Sujet Précédent Sujet Suivant

[Probléme] : Virus

Faern -  
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjour,
Je crois être infecté par un virus, vue que j'ai avast qui clignote souvent avec le fichier gebyx.dll, je vous ai donc fais un rapport hijack, j'ai bien l'impression que messieur gebyx n'est pas seul, merci de votre aide.

HiJackFree fichier log v3.0
Scan enregistré pour 10:35:22, le 17/10/2007
Système d'exploitation: Windows XP Service Pack 2 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 6.0 Service Pack 2 (6.0.2900.2180)

Processus actifs:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\a-squared HiJackFree\a2hijackfree.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.radioblogclub.com/search/0/pep_s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(.Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: - {16941B05-AB6F-4FAB-AFCE-57F7DB2E5875} - C:\WINDOWS\system32\gebyx.dll
O2 - BHO: - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
O2 - BHO: - {C3352FCD-CFE5-4F35-831A-19C68DDB7CF4} - C:\WINDOWS\system32\fccyyxu.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O7 - Regedit - Actif
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE,301
O9 - Extra "Tools" menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE,301
O14 - IERESET.INF: SearchAssistant=http://www.google.fr/toolbar/ie8/sidebar.html
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: wbsys.dll
O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\System32\Ati2evxx.dll
O20 - Winlogon Notify: fccyyxu - C:\WINDOWS\System32\fccyyxu.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\System32\WgaLogon.dll
O21 - ShellServiceObjectDelayLoad: PostBootReminder -
O21 - ShellServiceObjectDelayLoad: CDBurn -
O21 - ShellServiceObjectDelayLoad: WebCheck -
O21 - ShellServiceObjectDelayLoad: SysTray -
O22 - SharedTaskScheduler: Pré-chargeur Browseui - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avertissement - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service de la passerelle de la couche Application - C:\WINDOWS\System32\alg.exe
O23 - Service: Apple Mobile Device - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Gestion d'applications - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service d'état ASP.NET - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: ATI Smart - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Audio Windows - C:\WINDOWS\System32\svchost.exe
O23 - Service: avast! Antivirus - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de transfert intelligent en arrière-plan - C:\WINDOWS\system32\svchost.exe
O23 - Service: Explorateur d'ordinateur - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service d'indexation - C:\WINDOWS\system32\cisvc.exe
O23 - Service: Gestionnaire de l'Album - C:\WINDOWS\system32\clipsrv.exe
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: Comodo Application Agent - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Application système COM+ - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Services de cryptographie - C:\WINDOWS\system32\svchost.exe
O23 - Service: Lanceur de processus serveur DCOM - C:\WINDOWS\system32\svchost
O23 - Service: Client DHCP - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Gestionnaire de disque logique - C:\WINDOWS\System32\svchost.exe
O23 - Service: Client DNS - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service de rapport d'erreurs - C:\WINDOWS\System32\svchost.exe
O23 - Service: Journal des événements - C:\WINDOWS\system32\services.exe
O23 - Service: Système d'événements de COM+ - C:\WINDOWS\system32\svchost.exe
O23 - Service: Compatibilité avec le Changement rapide d'utilisateur - C:\WINDOWS\System32\svchost.exe
O23 - Service: Aide et support - C:\WINDOWS\System32\svchost.exe
O23 - Service: Accès du périphérique d'interface utilisateur - C:\WINDOWS\System32\svchost.exe
O23 - Service: HTTP SSL - C:\WINDOWS\System32\svchost.exe
O23 - Service: Service COM de gravage de CD IMAPI - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Serveur - C:\WINDOWS\system32\svchost.exe
O23 - Service: Station de travail - C:\WINDOWS\system32\svchost.exe
O23 - Service: Assistance TCP/IP NetBIOS - C:\WINDOWS\system32\svchost.exe
O23 - Service: Affichage des messages - C:\WINDOWS\system32\svchost.exe
