rapport hijackthis

jack_007 · Answer

Bonjour,

Je me souviens avoir déja utiliser ce programme. Voici le rapport:

ComboFix 07-10-17.8 - Patrice 2007-10-17 10:10:17.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.330 [GMT 2:00]
Running from: D:\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\System32\FM20FRAk.dll . . . . Echec de suppression
C:\WINDOWS\system32\fm20frak.dll . . . . Echec de suppression
C:\WINDOWS\System32\FM20FRAk.dll . . . . Echec de suppression
C:\WINDOWS\system32\fm20frak.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_MLRFIXFB
-------\mlrfixfb

((((((((((((((((((((((((((((( Fichiers créés 2007-09-17 to 2007-10-17 ))))))))))))))))))))))))))))))))))))
.

2007-10-17 10:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Voisinage r‚seau
2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Voisinage d'impression
2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\ModŠles
2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Mes documents
2007-10-16 22:24 <REP> dr------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Menu D‚marrer
2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Favoris
2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Bureau
2007-10-16 21:57 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-10-16 21:49 1,422 --a------ C:\Documents and Settings\Patrice.PATRICE-G03QP8A\clean.reg
2007-10-16 21:42 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-16 18:14 <REP> d-------- C:\VundoFix Backups
2007-10-15 18:45 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2007-10-15 18:45 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2007-10-15 12:38 <REP> d-------- C:\Documents and Settings\Patrice.PATRICE-G03QP8A\Application Data\Grisoft
2007-10-14 19:54 <REP> d-------- C:\Documents and Settings\Administrateur\ModŠles
2007-10-14 19:15 1,188,375 --a------ C:\WINDOWS\system32\libeay32(2)(2).dll
2007-10-14 19:15 246,545 --a------ C:\WINDOWS\system32\libssl32(2)(2).dll
2007-10-14 18:32 741,632 --a------ C:\WINDOWS\system32\hzfenqke.dat
2007-10-14 18:32 118,528 --a------ C:\WINDOWS\system32\jblbrfvm.dat
2007-10-14 18:32 41,728 --a------ C:\WINDOWS\system32\ibhjagqo.dat
2007-10-14 18:32 35,584 --a------ C:\WINDOWS\system32\sfcmnbjw.dat
2007-10-14 18:32 34,560 --a------ C:\WINDOWS\system32\mprqkgge.dat
2007-10-14 17:47 <REP> d-------- C:\WINDOWS\system32\AppCert
2007-10-14 17:46 92,672 --a------ C:\WINDOWS\system32\syssetupb.dll
2007-10-14 17:46 81,408 --a------ C:\WINDOWS\system32\FM20FRAk.dll
2007-10-14 14:03 93,184 --a------ C:\WINDOWS\system32\mpruio.dll
2007-10-14 14:03 17,792 C:\WINDOWS\system32\drivers\zaidqyzz.dat
2007-10-11 19:18 27 --a------ C:\WINDOWS\mscpt.dat
2007-10-11 19:06 57,344 --a------ C:\WINDOWS\system32\WNASPINT.DLL
2007-10-11 18:50 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys
2007-10-11 18:50 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys
2007-10-09 16:52 <REP> d-------- C:\eJay
2007-10-09 16:52 307,200 --a------ C:\WINDOWS\system32\fxstudio.dll
2007-10-09 16:52 282,624 --a------ C:\WINDOWS\system32\animation2.dll
2007-10-09 16:52 159,744 --a------ C:\WINDOWS\system32\DartSock.dll
2007-10-09 16:52 106,496 --a------ C:\WINDOWS\system32\DartWeb.dll
2007-10-09 16:52 78,085 --a------ C:\WINDOWS\system32\pattern.dat
2007-10-09 16:51 97,280 --a------ C:\WINDOWS\system32\ccrpbds5.dll
2007-09-21 17:29 <REP> d--hs---- C:\FOUND.007
2007-09-20 21:15 <REP> d-------- C:\Program Files\Ontrack
2007-09-19 10:46 <REP> d-------- C:\Program Files\directx

