trojan-spy.win32@mx Résolu

Question

Bonjour,je suis victime du virus trojan-spy32@mx.
j'ai tente pas mal de chose pour m'en debarasse mais sans resultat.
que dois je faire ?
merci de m'aider.

ZORB80 · Answer

j'ai tente une reparation de xp sans succe + divers anti virus + divers manip vu sur le forum
please help me

ZORB80 · Answer

en mode sans echec  j ai lance smitfraudfix.voici son rapport:

SmitFraudFix v2.252

Rapport fait à 10:00:17,90, 13/11/2007
Executé à partir de C:\Temp\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jerome


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jerome\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jerome\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\System32\__c0081C2E.dat"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme Gigabit Ethernet for hp - Miniport d'ordonnancement de paquets
DNS Server Search Order: 194.2.0.20
DNS Server Search Order: 194.2.0.50

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FBFCAEEE-3493-4881-9136-B94FA49EFAE8}: NameServer=194.2.0.20,194.2.0.50
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FBFCAEEE-3493-4881-9136-B94FA49EFAE8}: NameServer=194.2.0.20,194.2.0.50
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FBFCAEEE-3493-4881-9136-B94FA49EFAE8}: NameServer=194.2.0.20,194.2.0.50


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ZORB80 · Answer

PERSONNE POUR M'AIDER ?

darakk · Answer

Bonjour, 
j'ai le méme probléme, dés que je l'ai reglé je te post une reponse. si je le régle lol

ZORB80 · Answer

Bonjour, 
EN CE QUI ME CONCERNE , J 'AI ECRASER L'ANCIENNE INSTALL D'XP PAR UNE NOUVELLE SANS FORMATER LE DISQUE ET CA A L'AIR D'ALLER.

darakk · Answer

je pense que je vais formater, j'ai testé tout ce que j'ai trouvé sur les forums fr, rien à faire.

Lolo1234 · Answer

Salut, J'avais le meme probleme, regarde ce post ca peut peut etre t'aider. http://www.commentcamarche.net/forum/affich 4052607 infection networm i virus spyworm win32#0

darakk · Answer

salut,
visiblement c'etait un vundo, merci pour le lien, bizarement ma femme avait deja telechargé vundofix, mais pas fonctionné, enfin le probléme est resolu de mon coté. merci

ZORB80 · Answer

Bonjour, 2 JOURS APRES LA NOUVELLE INSTALL , LES MEMES MESSAGES SONT REAPARU.
JE NE VOIS PLUS QU'UNE CHOSE A FAIRE : FORMATAGE GENERAL.

darakk · Answer

Bonjour, 
va sur le lien de lolo!!!! suis la methode, normalement ça devrait aller

g!rly · Answer

dans ce cas il faut poster un hijack this :

Télécharge HijackThis version francaise ici : 

-> http://pchelpbordeaux.free.fr/logiciels.html

Tutoriel d´installation (images) :

-> http://pchelpbordeaux.free.fr/tuto.html

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

et aviser...

ZORB80 · Answer

Bonjour, VOICI E RAPPORT HIJACK :


Logfile of HijackThis v1.99.1
Scan saved at 09:12:59, on 19/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\PROGRAM FILES\TREND MICRO\CLIENT SERVER SECURITY AGENT\0FCD0G.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\POP Peeper\POPPeeper.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Program Files\Trend Micro\Client Server Security Agent\Pop3Trap.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE} - C:\WINDOWS\system32\urqppno.dll
O2 - BHO: (no name) - {ECC31E8D-5D04-4AFF-81B7-B91E36BABD06} - C:\WINDOWS\System32\ddaya.dll
O2 - BHO: FShow - {F28ED85C-A8AE-4e69-B92E-6279C02010DC} - C:\Program Files\FShow\win-browser.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOCUME~1\JEROME~1.DOM\LOCALS~1\Temp\gebcd.dll,c
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\Software\..\Telephony: DomainName = DomAPACA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2856D9B-97E7-4B54-A943-96E6E366A960}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = DomAPACA.local
O20 - Winlogon Notify: urqppno - C:\WINDOWS\SYSTEM32\urqppno.dll
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe

g!rly · Answer

bonjour,

Téléchargez ceci (de gchris) : http://komun.chez-alice.fr/Repertoire/Utilitaires.Desinfection.html
Dézippez-le sur votre bureau (clic droit -> extraire tout).
Vérifiez que vous êtes bien connecté à internet.
Dans le dossier créé, double-cliquez sur le fichier "Ad-Fix.bat" ou "Ad-fix"
Choisissez l'option 1.
Si vous avez un message de votre pare-feu qui vous demande si vous voulez autoriser le fichier URL2FILE.EXE à
se connecter à Internet, Autorisez, c'est nécessaire à ad-fix pour vérifier la version.
Quand c'est finit (cela peut prendre plusieurs minutes), un rapport s'ouvre avec le bloc-notes.
Merci de faire un copier/coller ici du contenu du rapport (Ad-Fix.txt)

@+

ZORB80 · Answer

Bonjour, CI JOINR LE RAPPORT D'AD FIX:

 
 
         Ad-Fix v0.101e
         by gchris
 
 
OPTION 1 (Scan) :
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

                  Démarré à : 

10:59:42,54 19/11/2007  


                  Executé depuis : 

C:\Documents and Settings\jerome.DOMAPACA\Bureau\Ad-Fix


                  Os : 

Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
            Recherche de fichier manquant
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Recherche de fichiers cachés (pas forcément mauvais)
 
 
    Fichiers cachés à la racine du disque système :
 
boot.ini
Bootfont.bin
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys
 
    Fichiers cachés dans le répertoire Windows :
 