O23 - Service: Partage de Bureau à distance NetMeeting - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Distributed Transaction Coordinator - C:\WINDOWS\system32\msdtc.exe
O23 - Service: Windows Installer - C:\WINDOWS\system32\msiexec.exe
O23 - Service: DDE réseau - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - C:\WINDOWS\system32\netdde.exe
O23 - Service: Ouverture de session réseau - C:\WINDOWS\system32\lsass.exe
O23 - Service: Connexions réseau - C:\WINDOWS\System32\svchost.exe
O23 - Service: NLA (Network Location Awareness) - C:\WINDOWS\system32\svchost.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT - C:\WINDOWS\system32\lsass.exe
O23 - Service: Stockage amovible - C:\WINDOWS\system32\svchost.exe
O23 - Service: Plug-and-Play - C:\WINDOWS\system32\services.exe
O23 - Service: Services IPSEC - C:\WINDOWS\system32\lsass.exe
O23 - Service: Emplacement protégé - C:\WINDOWS\system32\lsass.exe
O23 - Service: Gestionnaire de connexion automatique d'accès distant - C:\WINDOWS\system32\svchost.exe
O23 - Service: Gestionnaire de connexions d'accès distant - C:\WINDOWS\system32\svchost.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Routage et accès distant - C:\WINDOWS\system32\svchost.exe
O23 - Service: Accès à distance au Registre - C:\WINDOWS\system32\svchost.exe
O23 - Service: Localisateur d'appels de procédure distante (RPC) - C:\WINDOWS\system32\locator.exe
O23 - Service: Appel de procédure distante (RPC) - C:\WINDOWS\system32\svchost
O23 - Service: QoS RSVP - C:\WINDOWS\system32\rsvp.exe
O23 - Service: Gestionnaire de comptes de sécurité - C:\WINDOWS\system32\lsass.exe
O23 - Service: Carte à puce - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Planificateur de tâches - C:\WINDOWS\System32\svchost.exe
O23 - Service: Connexion secondaire - C:\WINDOWS\System32\svchost.exe
O23 - Service: Notification d'événement système - C:\WINDOWS\system32\svchost.exe
O23 - Service: Pare-feu Windows / Partage de connexion Internet - C:\WINDOWS\system32\svchost.exe
O23 - Service: Détection matériel noyau - C:\WINDOWS\System32\svchost.exe
O23 - Service: Spouleur d'impression - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: Service de restauration système - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service de découvertes SSDP - C:\WINDOWS\system32\svchost.exe
O23 - Service: Acquisition d'image Windows (WIA) - C:\WINDOWS\system32\svchost.exe
O23 - Service: MS Software Shadow Copy Provider - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Journaux et alertes de performance - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Téléphonie - C:\WINDOWS\System32\svchost.exe
O23 - Service: Services Terminal Server - C:\WINDOWS\System32\svchost
O23 - Service: Thèmes - C:\WINDOWS\System32\svchost.exe
O23 - Service: Telnet - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Client de suivi de lien distribué - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows User Mode Driver Framework - C:\WINDOWS\system32\wdfmgr.exe
O23 - Service: Hôte de périphérique universel Plug-and-Play - C:\WINDOWS\system32\svchost.exe
O23 - Service: Onduleur - C:\WINDOWS\System32\ups.exe
O23 - Service: Service Messenger Sharing Folders USN Journal Reader - C:\Program Files\MSN Messenger\usnsvc.exe
O23 - Service: User Privilege Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: Cliché instantané de volume - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Horloge Windows - C:\WINDOWS\System32\svchost.exe
O23 - Service: WebClient - C:\WINDOWS\system32\svchost.exe
O23 - Service: Infrastructure de gestion Windows - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service Windows Media Connect - C:\Program Files\Windows Media Connect 2\wmccds.exe
O23 - Service: Service de numéro de série du lecteur multimédia portable - C:\WINDOWS\System32\svchost.exe
O23 - Service: Extensions du pilote WMI - C:\WINDOWS\System32\svchost.exe
O23 - Service: Carte de performance WMI - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Mises à jour automatiques - C:\WINDOWS\system32\svchost.exe
O23 - Service: Configuration automatique sans fil - C:\WINDOWS\System32\svchost.exe
O23 - Service: Service d'approvisionnement réseau - C:\WINDOWS\System32\svchost.exe

Cordialement, Bonne journée.