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-12 11:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple
2007-09-06 15:31 --------- d-----w C:\Documents and Settings\Patrice.PATRICE-G03QP8A\Application Data\GeoVid
2007-09-06 15:24 --------- d-----w C:\Program Files\GeoVid
2007-09-06 15:24 --------- d-----w C:\Program Files\Fichiers communs\GeoVid
2007-08-24 10:19 19,968 --sha-w C:\Program Files\Thumbs.db
2007-08-12 11:59 4,112,760 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2007-07-24 13:43 41,984 ----a-w C:\WINDOWS\qucltext.exe
2007-07-19 22:57 267,112 ----a-w C:\WINDOWS\system32\xactengine2_9.dll
2007-07-19 16:14 444,776 ----a-w C:\WINDOWS\system32\d3dx10_35.dll
2007-07-19 16:14 3,727,720 ----a-w C:\WINDOWS\system32\d3dx9_35.dll
2007-07-19 16:14 1,358,192 ----a-w C:\WINDOWS\system32\D3DCompiler_35.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309}]
2007-10-15 18:49 81408 --a------ c:\windows\system32\fm20frak.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43}]
2001-09-28 12:00 92672 --a------ C:\WINDOWS\System32\syssetupb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"Touch Manager"="C:\Program Files\Netropa\Touch Manager\TouchMgr.exe" [1999-11-19 16:56]
"SoundMan"="SOUNDMAN.EXE" [2003-01-07 12:09 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-02-13 14:46]
"nwiz"="nwiz.exe" [2004-03-24 10:04 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-02-13 14:46]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 18:09]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" []
"Steam"="" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
@=

R0 kgmwgqeu;kgmwgqeu;C:\WINDOWS\System32\drivers\zaidqyzz.dat
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\System32\DRIVERS\msikbd2k.sys
R3 fhlppppoe;PPPOE/ADSL miniport;C:\WINDOWS\System32\DRIVERS\fhlpppoe.sys
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-09-26 20:38:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-17 10:14:28
Windows 5.1.2600 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-17 10:15:13 - machine was rebooted
C:\ComboFix2.txt ... 2007-10-14 19:33
.
--- E O F ---

Comment faire pour virer ces deux dll.???

philae83 · Answer

bonjour,

ah oui d'accord .... même combo n'en vient pas à bout.
Je vais regarder plus en détail le rapport de combo dans l'après midi, dans l'immédiat, je n'ai pas le temps.

je repasserais plus tard avec des consignes

philae83 · Answer

bonsoir,

je ne t'ai pas oublié, néanmoins j'ai besoin d'une petite confirmation pour une ligne à mettre dans un script
je pense l'avoir d'ici ce soir ou en soirée

@ + tard

philae83 · Answer

voilà, j'ai ce qu'il me manquait

IMPORTANT avant toute manip, 
télécharge ERUNT
https://www.zebulon.fr/telechargements/utilitaires/systeme-utilitaires/erunt.html
tuto
http://pageperso.aol.fr/loraline60/tuto_erunt.htm

puis

* Copie les lignes de la citation suivante, d'un trait :

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hhqnzfiz

Files to delete:
C:\windows\system32\fm20frak.dll
C:\WINDOWS\System32\syssetupb.dll
C:\WINDOWS\system32\mprqkgge.dat
C:\WINDOWS\system32\sfcmnbjw.dat
C:\WINDOWS\system32\ibhjagqo.dat
C:\WINDOWS\system32\jblbrfvm.dat
C:\WINDOWS\system32\hzfenqke.dat 

--> Clic droit / "copier"

Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".

* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)

* Télécharge à présent The Avenger
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc

après le redémarrage :

* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici

tu feras également analyser sur VIRUS TOTAL
http://www.virustotal.com/en/indexf.html

C:\WINDOWS\system32\ccrpbds5.dll

copie colle le résultat obtenu ici

ainsi qu'un nouveau rapport hiajckthis

jack_007 · Answer

Bonjour,

J'ai suivi vos instructions mais je n'ai pas de fichier avenger.txt seulement un fichier rar contenant un fichier reg.

Quel est ce fichier ccrpbds5.dll?que dois je en faire?