WindowsShell.Manifest
winnt.bmp
winnt256.bmp
 
    Fichiers cachés dans le répertoire System32 :
 
ayadd.ini
ayadd.ini2
cdplayer.exe.manifest
hmlzbpaa.dllbox
logonui.exe.manifest
ncpa.cpl.manifest
nwc.cpl.manifest
qtjtjnxu.dllbox
R_DHK_IPDLC_NOMEM.csv
R_DK_IPDLC_ALL.csv
R_DK_PCL5E_300.csv
R_DK_PCL5E_600.csv
R_DK_PCLXL_1200_11.csv
R_DK_PCLXL_600_11.csv
R_DK_RPCS_ALL.csv
R_DK_RPDL_1200.csv
R_DK_RPDL_400.csv
R_DK_RPDL_600.csv
R_HK_IPDLC_ALL.csv
R_HK_PCL5E_300.csv
R_HK_PCL5E_600.csv
R_HK_PCLXL_1200_11.csv
R_HK_PCLXL_600_11.csv
R_HK_RPCS_ALL.csv
R_HK_RPDL_1200.csv
R_HK_RPDL_400.csv
R_HK_RPDL_600.csv
sapi.cpl.manifest
WindowsLogon.manifest
wuaucpl.cpl.manifest
zllictbl.dat
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Analyse du registre
 

---------- USER AGENT -- POST PLATFORM

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

----------

----------  AppInit_DLLs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

----------
 
 
   Complete!
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Recherche de fichiers et dossiers
 
 
C:\WINDOWS\web\related.htm     Détecté !
 
 
C:\WINDOWS\system32\dmcpl.exe     Détecté !
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Terminé à 11:02:11,18

g!rly · Answer

re,

¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).  

Lancez de nouveau Ad-fix
Choisissez l'option 2
Le bureau ou les icônes vont disparaître, c'est normal.
Quand c'est terminé, pressez la touche "entrée" pour redémarrer l'ordinateur.

et

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt 

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Copie colle ici, le contenu des rapports.

ainsi qu´un nouveau hijack this 

@+

ZORB80 · Answer

VOICI LE RAPPORT VUNDOFIX:


VundoFix V6.6.2

Checking Java version...

Java version is 1.4.2.1
Old versions of java are exploitable and should be removed.

Scan started at 12:48:49 19/11/2007

Listing files found while scanning....

C:\windows\system32\__c002B824.dat
C:\windows\system32\__c0032C0.dat
C:\windows\system32\ayadd.ini
C:\windows\system32\ayadd.ini2
C:\windows\system32\ddaya.dll
C:\windows\system32\hmlzbpaa.dllbox
C:\windows\system32\qtjtjnxu.dllbox
C:\windows\system32\urqppno.dll

Beginning removal...

 Attempting to delete C:\windows\system32\__c002B824.dat
C:\windows\system32\__c002B824.dat Has been deleted!

 Attempting to delete C:\windows\system32\__c0032C0.dat
C:\windows\system32\__c0032C0.dat Has been deleted!

 Attempting to delete C:\windows\system32\ayadd.ini
C:\windows\system32\ayadd.ini Has been deleted!

 Attempting to delete C:\windows\system32\ayadd.ini2
C:\windows\system32\ayadd.ini2 Has been deleted!

 Attempting to delete C:\windows\system32\ddaya.dll
C:\windows\system32\ddaya.dll Has been deleted!

 Attempting to delete C:\windows\system32\hmlzbpaa.dllbox
C:\windows\system32\hmlzbpaa.dllbox Has been deleted!

 Attempting to delete C:\windows\system32\qtjtjnxu.dllbox
C:\windows\system32\qtjtjnxu.dllbox Has been deleted!

 Attempting to delete C:\windows\system32\urqppno.dll
C:\windows\system32\urqppno.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\windows\system32\urqppno.dll
C:\windows\system32\urqppno.dll Could not be deleted.

Performing Repairs to the registry.
Done!

ET LE RAPPORT hijack this 

Logfile of HijackThis v1.99.1
Scan saved at 14:09:00, on 19/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\PROGRAM FILES\TREND MICRO\CLIENT SERVER SECURITY AGENT\0FCD0G.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Program Files\XMicro Internet Security\TScutyNT.exe
C:\Program Files\XMicro Internet Security\TSAtUdt.exe
C:\Program Files\Trend Micro\Client Server Security Agent\Pop3Trap.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\POP Peeper\POPPeeper.exe
C:\WINDOWS\System32undll32.exe
C:\Program Files\XMicro Internet Security\AntiSpam\OEInject.exe
C:\Program Files\XMicro Internet Security\AntiSpam\Tray.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE} - C:\WINDOWS\system32\urqppno.dll
O2 - BHO: (no name) - {BC17409F-7FD4-4C43-AD05-31B5181DB9FD} - C:\WINDOWS\System32\ddaya.dll (file missing)
O2 - BHO: (no name) - {EF86550D-B128-4E54-B1B7-61A437D20090} - C:\DOCUME~1\JEROME~1.DOM\LOCALS~1\Temp\gebcd.dll
O2 - BHO: FShow - {F28ED85C-A8AE-4e69-B92E-6279C02010DC} - C:\Program Files\FShow\win-browser.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Total Security] C:\Program Files\XMicro Internet Security\TScutyNT.exe
O4 - HKLM\..\Run: [TotalSecurityUpdate] C:\Program Files\XMicro Internet Security\TSAtUdt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOCUME~1\JEROME~1.DOM\LOCALS~1\Temp\gebcd.dll,c
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Startup: AntiSpam Express.lnk = C:\Program Files\XMicro Internet Security\AntiSpam\OEInject.exe
O4 - Startup: AntiSpam.lnk = C:\Program Files\XMicro Internet Security\AntiSpam\Tray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\Software\..\Telephony: DomainName = DomAPACA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2856D9B-97E7-4B54-A943-96E6E366A960}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = DomAPACA.local
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe

g!rly · Answer

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

ZORB80 · Answer

AUCUN ECRAN BLEU N'EST APPARU.
VOICI LE RAPPORT VBG:


[11/19/2007, 14:14:26] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\jerome.DOMAPACA\Bureau\VirtumundoBeGone.exe" )
[11/19/2007, 14:14:32] - Detected System Information:
[11/19/2007, 14:14:32] -  Windows Version: 5.1.2600, Service Pack 1
[11/19/2007, 14:14:32] -  Current Username: jerome (Admin)
[11/19/2007, 14:14:32] -  Windows is in NORMAL mode.
[11/19/2007, 14:14:32] - Searching for Browser Helper Objects:
[11/19/2007, 14:14:32] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[11/19/2007, 14:14:32] -  BHO 2: {0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE} ()
[11/19/2007, 14:14:32] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/19/2007, 14:14:32] -  Checking for HKLM\...\Winlogon\Notify\urqppno
[11/19/2007, 14:14:32] -  Key not found: HKLM\...\Winlogon\Notify\urqppno, continuing.
[11/19/2007, 14:14:32] -  BHO 3: {BC17409F-7FD4-4C43-AD05-31B5181DB9FD} ()
[11/19/2007, 14:14:32] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/19/2007, 14:14:32] -  Checking for HKLM\...\Winlogon\Notify\ddaya
[11/19/2007, 14:14:32] -  Key not found: HKLM\...\Winlogon\Notify\ddaya, continuing.
[11/19/2007, 14:14:32] -  BHO 4: {EF86550D-B128-4E54-B1B7-61A437D20090} ()
[11/19/2007, 14:14:32] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/19/2007, 14:14:32] -  Checking for HKLM\...\Winlogon\Notify\gebcd
[11/19/2007, 14:14:32] -  Key not found: HKLM\...\Winlogon\Notify\gebcd, continuing.
[11/19/2007, 14:14:32] -  BHO 5: {F28ED85C-A8AE-4e69-B92E-6279C02010DC} (FShow)
[11/19/2007, 14:14:32] - Finished Searching Browser Helper Objects
[11/19/2007, 14:14:32] - Finishing up...
[11/19/2007, 14:14:32] - Nothing found! Exiting...

[11/19/2007, 14:15:46] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\jerome.DOMAPACA\Bureau\VirtumundoBeGone.exe" )
[11/19/2007, 14:15:49] - Detected System Information:
[11/19/2007, 14:15:49] -  Windows Version: 5.1.2600, Service Pack 1
[11/19/2007, 14:15:49] -  Current Username: jerome (Admin)
[11/19/2007, 14:15:49] -  Windows is in NORMAL mode.
[11/19/2007, 14:15:49] - Searching for Browser Helper Objects:
[11/19/2007, 14:15:49] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[11/19/2007, 14:15:49] -  BHO 2: {0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE} ()
[11/19/2007, 14:15:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/19/2007, 14:15:49] -  Checking for HKLM\...\Winlogon\Notify\urqppno
[11/19/2007, 14:15:49] -  Key not found: HKLM\...\Winlogon\Notify\urqppno, continuing.
[11/19/2007, 14:15:49] -  BHO 3: {BC17409F-7FD4-4C43-AD05-31B5181DB9FD} ()
[11/19/2007, 14:15:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/19/2007, 14:15:49] -  Checking for HKLM\...\Winlogon\Notify\ddaya
[11/19/2007, 14:15:49] -  Key not found: HKLM\...\Winlogon\Notify\ddaya, continuing.
[11/19/2007, 14:15:49] -  BHO 4: {EF86550D-B128-4E54-B1B7-61A437D20090} ()
[11/19/2007, 14:15:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/19/2007, 14:15:49] -  Checking for HKLM\...\Winlogon\Notify\gebcd
[11/19/2007, 14:15:49] -  Key not found: HKLM\...\Winlogon\Notify\gebcd, continuing.
[11/19/2007, 14:15:49] -  BHO 5: {F28ED85C-A8AE-4e69-B92E-6279C02010DC} (FShow)
[11/19/2007, 14:15:49] - Finished Searching Browser Helper Objects
[11/19/2007, 14:15:49] - Finishing up...
[11/19/2007, 14:15:49] - Nothing found! Exiting...

ET LE RAPPORT HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 09:12:59, on 19/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\PROGRAM FILES\TREND MICRO\CLIENT SERVER SECURITY AGENT\0FCD0G.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\POP Peeper\POPPeeper.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Program Files\Trend Micro\Client Server Security Agent\Pop3Trap.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE} - C:\WINDOWS\system32\urqppno.dll
O2 - BHO: (no name) - {ECC31E8D-5D04-4AFF-81B7-B91E36BABD06} - C:\WINDOWS\System32\ddaya.dll
O2 - BHO: FShow - {F28ED85C-A8AE-4e69-B92E-6279C02010DC} - C:\Program Files\FShow\win-browser.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOCUME~1\JEROME~1.DOM\LOCALS~1\Temp\gebcd.dll,c
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\Software\..\Telephony: DomainName = DomAPACA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2856D9B-97E7-4B54-A943-96E6E366A960}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = DomAPACA.local
O20 - Winlogon Notify: urqppno - C:\WINDOWS\SYSTEM32\urqppno.dll
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe

g!rly · Answer

re,

il arrive pas a les virer non plus

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

ZORB80 · Answer

VOICI LE RAPPORT DE COMBOFIX

ComboFix 07-11-08.3 - jerome 2007-11-19 16:39:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.98 [GMT 1:00]
Running from: C:\Documents and Settings\jerome.DOMAPACA\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
C:\WINDOWS\system32\bbadd.ini
C:\WINDOWS\system32\bbadd.ini2
C:\WINDOWS\System32\ddabb.dll
.
---- Previous Run -------
.
C:\DOCUME~1\JEROME~1.DOM\LOCALS~1\Temp\gebcd.dll
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker\SAFE
C:\Documents and Settings\jerome.DOMAPACA\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jerome\Bureau\Live Safety Center.lnk
C:\Documents and Settings\jerome\Bureau\Online Security Guide.lnk
C:\Documents and Settings\jerome\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jerome\ResErrors.log
C:\Documents and Settings\tele\Application Data\install.dat
C:\UGA6P
C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\sysdl132.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IPRIP
-------\Iprip
-------\nm