27 réponses

  • 1
  • 2
Réponse 1 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonjour Faern

Tu es infecté par Vundo

1) VundoFix.exe par Atribune

Télécharge VundoFix.exe par Atribune http://www.atribune.org/content/view/24/2/ sur ton Bureau.

* Double-clique sur VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est terminé, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

--> Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".


2) Fermetures services dangereux

Va dans demarrer / executer tapes services.msc la fenetre des services s ouvre

aide toi de ses 2 liens pour desactiver les services dangereux et inutiles

(via clique droit propriétés/ et dans type de demarrage mettre sur desactiv" puis appliquer et ok sur les lignes correspondant aux services en question, et ceci un a un)

http://speedweb1.free.fr/frames2.php?page=service3
et
http://speedweb1.free.fr/frames2.php?page=service4

Sont dans ce cas entre autre

Gestionnaire de l'Album
Service de rapport d'erreurs
Serveur
WebClient
Telnet
etc...
+ Aide et support a mettre en manuel

3) Rapports

Une fois tout cela fait poste le rapport VundoFix en reponse ainsi qu un nouvel HijackThis.

@+
0
Réponse 2 / 27
Faern
 
Bonjour,
Merci de votre aide, j'ai suvis a la lettre vos instructions voici les résultats :

HiJackFree fichier log v3.0
Scan enregistré pour 14:38:04, le 17/10/2007
Système d'exploitation: Windows XP Service Pack 2 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 6.0 Service Pack 2 (6.0.2900.2180)