En revanche, je n'ai pas encore effectué l'analyse virus total sur le virustotal.com

Merci.

philae83 · Answer

bonjour,

j'insiste, car normalement il DOIT y avoir un fichier avenger.txt dans la mesure où la manip a été faite correctement. 
Regarde mon screen, et vérifie sur ton pc stp

https://www.enregistrersous.com/

ensuite pour 

Quel est ce fichier ccrpbds5.dll?que dois je en faire? 

je t'ai écrit ce que je voulais que tu fasses pour l'instant avec, juste l'analyse sur VIRUS TOTAL pour l'instant. sauf que je viens d'avoir une info concernant VIRUS TOTAL (qq soucis qui font que l'analyse n'est pas vraiment tip top) donc je te donne 2 autres liens, fait analyser le fichier sur l'un des 2 et poste le rapport aussi stp

https://virusscan.jotti.org/
ou
https://www.virscan.org/

@ + tard

jack_007 · Answer

Bon, ca y est j'ai réussi a avoir le fichier avenger.txt sans doute en enlevant l'extension .txt a la suite de mad.

Voici le rapport:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\shhlodoa

*******************

Script file located at: \??\C:\^jdfjaei.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\windows\system32\fm20frak.dll for deletion
Deletion of file C:\windows\system32\fm20frak.dll failed!

Could not process line:
C:\windows\system32\fm20frak.dll
Status: 0xc0000022



Could not open file C:\WINDOWS\System32\syssetupb.dll for deletion
Deletion of file C:\WINDOWS\System32\syssetupb.dll failed!

Could not process line:
C:\WINDOWS\System32\syssetupb.dll
Status: 0xc0000022

File C:\WINDOWS\system32\mprqkgge.dat deleted successfully.
File C:\WINDOWS\system32\sfcmnbjw.dat deleted successfully.
File C:\WINDOWS\system32\ibhjagqo.dat deleted successfully.
File C:\WINDOWS\system32\jblbrfvm.dat deleted successfully.
File C:\WINDOWS\system32\hzfenqke.dat deleted successfully.


Could not open registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309} for deletion
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309} failed!
Status: 0xc0000022



Could not open registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} for deletion
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} failed!
Status: 0xc0000022



Could not open registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hhqnzfiz for deletion
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hhqnzfiz failed!
Status: 0xc0000022


Completed script processing.

*******************

Finished!  Terminate.

Voici ce que le site virscan.org a trouvé:

VirSCAN.org Scanned Report :
Scanned time   : 2007/10/18 18:21:21 (CEST)
Scanner results: 3% (1/34) a trouvé un malware !
File Name      : ccrpbds5.dll
File Size      : 97280 byte
File Type      : MS Windows PE 32-bit Intel 80386 GUI DLL
MD5            : e611130120deda76833ad644aa54f049
SHA1           : 45c70bdbce0316b0f07ea9216f747b266ea86280
Online report  : https://r.virscan.org/e611130120deda76833ad644aa54f049