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-19 to 2007-11-19 ))))))))))))))))))))))))))))))))))))
.

2007-11-19 16:43 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
2007-11-19 15:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-19 12:48 <REP> d-------- C:\VundoFix Backups
2007-11-19 12:18 16,384 --a------ C:\WINDOWS\system32\restart.exe
2007-11-19 10:59 184,320 --a------ C:\WINDOWS\system32\delnext.exe
2007-11-19 10:59 82,188 --a------ C:\WINDOWS\system32\zip.exe
2007-11-19 09:34 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-19 09:21 0 --a------ C:\WINDOWS\test.dat
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\XMicro Internet Security
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\SpamClassDLL SDK
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\AntiSpam
2007-11-19 09:18 <REP> d-------- C:\Program Files\XMicro Internet Security
2007-11-19 09:18 78 --------- C:\WINDOWS\winomnifile.dat
2007-11-19 09:12 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-11-19 09:02 <REP> d-------- C:\WINDOWS\system32\bits
2007-11-19 08:53 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-11-19 08:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-16 16:46 10,816 --a------ C:\Documents and Settings\jerome.DOMAPACA\Application Data\__c0017EC4.dat
2007-11-15 17:00 <REP> d-------- C:\Program Files\Ghost Navigator2_8_1
2007-11-15 12:03 79,872 --a--c--- C:\WINDOWS\system32\dllcache\srvsvc.dll
2007-11-15 12:03 36,864 --a------ C:\WINDOWS\system32\mf3216.dll
2007-11-15 12:03 36,864 --a--c--- C:\WINDOWS\system32\dllcache\mf3216.dll
2007-11-15 12:01 8,408,064 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2007-11-15 12:01 704,512 --a------ C:\WINDOWS\system32\sxs.dll
2007-11-15 12:01 704,512 --a--c--- C:\WINDOWS\system32\dllcache\sxs.dll
2007-11-15 12:01 83,456 --a------ C:\WINDOWS\system32\mtxoci.dll
2007-11-15 12:01 82,944 --a------ C:\WINDOWS\system32\fldrclnr.dll
2007-11-15 12:01 82,944 --a--c--- C:\WINDOWS\system32\dllcache\fldrclnr.dll
2007-11-15 12:01 64,512 --a------ C:\WINDOWS\system32\mtxclu.dll
2007-11-15 12:01 25,600 --------- C:\WINDOWS\system32\verclsid.exe
2007-11-15 12:00 433,152 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-11-15 12:00 166,656 --a--c--- C:\WINDOWS\system32\dllcache\rdbss.sys
2007-11-15 12:00 93,184 --a--c--- C:\WINDOWS\system32\dllcache\cscdll.dll
2007-11-15 12:00 93,184 --a------ C:\WINDOWS\system32\cscdll.dll
2007-11-15 11:57 <REP> d---s---- C:\Documents and Settings\jerome.DOMAPACA\UserData
2007-11-15 11:53 <REP> d-------- C:\Program Files\Lavasoft
2007-11-15 11:53 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2007-11-15 10:10 <REP> d-------- C:\WINDOWS\$hf_mig$
2007-11-15 10:06 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-11-15 10:05 <REP> d-------- C:\WINDOWS\Internet Logs
2007-11-15 09:59 <REP> d-------- C:\Documents and Settings\administrateur.DOMAPACA\ModŠles
2007-11-14 16:36 <REP> d--h----- C:\Program Files\FShow
2007-11-14 16:36 35,328 --------- C:\WINDOWS\system32\urqppno.dll
2007-11-14 16:26 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\POP Peeper
2007-11-14 16:16 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-11-14 16:16 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-11-14 16:16 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-11-14 16:16 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-11-14 16:16 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-11-14 16:16 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-11-14 16:11 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\ICAClient
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\Voisinage r‚seau
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\Voisinage d'impression
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\ModŠles
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Mes documents
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Menu D‚marrer
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Favoris
2007-11-14 12:49 <REP> d-------- C:\Documents and Settings\Administrateur.APACA\Bureau
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\Voisinage r‚seau
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\Voisinage d'impression
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\ModŠles
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Mes documents
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Menu D‚marrer
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Favoris
2007-11-14 12:42 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Bureau
2007-11-14 11:51 <REP> d-------- C:\WINDOWS\Hewlett-Packard
2007-11-14 11:50 <REP> d--h----- C:\Program Files\Zero G Registry
2007-11-14 11:50 74,752 --a------ C:\WINDOWS\system32\jst.dll
2007-11-14 11:50 61,440 --a------ C:\WINDOWS\system32\PMLJNI.dll
2007-11-14 11:50 40,960 --a------ C:\WINDOWS\system32\d4channel.dll
2007-11-14 11:50 36,864 --a------ C:\WINDOWS\system32\hpbmmjno.dll
2007-11-14 11:49 <REP> d-------- C:\Program Files\Hewlett-Packard
2007-11-14 11:48 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio
2007-11-14 11:48 266,240 -ra------ C:\WINDOWS\system32\HPZc3212.dll
2007-11-14 11:34 170,880 -ra------ C:\WINDOWS\system32\drivers\b57xp32.sys
2007-11-14 11:34 170,880 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2007-11-14 11:11 <REP> d-------- C:\Program Files\Support Tools
2007-11-14 11:02 <REP> d-------- C:\WINDOWS\system32\URTTemp
2007-11-14 10:53 <REP> d-------- C:\Inetpub
2007-11-14 10:46 <REP> d-------- C:\WINDOWS\system32\Adobe
2007-11-14 10:46 <REP> d-------- C:\WINDOWS\Profiles
2007-11-14 10:44 <REP> d-------- C:\Documents and Settings\APACA~1~JER\LOCALS~1
2007-11-14 10:39 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-11-14 09:45 <REP> d--hs---- C:\Documents and Settings\All Users.WINDOWS\DRM
2007-11-14 09:45 3,346,432 --a--c--- C:\WINDOWS\system32\dllcache\msgr3en.dll
2007-11-14 09:45 106,562 --a--c--- C:\WINDOWS\system32\dllcache\srchctls.dll
2007-11-14 09:33 12,928 --a------ C:\WINDOWS\system32\drivers\Dot4Prt.sys
2007-11-14 09:33 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-11-14 09:32 608,896 --a------ C:\WINDOWS\system32\drivers\ltmdmnt.sys
2007-11-14 09:32 205,056 --a------ C:\WINDOWS\system32\drivers\Dot4.sys
2007-11-14 09:32 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2007-11-14 09:32 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-11-14 09:32 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-14 09:32 24,064 --a------ C:\WINDOWS\system32\drivers\Dot4usb.sys
2007-11-14 09:32 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage r‚seau
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage d'impression
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\ModŠles
2007-11-14 09:29 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Mes documents
2007-11-14 09:29 <REP> dr------- C:\Documents and Settings\Default User.WINDOWS\Menu D‚marrer