Processus actifs:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\a-squared HiJackFree\a2hijackfree.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.radioblogclub.com/search/0/pep_s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(.Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: - {16941B05-AB6F-4FAB-AFCE-57F7DB2E5875} - C:\WINDOWS\system32\gebyx.dll
O2 - BHO: - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O7 - Regedit - Actif
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE,301
O9 - Extra "Tools" menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE,301
O14 - IERESET.INF: SearchAssistant=http://www.google.fr/toolbar/ie8/sidebar.html
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: wbsys.dll
O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\System32\Ati2evxx.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\System32\WgaLogon.dll
O21 - ShellServiceObjectDelayLoad: PostBootReminder -
O21 - ShellServiceObjectDelayLoad: CDBurn -
O21 - ShellServiceObjectDelayLoad: WebCheck -
O21 - ShellServiceObjectDelayLoad: SysTray -
O22 - SharedTaskScheduler: Pré-chargeur Browseui - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avertissement - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service de la passerelle de la couche Application - C:\WINDOWS\System32\alg.exe
O23 - Service: Apple Mobile Device - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Gestion d'applications - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service d'état ASP.NET - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: ATI Smart - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Audio Windows - C:\WINDOWS\System32\svchost.exe
O23 - Service: avast! Antivirus - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de transfert intelligent en arrière-plan - C:\WINDOWS\system32\svchost.exe
O23 - Service: Explorateur d'ordinateur - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service d'indexation - C:\WINDOWS\system32\cisvc.exe
O23 - Service: Gestionnaire de l'Album - C:\WINDOWS\system32\clipsrv.exe
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: Comodo Application Agent - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Application système COM+ - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Services de cryptographie - C:\WINDOWS\system32\svchost.exe
O23 - Service: Lanceur de processus serveur DCOM - C:\WINDOWS\system32\svchost
O23 - Service: Client DHCP - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Gestionnaire de disque logique - C:\WINDOWS\System32\svchost.exe
O23 - Service: Client DNS - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service de rapport d'erreurs - C:\WINDOWS\System32\svchost.exe
O23 - Service: Journal des événements - C:\WINDOWS\system32\services.exe
O23 - Service: Système d'événements de COM+ - C:\WINDOWS\system32\svchost.exe
O23 - Service: Compatibilité avec le Changement rapide d'utilisateur - C:\WINDOWS\System32\svchost.exe
O23 - Service: Aide et support - C:\WINDOWS\System32\svchost.exe
O23 - Service: Accès du périphérique d'interface utilisateur - C:\WINDOWS\System32\svchost.exe
O23 - Service: HTTP SSL - C:\WINDOWS\System32\svchost.exe
O23 - Service: Service COM de gravage de CD IMAPI - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Serveur - C:\WINDOWS\system32\svchost.exe
O23 - Service: Station de travail - C:\WINDOWS\system32\svchost.exe
O23 - Service: Assistance TCP/IP NetBIOS - C:\WINDOWS\system32\svchost.exe
O23 - Service: Affichage des messages - C:\WINDOWS\system32\svchost.exe
O23 - Service: Partage de Bureau à distance NetMeeting - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Distributed Transaction Coordinator - C:\WINDOWS\system32\msdtc.exe
O23 - Service: Windows Installer - C:\WINDOWS\system32\msiexec.exe
O23 - Service: DDE réseau - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - C:\WINDOWS\system32\netdde.exe
O23 - Service: Ouverture de session réseau - C:\WINDOWS\system32\lsass.exe
O23 - Service: Connexions réseau - C:\WINDOWS\System32\svchost.exe
O23 - Service: NLA (Network Location Awareness) - C:\WINDOWS\system32\svchost.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT - C:\WINDOWS\system32\lsass.exe
O23 - Service: Stockage amovible - C:\WINDOWS\system32\svchost.exe
O23 - Service: Plug-and-Play - C:\WINDOWS\system32\services.exe
O23 - Service: Services IPSEC - C:\WINDOWS\system32\lsass.exe
O23 - Service: Emplacement protégé - C:\WINDOWS\system32\lsass.exe
O23 - Service: Gestionnaire de connexion automatique d'accès distant - C:\WINDOWS\system32\svchost.exe
O23 - Service: Gestionnaire de connexions d'accès distant - C:\WINDOWS\system32\svchost.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Routage et accès distant - C:\WINDOWS\system32\svchost.exe
O23 - Service: Accès à distance au Registre - C:\WINDOWS\system32\svchost.exe
O23 - Service: Localisateur d'appels de procédure distante (RPC) - C:\WINDOWS\system32\locator.exe
O23 - Service: Appel de procédure distante (RPC) - C:\WINDOWS\system32\svchost
O23 - Service: QoS RSVP - C:\WINDOWS\system32\rsvp.exe
O23 - Service: Gestionnaire de comptes de sécurité - C:\WINDOWS\system32\lsass.exe
O23 - Service: Carte à puce - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Planificateur de tâches - C:\WINDOWS\System32\svchost.exe
O23 - Service: Connexion secondaire - C:\WINDOWS\System32\svchost.exe
O23 - Service: Notification d'événement système - C:\WINDOWS\system32\svchost.exe
O23 - Service: Pare-feu Windows / Partage de connexion Internet - C:\WINDOWS\system32\svchost.exe
O23 - Service: Détection matériel noyau - C:\WINDOWS\System32\svchost.exe
O23 - Service: Spouleur d'impression - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: Service de restauration système - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service de découvertes SSDP - C:\WINDOWS\system32\svchost.exe
O23 - Service: Acquisition d'image Windows (WIA) - C:\WINDOWS\system32\svchost.exe
O23 - Service: MS Software Shadow Copy Provider - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Journaux et alertes de performance - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Téléphonie - C:\WINDOWS\System32\svchost.exe
O23 - Service: Services Terminal Server - C:\WINDOWS\System32\svchost
O23 - Service: Thèmes - C:\WINDOWS\System32\svchost.exe
O23 - Service: Telnet - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Client de suivi de lien distribué - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows User Mode Driver Framework - C:\WINDOWS\system32\wdfmgr.exe
O23 - Service: Hôte de périphérique universel Plug-and-Play - C:\WINDOWS\system32\svchost.exe
O23 - Service: Onduleur - C:\WINDOWS\System32\ups.exe
O23 - Service: Service Messenger Sharing Folders USN Journal Reader - C:\Program Files\MSN Messenger\usnsvc.exe
O23 - Service: User Privilege Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: Cliché instantané de volume - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Horloge Windows - C:\WINDOWS\System32\svchost.exe
O23 - Service: WebClient - C:\WINDOWS\system32\svchost.exe
O23 - Service: Infrastructure de gestion Windows - C:\WINDOWS\system32\svchost.exe
O23 - Service: Service Windows Media Connect - C:\Program Files\Windows Media Connect 2\wmccds.exe
O23 - Service: Service de numéro de série du lecteur multimédia portable - C:\WINDOWS\System32\svchost.exe
O23 - Service: Extensions du pilote WMI - C:\WINDOWS\System32\svchost.exe
O23 - Service: Carte de performance WMI - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Mises à jour automatiques - C:\WINDOWS\system32\svchost.exe
O23 - Service: Configuration automatique sans fil - C:\WINDOWS\System32\svchost.exe
O23 - Service: Service d'approvisionnement réseau - C:\WINDOWS\System32\svchost.exe