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
A-Squared      3.0.0.126       2007.10.17        2007-10-17  10.88  -
AntiVir        7.6.0.27        7.0.0.108         2007-10-18  2.04   -
Arcavir        1.0.4           200710180949      2007-10-18  1.27   -
Avast          1.0.8           000782-1          2007-10-17  3.04   -
AVG            7.5.49.442      269.15.0/1077     2007-10-18  1.89   -
BitDefender    7.60825.900535  7.15362           2007-10-18  4.69   -
CA (VET)       8.4.0.24        31.2.5220         2007-10-18  1.19   -
ClamAV         0.91.2          4545              2007-10-18  0.16   -
Comodo         2.11            2.0.0.317         2007-10-18  1.41   -
Dr.Web         4.33            2007.10.18        2007-10-18  9.26   -
AVG Anti-Spyware 4.0.0.2         2007.10.17        2007-10-17  9.44   -
F-Prot         4.4.0.50        20071016          2007-10-16  1.32   -
F-Secure       5.51.6100       2007.10.18.02     2007-10-18  3.96   -
Fortinet       2.81-3.11       8.246             2007-10-17  1.38   -
ViRobot        20071017        2007.10.17        2007-10-17  1.13   -
Ikarus         T3.1.1.12       2007.10.18.69682  2007-10-18  3.15   -
JiangMin       10.00.650       2007.10.17        2007-10-17  1.41   -
Kaspersky      5.5.10          2007.10.18        2007-10-18  4.66   -
KingSoft       2007.6.20.249   2007.10.18        2007-10-18  2.34   -
McAfee         5.2.00          5143              2007-10-17  0.90   -
mks_vir        2.01            2007.10.18        2007-10-18  3.58   -
NOD32          2.70.10         2599              2007-10-17  0.39   -
Norman         5.91.08         5.90              2007-10-18  4.70   -
Panda          9.04.03.0001    2007.10.17        2007-10-17  5.74   -
Trend Micro    8.500-1001      4.784.01          2007-10-18  0.04   -
Prevx          V2              20071018          2007-10-18  6.34   TROJAN.PWDSTEALER.GEN
Quick Heal     9.00            2007.10.17        2007-10-17  3.88   -
Rising         19.0            19.45.32.00       2007-10-18  1.52   -
Sophos         2.49.1          4.21              2007-10-18  3.18   -
Symantec       1.3.0.24        20071017.018      2007-10-17  0.25   -
nProtect       2007-10-18.00   977997            2007-10-18  21.32  -
The Hacker     6.2.9           v00097            2007-10-18  2.71   -
VBA32          3.12.2.4        20071017.1909     2007-10-17  1.82   -
VirusBuster    4.3.19:9        9.111.1/11.0      2007-10-18  1.35   -


En revanche virscanjotti.org, n'a rien trouvé:

Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1 
 
File to upload & scan:            
Service  
Service load:  0%        100%  
 
File:  ccrpbds5.dll  
Status:  OK  
MD5:  e611130120deda76833ad644aa54f049  
Packers detected:  - 
Bit9 reports:  No threat detected (more info)  
 
Scanner results  
Scan taken on 18 Oct 2007 16:20:44 (GMT)  
A-Squared  Found nothing 
AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
CPsecure  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
F-Secure Anti-Virus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
Panda Antivirus  Found nothing 
Rising Antivirus  Found nothing 
Sophos Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing 





Que dois-je faire a présent?

jack_007 · Answer

J'ajoute ci-joint le dernier rapport hijackthis:


ogfile of HijackThis v1.99.1
Scan saved at 19:32:04, on 18/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\HiJack\Jack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.136.242 212.151.137.166
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

philae83 · Answer

bonsoir,

je regarde tout ceci, réponse dans un petit moment

philae83 · Answer

bonsoir,


* lance hijackthis puis coche ces lignes

O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll


* HORS CONNEXION, clique sur fix checked

puis


    *  Sélectionne le texte suivant :


Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hhqnzfiz]

File::
C:\windows\system32\fm20frak.dll
C:\WINDOWS\System32\syssetupb.dll

# Copie le texte sélectionné (CTRL+C).
# Ouvre le bloc-note (programme>Accessoire>bloc-note).
# Colle le texte copié dans ce bloc-note (CTRL+V).
# Sauvegarde ce fichier sous le nom de CFScript.txt
# Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture 
https://www.enregistrersous.com/

    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
      Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 
ainsi qu'un nouveau rapport hijackthis