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-19 13:20 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-11-16 15:42 --------- d-----w C:\Program Files\LAME
2007-11-15 09:17 9,760 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-15 09:17 3,860 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-15 09:17 237,600 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-15 09:17 1,988 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-15 09:08 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-15 09:08 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-11-14 15:26 --------- d-----w C:\Program Files\POP Peeper
2007-11-14 15:17 --------- d-----w C:\Program Files\Audacity
2007-11-14 10:54 --------- d-----w C:\Program Files\RMClient
2007-11-14 10:54 --------- d-----w C:\Program Files\Fichiers communs\RDPrint
2007-11-14 09:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-12 15:41 --------- d-----w C:\Program Files\K-Lite Codec Pack
2007-09-20 08:21 132 ----a-w C:\sauvegarde CAISSE RESEAU APACA.BAT
.

((((((((((((((((((((((((((((( snapshot@2007-11-19_15.23.43.49 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-19 14:18:23 253,952 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2007-11-19 15:39:09 253,952 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
- 2007-11-19 14:22:11 208,508 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2007-11-19 15:42:39 208,509 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2007-11-19 15:42:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_78c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}]
2007-11-14 16:36 35328 --------- C:\WINDOWS\system32\urqppno.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BC17409F-7FD4-4C43-AD05-31B5181DB9FD}]
C:\WINDOWS\System32\ddaya.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F28ED85C-A8AE-4e69-B92E-6279C02010DC}]
2007-11-14 16:36 97280 --a------ C:\Program Files\FShow\win-browser.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 21:19]
"StatusClient 2.6"="C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 18:29]
"TomcatStartup 2.5"="C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-11 16:10]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 13:02]
"JobHisInit"="C:\Program Files\RMClient\JobHisInit.exe" [2004-03-17 23:47]
"MplSetUp"="C:\Program Files\RMClient\MplSetUp.exe" [2000-11-03 11:09]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" [2005-12-16 05:09]
"Total Security"="C:\Program Files\XMicro Internet Security\TScutyNT.exe" [2007-08-17 13:38]
"TotalSecurityUpdate"="C:\Program Files\XMicro Internet Security\TSAtUdt.exe" [2006-05-08 13:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 15:00]
"POP Peeper"="C:\Program Files\POP Peeper\POPPeeper.exe" [2006-11-16 05:02]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-11-15 16:18]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"= C:\WINDOWS\system32\urqppno.dll [2007-11-14 16:36 35328]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddabb.dll

R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\System32\inetsrv\inetinfo.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-19 08:25:00 C:\WINDOWS\Tasks\CODEUSE.job"
"2007-11-19 08:31:01 C:\WINDOWS\Tasks\RELEVE PHOTOCOP.job"
- U:\Jerome\APACA\Archivage\RELEVE PHOTOCOP.doc
"2007-11-19 15:32:15 C:\WINDOWS\Tasks\sauvegarde CAISSE RESEAU APACA.job"
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-19 16:43:30
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-19 16:44:31 - machine was rebooted
.
--- E O F ---

ZORB80 · Answer

VOICI LE RAPPORT DE COMBOFIX

ComboFix 07-11-08.3 - jerome 2007-11-19 16:39:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.98 [GMT 1:00]
Running from: C:\Documents and Settings\jerome.DOMAPACA\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
C:\WINDOWS\system32\bbadd.ini
C:\WINDOWS\system32\bbadd.ini2
C:\WINDOWS\System32\ddabb.dll
.
---- Previous Run -------
.
C:\DOCUME~1\JEROME~1.DOM\LOCALS~1\Temp\gebcd.dll
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker\SAFE
C:\Documents and Settings\jerome.DOMAPACA\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jerome\Bureau\Live Safety Center.lnk
C:\Documents and Settings\jerome\Bureau\Online Security Guide.lnk
C:\Documents and Settings\jerome\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jerome\ResErrors.log
C:\Documents and Settings\tele\Application Data\install.dat
C:\UGA6P
C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\sysdl132.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IPRIP
-------\Iprip
-------\nm

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-19 to 2007-11-19 ))))))))))))))))))))))))))))))))))))
.