Et :

C:\WINDOWS\system32\fccyyxu.dll
C:\windows\system32\ssqqopo.dll

Voila, je suis a votre écoute.
Cordialement, bonne journée.
0
Réponse 3 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir faern

J ai besoin du rapport VundoFix dans son intégralité. Tout d'abord, fais moi le parvenir stp.

Puis fait ce qui suit :

VundoFix

* Double-clique VundoFix.exe afin de le lancer.
* Ne clique sur le bouton Scan for Vundo mais fais un clic droit dans la fenêtre blanche et clique "Add more files ?"
* Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):

C:\WINDOWS\system32\gebyx.dll

* Clique sur le bouton "Add File(s)"
* Clique sur le bouton "Close Window"
* Clique à nouveau sur "Remove Vundo"
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.

As tu fait ce que je t ai demandé pour les services ? Je ne crois pas...il faut le faire .

@ +
0
Réponse 4 / 27
Faern
 
Alors, j'ai fais tout ce que vous m'aviez dit, même pour les services.
Voici le rapport de vundo ( désolé j'avais copier le mauvais hier ) :

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.7
Old versions of java are exploitable and should be removed.

Scan started at 14:20:00 17/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\fccyyxu.dll
C:\windows\system32\ssqqopo.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\fccyyxu.dll
C:\WINDOWS\system32\fccyyxu.dll Has been deleted!

Attempting to delete C:\windows\system32\ssqqopo.dll
C:\windows\system32\ssqqopo.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Java version is 1.5.0.7
Old versions of java are exploitable and should be removed.

Scan started at 14:18:13 18/10/2007

Listing files found while scanning....

Et le nouveau scan hijack :

Logfile of HijackThis v1.99.1
Scan saved at 14:25:46, on 18/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\Julio\Bureau\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.radioblogclub.com/search/0/pep_s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16941B05-AB6F-4FAB-AFCE-57F7DB2E5875} - C:\WINDOWS\system32\gebyx.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E23C4506-7580-4774-B3A2-8822E2C7C965}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir faern

Bien joué.

On continue

1) Télécharge OTMoveIt (de Old_Timer)
sur ton Bureau. N'y touche pas pour le moent.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

2) Redémarre en mode sans échec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

3) Lance HijackThis.

Ferme toutes les autres fenetres, tous les autres programmes.Pas de connection internet.

Clique sur Do a system scan only et coche les lignes suivantes, Clique sur Fix Checked puis clique sur OK

O2 - BHO: (no name) - {16941B05-AB6F-4FAB-AFCE-57F7DB2E5875} - C:\WINDOWS\system32\gebyx.dll (file missing)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

4) OTMoveIt

Double clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\tsnpstd3.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

5) Rapports

Redemarre en mode normal

* Télécharge Combofix.exe (par sUBs)
sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera terminé, un rapport apparaîtra.

* Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis ainsi que le rapport d OTMoveIt. (situé dans C:\_OTMoveIt\MovedFiles.)

et dis moi ce que cela donne , ton pc se porte t il mieux ?

@ suivre

PS
* Pour msn, lance msn outils / options / onglet general decoche "executer messenger automatiquement a l ouverture de Windows" puis appliquer et ok.