jack_007 · Answer

Bonjour, Voici le rapport de ComboFix: ComboFix 07-10-17.8 - Patrice 2007-10-19 17:31:21.2 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.269 [GMT 2:00] Running from: D:\ComboFix.exe Command switches used :: D:\CFScript.txt * Created a new restore point FILE:: C:\windows\system32\fm20frak.dll C:\WINDOWS\System32\syssetupb.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\windows\system32\fm20frak.dll . . . . Echec de suppression C:\WINDOWS\system32\fm20frak.dll . . . . Echec de suppression c:\windows\system32\fm20frak.dll . . . . Echec de suppression C:\WINDOWS\system32\fm20frak.dll . . . . Echec de suppression C:\windows\system32\fm20frak.dll . . . . Echec de suppression c:\windows\system32\fm20frak.dll . . . . Echec de suppression C:\WINDOWS\System32\syssetupb.dll . . . . Echec de suppression . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_MLRFIXFB -------\mlrfixfb ((((((((((((((((((((((((((((( Fichiers créés 2007-09-19 to 2007-10-19 )))))))))))))))))))))))))))))))))))) . 2007-10-18 21:15 0 --a------ C:\WINDOWS\nsreg.dat 2007-10-18 18:16 118,528 --a------ C:\WINDOWS\system32\jblbrfvm.dat 2007-10-18 18:16 41,728 --a------ C:\WINDOWS\system32\ibhjagqo.dat 2007-10-18 18:16 34,560 --a------ C:\WINDOWS\system32\mprqkgge.dat 2007-10-17 10:08 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-16 22:24 d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Voisinage r‚seau 2007-10-16 22:24 d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Voisinage d'impression 2007-10-16 22:24 d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\ModŠles 2007-10-16 22:24 d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Mes documents 2007-10-16 22:24 dr------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Menu D‚marrer 2007-10-16 22:24 d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Favoris 2007-10-16 22:24 d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Bureau 2007-10-16 21:57 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe 2007-10-16 21:49 1,422 --a------ C:\Documents and Settings\Patrice.PATRICE-G03QP8A\clean.reg 2007-10-16 21:42 d-------- C:\WINDOWS\ERUNT 2007-10-16 18:14 d-------- C:\VundoFix Backups 2007-10-15 18:45 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll 2007-10-15 18:45 246,545 --a------ C:\WINDOWS\system32\libssl32.dll 2007-10-15 12:38 d-------- C:\Documents and Settings\Patrice.PATRICE-G03QP8A\Application Data\Grisoft 2007-10-14 19:54 d-------- C:\Documents and Settings\Administrateur\ModŠles 2007-10-14 19:15 1,188,375 --a------ C:\WINDOWS\system32\libeay32(2)(2).dll 2007-10-14 19:15 246,545 --a------ C:\WINDOWS\system32\libssl32(2)(2).dll 2007-10-14 17:47 d-------- C:\WINDOWS\system32\AppCert 2007-10-14 17:46 92,672 --a------ C:\WINDOWS\system32\syssetupb.dll 2007-10-14 17:46 80,896 --a------ C:\WINDOWS\system32\FM20FRAk.dll 2007-10-14 14:03 93,184 --a------ C:\WINDOWS\system32\mpruio.dll 2007-10-14 14:03 18,688 C:\WINDOWS\system32\drivers\zaidqyzz.dat 2007-10-11 19:18 27 --a------ C:\WINDOWS\mscpt.dat 2007-10-11 19:06 57,344 --a------ C:\WINDOWS\system32\WNASPINT.DLL 2007-10-11 18:50 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys 2007-10-11 18:50 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys 2007-10-09 16:52 d-------- C:\eJay 2007-10-09 16:52 307,200 --a------ C:\WINDOWS\system32\fxstudio.dll 2007-10-09 16:52 282,624 --a------ C:\WINDOWS\system32\animation2.dll 2007-10-09 16:52 159,744 --a------ C:\WINDOWS\system32\DartSock.dll 2007-10-09 16:52 106,496 --a------ C:\WINDOWS\system32\DartWeb.dll 2007-10-09 16:52 78,085 --a------ C:\WINDOWS\system32\pattern.dat 2007-10-09 16:51 97,280 --a------ C:\WINDOWS\system32\ccrpbds5.dll 2007-09-21 17:29 d--hs---- C:\FOUND.007 2007-09-20 21:15 d-------- C:\Program Files\Ontrack 2007-09-19 10:46 d-------- C:\Program Files\directx . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-12 11:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple 2007-09-06 15:31 --------- d-----w C:\Documents and Settings\Patrice.PATRICE-G03QP8A\Application Data\GeoVid 2007-09-06 15:24 --------- d-----w C:\Program Files\GeoVid 2007-09-06 15:24 --------- d-----w C:\Program Files\Fichiers communs\GeoVid 2007-08-24 10:19 19,968 --sha-w C:\Program Files\Thumbs.db 2007-08-12 11:59 4,112,760 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe 2007-07-24 13:43 41,984 ----a-w C:\WINDOWS\qucltext.exe 2007-07-19 22:57 267,112 ----a-w C:\WINDOWS\system32\xactengine2_9.dll 2007-07-19 16:14 444,776 ----a-w C:\WINDOWS\system32\d3dx10_35.dll 2007-07-19 16:14 3,727,720 ----a-w C:\WINDOWS\system32\d3dx9_35.dll 2007-07-19 16:14 1,358,192 ----a-w C:\WINDOWS\system32\D3DCompiler_35.dll . ((((((((((((((((((((((((((((( snapshot@2007-10-17_10.14.46.88 ))))))))))))))))))))))))))))))))))))))))) . + 2005-03-06 13:27:46 