2007-11-19 16:43 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
2007-11-19 15:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-19 12:48 <REP> d-------- C:\VundoFix Backups
2007-11-19 12:18 16,384 --a------ C:\WINDOWS\system32\restart.exe
2007-11-19 10:59 184,320 --a------ C:\WINDOWS\system32\delnext.exe
2007-11-19 10:59 82,188 --a------ C:\WINDOWS\system32\zip.exe
2007-11-19 09:34 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-19 09:21 0 --a------ C:\WINDOWS\test.dat
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\XMicro Internet Security
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\SpamClassDLL SDK
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\AntiSpam
2007-11-19 09:18 <REP> d-------- C:\Program Files\XMicro Internet Security
2007-11-19 09:18 78 --------- C:\WINDOWS\winomnifile.dat
2007-11-19 09:12 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-11-19 09:02 <REP> d-------- C:\WINDOWS\system32\bits
2007-11-19 08:53 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-11-19 08:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-16 16:46 10,816 --a------ C:\Documents and Settings\jerome.DOMAPACA\Application Data\__c0017EC4.dat
2007-11-15 17:00 <REP> d-------- C:\Program Files\Ghost Navigator2_8_1
2007-11-15 12:03 79,872 --a--c--- C:\WINDOWS\system32\dllcache\srvsvc.dll
2007-11-15 12:03 36,864 --a------ C:\WINDOWS\system32\mf3216.dll
2007-11-15 12:03 36,864 --a--c--- C:\WINDOWS\system32\dllcache\mf3216.dll
2007-11-15 12:01 8,408,064 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2007-11-15 12:01 704,512 --a------ C:\WINDOWS\system32\sxs.dll
2007-11-15 12:01 704,512 --a--c--- C:\WINDOWS\system32\dllcache\sxs.dll
2007-11-15 12:01 83,456 --a------ C:\WINDOWS\system32\mtxoci.dll
2007-11-15 12:01 82,944 --a------ C:\WINDOWS\system32\fldrclnr.dll
2007-11-15 12:01 82,944 --a--c--- C:\WINDOWS\system32\dllcache\fldrclnr.dll
2007-11-15 12:01 64,512 --a------ C:\WINDOWS\system32\mtxclu.dll
2007-11-15 12:01 25,600 --------- C:\WINDOWS\system32\verclsid.exe
2007-11-15 12:00 433,152 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-11-15 12:00 166,656 --a--c--- C:\WINDOWS\system32\dllcache\rdbss.sys
2007-11-15 12:00 93,184 --a--c--- C:\WINDOWS\system32\dllcache\cscdll.dll
2007-11-15 12:00 93,184 --a------ C:\WINDOWS\system32\cscdll.dll
2007-11-15 11:57 <REP> d---s---- C:\Documents and Settings\jerome.DOMAPACA\UserData
2007-11-15 11:53 <REP> d-------- C:\Program Files\Lavasoft
2007-11-15 11:53 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2007-11-15 10:10 <REP> d-------- C:\WINDOWS\$hf_mig$
2007-11-15 10:06 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-11-15 10:05 <REP> d-------- C:\WINDOWS\Internet Logs
2007-11-15 09:59 <REP> d-------- C:\Documents and Settings\administrateur.DOMAPACA\ModŠles
2007-11-14 16:36 <REP> d--h----- C:\Program Files\FShow
2007-11-14 16:36 35,328 --------- C:\WINDOWS\system32\urqppno.dll
2007-11-14 16:26 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\POP Peeper
2007-11-14 16:16 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-11-14 16:16 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-11-14 16:16 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-11-14 16:16 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-11-14 16:16 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-11-14 16:16 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-11-14 16:11 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\ICAClient
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\Voisinage r‚seau
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\Voisinage d'impression
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\ModŠles
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Mes documents
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Menu D‚marrer
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Favoris
2007-11-14 12:49 <REP> d-------- C:\Documents and Settings\Administrateur.APACA\Bureau
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\Voisinage r‚seau
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\Voisinage d'impression
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\ModŠles
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Mes documents
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Menu D‚marrer
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Favoris
2007-11-14 12:42 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Bureau
2007-11-14 11:51 <REP> d-------- C:\WINDOWS\Hewlett-Packard
2007-11-14 11:50 <REP> d--h----- C:\Program Files\Zero G Registry
2007-11-14 11:50 74,752 --a------ C:\WINDOWS\system32\jst.dll
2007-11-14 11:50 61,440 --a------ C:\WINDOWS\system32\PMLJNI.dll
2007-11-14 11:50 40,960 --a------ C:\WINDOWS\system32\d4channel.dll
2007-11-14 11:50 36,864 --a------ C:\WINDOWS\system32\hpbmmjno.dll
2007-11-14 11:49 <REP> d-------- C:\Program Files\Hewlett-Packard
2007-11-14 11:48 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio
2007-11-14 11:48 266,240 -ra------ C:\WINDOWS\system32\HPZc3212.dll
2007-11-14 11:34 170,880 -ra------ C:\WINDOWS\system32\drivers\b57xp32.sys
2007-11-14 11:34 170,880 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2007-11-14 11:11 <REP> d-------- C:\Program Files\Support Tools
2007-11-14 11:02 <REP> d-------- C:\WINDOWS\system32\URTTemp
2007-11-14 10:53 <REP> d-------- C:\Inetpub
2007-11-14 10:46 <REP> d-------- C:\WINDOWS\system32\Adobe
2007-11-14 10:46 <REP> d-------- C:\WINDOWS\Profiles
2007-11-14 10:44 <REP> d-------- C:\Documents and Settings\APACA~1~JER\LOCALS~1
2007-11-14 10:39 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-11-14 09:45 <REP> d--hs---- C:\Documents and Settings\All Users.WINDOWS\DRM
2007-11-14 09:45 3,346,432 --a--c--- C:\WINDOWS\system32\dllcache\msgr3en.dll
2007-11-14 09:45 106,562 --a--c--- C:\WINDOWS\system32\dllcache\srchctls.dll
2007-11-14 09:33 12,928 --a------ C:\WINDOWS\system32\drivers\Dot4Prt.sys
2007-11-14 09:33 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-11-14 09:32 608,896 --a------ C:\WINDOWS\system32\drivers\ltmdmnt.sys
2007-11-14 09:32 205,056 --a------ C:\WINDOWS\system32\drivers\Dot4.sys
2007-11-14 09:32 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2007-11-14 09:32 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-11-14 09:32 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-14 09:32 24,064 --a------ C:\WINDOWS\system32\drivers\Dot4usb.sys
2007-11-14 09:32 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage r‚seau
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage d'impression
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\ModŠles
2007-11-14 09:29 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Mes documents
2007-11-14 09:29 <REP> dr------- C:\Documents and Settings\Default User.WINDOWS\Menu D‚marrer