* Pour skype, lance skype et decoche lancer skype au demarrage de Windows.
Cela t evitera que ces 2 programmes ne se lancent inutilement au demarrage de ton pc, ralentissant ainsi celui ci.
0
Réponse 6 / 27
Faern
 
Bonjour,
Merci beaucoup pour ton aide, mon pc a l'air de beaucoup mieux se porter.
Voici tous les rapports :

ComboFix 07-10-19.1 - Julio 2007-10-19 14:48:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.156 [GMT 3:00]
Running from: C:\Documents and Settings\Julio\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\Documents and Settings\Julio\ravmonlog

.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-19 to 2007-10-19 ))))))))))))))))))))))))))))))))))))
.

2007-10-19 14:47 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-19 13:09 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-10-19 13:09 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-10-19 13:09 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-10-19 13:09 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-10-19 12:50 <REP> d-------- C:\Program Files\WarRock
2007-10-19 12:49 <REP> d-------- C:\Documents and Settings\Julio\Application Data\InstallShield
2007-10-18 14:00 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-10-17 14:20 <REP> d-------- C:\VundoFix Backups
2007-10-15 11:50 <REP> d-------- C:\Program Files\iTunes
2007-10-15 11:50 <REP> d-------- C:\Program Files\iPod
2007-10-14 18:52 <REP> d-------- C:\Program Files\Hamachi
2007-10-11 13:46 <REP> d-------- C:\Program Files\a-squared HiJackFree
2007-10-06 22:08 <REP> d-------- C:\Documents and Settings\Julio\Application Data\Magic Stones
2007-09-23 17:39 <REP> d-------- C:\Program Files\Plasma Pong

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-19 11:47 --------- d-----w C:\Documents and Settings\Julio\Application Data\Hamachi
2007-10-19 10:53 --------- d-----w C:\Documents and Settings\Julio\Application Data\Skype
2007-10-19 09:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-18 12:25 --------- d-----w C:\Documents and Settings\Julio\Application Data\Azureus
2007-10-17 23:53 --------- d-----w C:\Program Files\Java
2007-10-16 14:15 --------- d-----w C:\Program Files\Steam
2007-10-14 22:16 --------- d-----w C:\Program Files\Teamspeak2_RC2
2007-10-14 15:52 26,056 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-10-11 12:58 --------- d-----w C:\Program Files\DaemonTools_WhenUSave_Installer
2007-10-11 11:02 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-10-11 11:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-10-11 10:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-10-07 04:43 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-10-06 10:26 --------- d-----w C:\Program Files\Azureus
2007-09-27 14:28 --------- d-----w C:\Program Files\Winamp
2007-09-16 07:24 --------- d-----w C:\Program Files\Apple Software Update
2007-09-16 07:21 --------- d-----w C:\Program Files\QuickTime
2007-09-15 18:32 --------- d-----w C:\Program Files\AWC
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-26 11:09 --------- d-----w C:\Documents and Settings\Julio\Application Data\teamspeak2
2007-08-23 18:00 --------- d-----w C:\Program Files\GOA
2007-08-22 19:42 --------- d-----w C:\Program Files\Skype
2007-08-22 19:42 --------- d-----w C:\Program Files\Fichiers communs\Skype
2007-08-22 19:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2007-08-21 18:44 --------- d-----w C:\Program Files\Cheating-Death
2007-08-21 13:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-08-14 16:30 1 ----a-w C:\Documents and Settings\Julio\SI.bin
2007-08-01 20:46 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-07-30 15:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 15:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 15:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 15:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 15:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 15:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 15:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 15:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-23 21:40 1,632,104 ----a-w C:\WINDOWS\Counter-Strike Source LAN Edition Uninstaller.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2007-05-01 12:02]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 13:06]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-23 15:08 C:\WINDOWS\RTHDCPL.EXE]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 11:41]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 05:07]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 14:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 19:45]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 01:29]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoSimpleStartMenu"=0 (0x0)
"AllowLegacyWebView"=1 (0x1)
"AllowUnhashedWebView"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"=1 (0x1)
"NoTrayItemsDisplay"=0 (0x0)
"NoToolbarsOnTaskbar"=0 (0x0)
"NoResolveTrack"=0 (0x0)
"NoResolveSearch"=0 (0x0)
"NoRecentDocsMenu"=0 (0x0)
"NoSMMyPictures"=0 (0x0)
"NoRecentDocsHistory"=0 (0x0)
"NoStartMenuMFUprogramsList"=0 (0x0)
"NoUserNameInStartMenu"=0 (0x0)
"NoStartMenuMorePrograms"=0 (0x0)
"MaxRecentDocs"=15 (0xf)
"NoInstrumentation"=0 (0x0)
"MemCheckBoxInRunDlg"=1 (0x1)
"NoSMBalloonTip"=0 (0x0)
"DisallowCpl"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll 2005-12-20 21:57 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=wbsys.dll