162,816 ----a-w C:\WINDOWS\erdnt\17-10-2007\ERDNT.EXE + 2007-10-17 19:09:18 4,141,056 ----a-w C:\WINDOWS\erdnt\17-10-2007\Users\[u]0[/u]0000001\NTUSER.DAT + 2007-10-17 19:09:18 8,192 ----a-w C:\WINDOWS\erdnt\17-10-2007\Users\[u]0[/u]0000002\UsrClass.dat + 2005-03-06 13:27:46 162,816 ----a-w C:\WINDOWS\erdnt\18-10-2007\ERDNT.EXE + 2007-10-18 16:04:10 4,116,480 ----a-w C:\WINDOWS\erdnt\18-10-2007\Users\[u]0[/u]0000001\ntuser.dat + 2007-10-18 16:04:10 8,192 ----a-w C:\WINDOWS\erdnt\18-10-2007\Users\[u]0[/u]0000002\UsrClass.dat + 2005-03-06 13:27:46 162,816 ----a-w C:\WINDOWS\erdnt\AutoBackup\17-10-2007\ERDNT.EXE + 2007-10-17 19:12:12 4,116,480 ----a-w C:\WINDOWS\erdnt\AutoBackup\17-10-2007\Users\[u]0[/u]0000001\ntuser.dat + 2007-10-17 19:12:12 8,192 ----a-w C:\WINDOWS\erdnt\AutoBackup\17-10-2007\Users\[u]0[/u]0000002\UsrClass.dat + 2005-03-06 13:27:46 162,816 ----a-w C:\WINDOWS\erdnt\AutoBackup\18-10-2007\ERDNT.EXE + 2007-10-18 10:04:04 4,116,480 ----a-w C:\WINDOWS\erdnt\AutoBackup\18-10-2007\Users\[u]0[/u]0000001\ntuser.dat + 2007-10-18 10:04:04 8,192 ----a-w C:\WINDOWS\erdnt\AutoBackup\18-10-2007\Users\[u]0[/u]0000002\UsrClass.dat + 2005-03-06 13:27:46 162,816 ----a-w C:\WINDOWS\erdnt\AutoBackup\19-10-2007\ERDNT.EXE + 2007-10-19 15:16:06 4,124,672 ----a-w C:\WINDOWS\erdnt\AutoBackup\19-10-2007\Users\[u]0[/u]0000001\NTUSER.DAT + 2007-10-19 15:16:06 8,192 ----a-w C:\WINDOWS\erdnt\AutoBackup\19-10-2007\Users\[u]0[/u]0000002\UsrClass.dat + 2005-03-06 13:27:46 162,816 ----a-w C:\WINDOWS\erdnt\AutoBackup\2007-10-19\ERDNT.EXE + 2007-10-19 15:35:18 4,124,672 ----a-w C:\WINDOWS\erdnt\AutoBackup\2007-10-19\Users\[u]0[/u]0000001\NTUSER.DAT + 2007-10-19 15:35:20 8,192 ----a-w C:\WINDOWS\erdnt\AutoBackup\2007-10-19\Users\[u]0[/u]0000002\UsrClass.dat - 2007-10-17 08:00:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2007-10-19 15:16:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2007-10-17 08:00:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2007-10-19 15:16:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2007-10-17 08:00:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2007-10-19 15:16:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat - 2007-10-17 08:10:16 270,336 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat + 2007-10-19 15:31:16 270,336 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat - 2007-08-25 14:43:28 270,192 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2007-10-17 09:34:08 270,192 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT - 2007-10-17 08:06:36 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat + 2007-10-19 15:25:36 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat - 2007-10-16 16:00:20 6,245,630 ------w C:\WINDOWS\system32\ZoneLabs\spyware.dat + 2007-10-18 16:00:18 6,270,374 ------w C:\WINDOWS\system32\ZoneLabs\spyware.dat . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309}] 2007-10-17 21:06 80896 --a------ c:\windows\system32\fm20frak.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43}] 2001-09-28 12:00 92672 --a------ C:\WINDOWS\System32\syssetupb.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "@"="" [] "Touch Manager"="C:\Program Files\Netropa\Touch Manager\TouchMgr.exe" [1999-11-19 16:56] "SoundMan"="SOUNDMAN.EXE" [2003-01-07 12:09 C:\WINDOWS\SOUNDMAN.EXE] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-02-13 14:46] "nwiz"="nwiz.exe" [2004-03-24 10:04 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-02-13 14:46] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 18:09] "BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" [] "Steam"="" [] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] @= [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hhqnzfiz] R0 kgmwgqeu;kgmwgqeu;C:\WINDOWS\System32\drivers\zaidqyzz.dat R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\System32\DRIVERS\msikbd2k.sys R3 fhlppppoe;PPPOE/ADSL miniport;C:\WINDOWS\System32\DRIVERS\fhlpppoe.sys R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys S0 lttxnhts;lttxnhts;C:\WINDOWS\System32\drivers\gtguekdw.sys S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-09-26 20:38:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-19 17:35:22 Windows 5.1.2600 FAT NTAPI scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-19 17:36:15 - machine was rebooted C:\ComboFix3.txt ... 2007-10-14 19:33 C:\ComboFix2.txt ... 2007-10-17 10:15 . --- E O F --- Voici un nouveau rapport Hijack: Logfile of HijackThis v1.99.1 Scan saved at 17:40:29, on 19/10/2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Netropa\Touch Manager\TouchMgr.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\HiJack\Jack.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe Ces fichiers sont encore et toujours la!!! Je ne peux pas les supprimer manuellement??