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-19 13:20 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-11-16 15:42 --------- d-----w C:\Program Files\LAME
2007-11-15 09:17 9,760 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-15 09:17 3,860 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-15 09:17 237,600 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-15 09:17 1,988 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-15 09:08 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-15 09:08 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-11-14 15:26 --------- d-----w C:\Program Files\POP Peeper
2007-11-14 15:17 --------- d-----w C:\Program Files\Audacity
2007-11-14 10:54 --------- d-----w C:\Program Files\RMClient
2007-11-14 10:54 --------- d-----w C:\Program Files\Fichiers communs\RDPrint
2007-11-14 09:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-12 15:41 --------- d-----w C:\Program Files\K-Lite Codec Pack
2007-09-20 08:21 132 ----a-w C:\sauvegarde CAISSE RESEAU APACA.BAT
.

((((((((((((((((((((((((((((( snapshot@2007-11-19_15.23.43.49 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-19 14:18:23 253,952 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2007-11-19 15:39:09 253,952 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
- 2007-11-19 14:22:11 208,508 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2007-11-19 15:42:39 208,509 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2007-11-19 15:42:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_78c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}]
2007-11-14 16:36 35328 --------- C:\WINDOWS\system32\urqppno.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BC17409F-7FD4-4C43-AD05-31B5181DB9FD}]
C:\WINDOWS\System32\ddaya.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F28ED85C-A8AE-4e69-B92E-6279C02010DC}]
2007-11-14 16:36 97280 --a------ C:\Program Files\FShow\win-browser.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 21:19]
"StatusClient 2.6"="C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 18:29]
"TomcatStartup 2.5"="C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-11 16:10]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 13:02]
"JobHisInit"="C:\Program Files\RMClient\JobHisInit.exe" [2004-03-17 23:47]
"MplSetUp"="C:\Program Files\RMClient\MplSetUp.exe" [2000-11-03 11:09]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" [2005-12-16 05:09]
"Total Security"="C:\Program Files\XMicro Internet Security\TScutyNT.exe" [2007-08-17 13:38]
"TotalSecurityUpdate"="C:\Program Files\XMicro Internet Security\TSAtUdt.exe" [2006-05-08 13:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 15:00]
"POP Peeper"="C:\Program Files\POP Peeper\POPPeeper.exe" [2006-11-16 05:02]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-11-15 16:18]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"= C:\WINDOWS\system32\urqppno.dll [2007-11-14 16:36 35328]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddabb.dll

R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\System32\inetsrv\inetinfo.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-19 08:25:00 C:\WINDOWS\Tasks\CODEUSE.job"
"2007-11-19 08:31:01 C:\WINDOWS\Tasks\RELEVE PHOTOCOP.job"
- U:\Jerome\APACA\Archivage\RELEVE PHOTOCOP.doc
"2007-11-19 15:32:15 C:\WINDOWS\Tasks\sauvegarde CAISSE RESEAU APACA.job"
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-19 16:43:30
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-19 16:44:31 - machine was rebooted
.
--- E O F ---

g!rly · Answer

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) : note regedit 4 doir etre sur la premiere ligne dans le bloc note

REGEDIT4

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BC17409F-7FD4-4C43-AD05-31B5181DB9FD}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"=-


Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

et repost un nouveau hijack this stp

@+

ZORB80 · Answer

Bonjour, CELA FAIT 2 JOURS QU AUCUN VIRUS N 'EST REAPARRU.IL SEMBLERAIS QU ON N'EN SOIT VENU A BOUT.MERCI A TOUS POUR VOTRE AIDE.

g!rly · Answer

salut zorb80

je suis bien contente pour toi mais :

peux tu refaire ceci car j´ai oublié le crochet devant la ligne...