R0 viadsk;viadsk;C:\WINDOWS\system32\DRIVERS\viadsk.sys
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys
S3 hamachi_oem;PlayLinc Adapter;C:\WINDOWS\system32\DRIVERS\gan_adapter.sys
S3 TIEHDUSB;TIEHDUSB;C:\WINDOWS\system32\drivers\tiehdusb.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29431b2c-0a99-11dc-9f70-0016178d04f5}]
Auto\command - AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29431b47-0a99-11dc-9f70-0016178d04f5}]
Auto\command - G:\AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aba1bc6d-02ed-11dc-9f6d-0016178d04f5}]
Auto\command - AdobeR.exe e
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcbcce53-f7b6-11db-9307-806d6172696f}]
AutoRun\command - E:\setup.exe

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-10-15 05:18:22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-19 14:52:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-19 14:52:45
.
--- E O F ---

Puis, Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 14:54:54, on 19/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Julio\Bureau\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.radioblogclub.com/search/0/pep_s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E23C4506-7580-4774-B3A2-8822E2C7C965}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Et enfin celui de OTMoveIT :

C:\WINDOWS\tsnpstd3.exe moved successfully.

Created on 10/19/2007 14:03:43

Merci encore pour toute cette assistance, bonne journée a toi.
0
Réponse 7 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Hello

Avec plaisir ;-)

Je regarde tout cela par la suite, mais d or et deja je vois ravmonlog dans le rapport de ComboFix, c est les traces d un ver ( AdobeR.exe) qui se transmet via clef usb :

Infos chez Malekal_Morte http://forum.malekal.com/ftopic3350.php


Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection.
Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer"

Il faut que l on desinfecte tes clefs, tes DD externes, Mp3 mp4 etc..branche les sur ton pc puis :

1) Telecharge Flash desinfector

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Il suffit de cliquer sur le fichier .exe
Si la clef n'est pas introduite, il sera demandé de la connecter.

2) A lire et a appliquer par la suite
Vaccination des clefs usb https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
Merci a Gof

@ plutard
0
Réponse 8 / 27
Faern
 
Reuh,

Et voila j'ai bien tout lu, les explications sont franchement trés clair, j'ai désinfecter mes clefs, DD externes et mp3, puis je les ai vacciner, donc normalement on l'a éradiqué si j'ai bien compris.

@Plus tard, avec grand plaisir.
0
Réponse 9 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
re Faern

Pour le ver oui,normalement.

Pour ton probleme principal c etait l adware Vundo le responsable.Il faut que je regarde de plus pret tes rapports, mais je verrais cela + tard, car je ne peux pas maintenant, mais c est en bonne voie, ce n est pas deja fini pour autant...