philae83 · Answer

bonsoir,

essaye manuellement, mais j'ai des doutes sérieux. En mode sans échec, mais il faut aussi les enlever de la bdr

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309}]


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43

jack_007 · Answer

Bonjour,

je ne souhaite pas prendre le risque de supprimer ces deux fichiers si vous n'êtes pas sûrs, tant pis je prefere rester avec le virus que de faire une bêtise et de devoir au pire faire un formatage du disque.

Il doit surement y avoir une solution qui existe pour supprimer ces fichiers. Si vous avez une idée...

philae83 · Answer

bonjour,

je n'ai pas dit que je n'étais pas certaine qu'il faille les supprimer, ce dont je ne suis pas certaine c'est qu'il veuille bien disparaitre tout simplement en les supprimant manuellement, ce n'est pas la même chose.

il est bien évident que je ne te l'aurais pas demandé si je n'en étais pas certaine (qu'ils soient néfastes)

@ te lire

jack_007 · Answer

bonjour,

J'ai essayé de supprimer les 2 dll en mode sans echec mais cela n'a pas fonctionné.

philae83 · Answer

bonjour,

je n'ai pas tout relu dans l'immédait, mais tu n'as pas d'antivirus, il faudrait en télécharger un

télécharge ANTIVIR 
antivir
puis redémarre en mode sans échec, fait un scan complet et poste le rapport ici ensuite stp

jack_007 · Answer

Si je possede 2 antivirus: No adware et Ad aware

philae83 · Answer

re

Si je possede 2 antivirus: No adware et Ad aware

ad aware n'est pas un antivirus, ensuite No adware, connais pas, mais à mon avis c'est pas non + un antivirus.
Aucun AV n'est visiblement installé sur ton ordi.

Installe ANTIVIR
AV Gratuit
antivir

Virus "Search Daily"

35 réponses

Votre réponse

Discussions similaires

Newsletters