@ suivre
0
Réponse 10 / 27
Faern
 
Re Mister Sioux,

Je reste a l'écoute, et je patiente, pas de soucis, bientot le week end, j'aurais pas besoin du pc, donc ca peut attendre, il a l'air mieux en ce moment, je te remercie pour tout, et nous avons gagner la bataille mais pas encore la guerre ;)

Bonne Journée a toi.
0
Réponse 11 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Faern

Je me penche ce week end sur ton probleme, ce n est pas plus mal que tu ne sois pas pressé, j ai du pain sur la planche ailleurs lol

Bon week end, @ tres bientot.
0
Réponse 12 / 27
g!rly Messages postés 18462 Statut Contributeur 406
 
bonsoir, vous...
0
Réponse 13 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Mlle ;-)

Ca farte ..euh..pardon, ça surf ? lol
0
Réponse 14 / 27
Faern
 
Bonjour Mlle Girly, quel bon vent vous améne par ici ?
0
Réponse 15 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonjour Faern

Je te prépare une procedure pour nettoyer le registre avec ce que l on appelle un regFix, mais j ai demandé un coup de main a des amis pour faire cela, je te fais passer la procédure avant lundi matin ;-)

Bon dimanche.
0
Réponse 16 / 27
Faern
 
Bonsoir,
Je patiente, je patiente, il n'y pas de soucis la dessus, et je reste a votre écoute.

Bonne soirée a vous.
0
Réponse 17 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Faern

C est reparti ;-)

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"SynchronousMachineGroupPolicy"=-
"SynchronousUserGroupPolicy"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=-
"NoSimpleStartMenu"=-
"AllowLegacyWebView"=-
"AllowUnhashedWebView"=-

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"=dword:00000000
"NoTrayItemsDisplay"=dword:00000000
"NoToolbarsOnTaskbar"=-
"NoResolveTrack"=dword:00000000
"NoResolveSearch"=dword:00000000
"NoRecentDocsMenu"=-
"NoSMMyPictures"=-
"NoRecentDocsHistory"=-
"NoStartMenuMFUprogramsList"=-
"NoUserNameInStartMenu"=-
"NoStartMenuMorePrograms"=-
"MaxRecentDocs"=-
"NoInstrumentation"=dword:00000000
"MemCheckBoxInRunDlg"=dword:00000000
"NoSMBalloonTip"=dword:00000000
"DisallowCpl"=dword:00000000


Attention REGEDIT4 doit être impérativement sur la toute 1ere ligne, sinon, le script ne fonctionnera pas

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers" --> très important
clique sur "enregistrer"

Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

Si c'est bien le cas, clique sur "oui"

Je te donnerais d autres consignes une fois cela fait.

@+
0
Réponse 18 / 27
Faern
 
Bonsoir,

Et voila, j'ai tout suivi et c'est fait, j'attends les autres instructions mister, c'est toujours un plaisir de te lire.

Bonne soirée, Faern.
0
Réponse 19 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir faern

Excuse le retard dans mes réponses, mais j ai eu pas mal a faire ces temps ci pour les pc de 2 potes (et moi je me suis essayé un peu a Linux.. :-) )

Il nous reste un petit RegFix a faire pour les lignes du registre en rapport avec AdobeR a la fin de ton log ComboFix, mais j attends une confirmation pour te le faire executer.
Merci a Did 71 et Evosla.

Par la suite on supprimera les outils utilisés pour la desinfection, nous ferons un scan en ligne de verif puis nous concluerons ce sujet, je te
guiderai pour faire tout cela et te donnerai ensuite mes derniers conseils de securité.

@ bientot.
0
Réponse 20 / 27
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Re

1) PCA d 'Evosla

Télécharge : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite de Evosla

Décompresse le sur ton " Bureau "
Lance l'analyse (en haut à gauche) --- enregistre le rapport généré (en bas à droite)

Le rapport va etre positionné sur ton bureau " PCA_LOG.txt " --->publie le dans ta prochaine réponse

------------- puis -------------

2) Fix2.reg

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29431b2c-0a99-11dc-9f70-0016178d04f5}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aba1bc6d-02ed-11dc-9f6d-0016178d04f5}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcbcce53-f7b6-11db-9307-806d6172696f}]

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix2.reg
Type de fichier : "tous les fichiers" --> très important
clique sur "enregistrer"

Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

Si c'est bien le cas, clique sur "oui"

3) Rapports

Poste un nouvel Hijackthis et le log de PCA d'Evosla ( PCA_LOG.txt ).

Merci a Did 71 et Evosla

@ suivre.
0