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) : note regedit 4 doir etre sur la premiere ligne dans le bloc note

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"=-


Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

et post un nouveau hijack this stp 

@+

ZORB80 · Answer

LE RAPPORT HIJACK


Logfile of HijackThis v1.99.1
Scan saved at 11:39, on 2007-11-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\PROGRAM FILES\TREND MICRO\CLIENT SERVER SECURITY AGENT\0FCD0G.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Program Files\XMicro Internet Security\TScutyNT.exe
C:\Program Files\XMicro Internet Security\TSAtUdt.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\POP Peeper\POPPeeper.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\XMicro Internet Security\AntiSpam\OEInject.exe
C:\Program Files\XMicro Internet Security\AntiSpam\Tray.exe
C:\Program Files\Trend Micro\Client Server Security Agent\Pop3Trap.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Total Security] C:\Program Files\XMicro Internet Security\TScutyNT.exe
O4 - HKLM\..\Run: [TotalSecurityUpdate] C:\Program Files\XMicro Internet Security\TSAtUdt.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: AntiSpam Express.lnk = C:\Program Files\XMicro Internet Security\AntiSpam\OEInject.exe
O4 - Startup: AntiSpam.lnk = C:\Program Files\XMicro Internet Security\AntiSpam\Tray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\Software\..\Telephony: DomainName = DomAPACA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2856D9B-97E7-4B54-A943-96E6E366A960}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DomAPACA.local
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent
trtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent	mlisten.exe

CECI N A RIEN A VOIR : JE VOUDRAIS INSTALLER HIMACHI SUR UN PC N'AYANT PAS D'ACCES A INTERNET.Y A T IL UNE SOLUTION PUISQU'IL SE CONNECTE APRES SON INSTALL POUR DONNER L'IP VIRTUEL.

g!rly · Answer

re,

tu connais ceci :

C:\Program Files\XMicro Internet Security

pour himachi, je voie mal comment il pourrait te refiler l´ip virtuelle si tu n´as pas de connection...

ZORB80 · Answer

POUR  C:\Program Files\XMicro Internet Security , C'EST UN ANTI SPAM POUR OUTLOOK.INSTALLE APRES LE DEBUT DE LA CONTAMINATION.

g!rly · Answer

ok tres bien,
 
ca me parait propre alors...

sinon fais les mises a jour windows, pour le moment tu surf avec ie 6.0 tu veux la 7.0 car failles de securi´te importantes

et pourquoi pas opter pour firefox = plus sur que ie tout en gardant ie 7.0  pour les mises  jour windows, 

http://www.firefox.fr/ 

@+

ZORB80 · Answer

J AI SUIVIS TON CONSEIL.MERCI ENCORE.

g!rly · Answer

de rien ;-+
Bye`

afideg · Answer

Bonjour vous deux

G!rly ==>attention

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddabb.dll 

ATTENTION C'est un cas spécial, il y a un détournement Vundo! ==> Voici ce que dit Microsoft: « Do not change the value of this entry. Windows cannot operate with authentication packages other than MSV 1_0. If you change this value or delete the entry, no one will be able to log on to Windows »

La clé légitime doit être : 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 
"Authentication Packages"=msv1_0 

L'infection a rajouté son fichier derrière, c'est tout. 
Si tu fais un fix reg, tu supprimes ou réinitialise OK. Mais il faut s'assurer que soit recréée cette "sous clé" avec les paramètres légitimes, ou la recréer en même temps avant le reboot. 
Car dans le cas où cela ne se fait pas, le User risque d'avoir de grandes difficultés à se loguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe. 
Commence par ceci: ==> Si tu as le moindre doute, stoppe et demande. 
(c'est simple -comme souvent avec ces PC- mais il faut déjà l'avoir fait) ==> je te fais confiance. 

Première action: Vérifier si cette donnée C:\WINDOWS\System32\ddabb.dll  existe encore. 

Deuxième action: Si elle existe encore, il nous faut supprimer la donnée C:\WINDOWS\System32\ddabb.dll  dans cette clé HKEY_LOCAL_MACHINE, en suivant ce chemin [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 

À gauche dans le panneau de droite, il y a cette valeur : "Authentication Packages" 

À droite de cette valeur, et sur la même ligne, il y a cette donnée : C:\WINDOWS\System32\ddabb.dll qu'il va falloir supprimer. 

Mais ATTENTION; fais comme ceci : 

(Si la donnée citée ci-avant n'existe plus, tu stoppes et tu me l'annonces). Merci. 

Vas dans "démarrer"/"exécuter" et tape regedit puis valide avec [OK]. 
Dans le panneau de gauche, navigue en cochant sur le signe "+" depuis HKEY_LOCAL_MACHINE jusqu'à la sous-clé en gras "lsa", puis clique une fois sur le petit dossier jaune "lsa" pour l'ouvrir : 

Dans le panneau de droite, double-clique sur "Authentication Packages" . 
Dans le champ "données" (à droite sur la même ligne), tu dois avoir msv1_0 C:\WINDOWS\System32\ddabb.dll 

Supprime tout ce qui est derrière (à la suite de) msv1_0 
==> ATTENTION: Ne supprime surtout pas msv1_0
 
Donc, ne supprime que C:\WINDOWS\System32\ddabb.dll (Sélectionner/Clic-droit/Supprimer) 
Valide par [OK] ou [Enter] 
Vérifie dans le panneau de droite que pour la valeur "Authentication Packages" il soit toujours bien inscrit tout à droite la donnée: msv1_0 . 

C'est très important, si tu as le moindre doute pour la modification de cette sous-clé, ou des questions, demande-moi. 

Si c'est bon, referme l'éditeur de registre et redémarre ton PC. 
(Si tu as suivi correctement ces instructions, tu ne devrais avoir aucun problème au redémarrage). 


Bonne chance
Al

ZORB80 · Answer

LE FICHIER ddabb.dll DANS C:\WINDOWS\System32 EST INTROUVABLE MAIS IL EST DANS LE REPERTOIRE DE QUARANTAINE DE QOOBOX
CI JOINT SON RAPPORT.SON NOUVEAU NOM DOIT ETRE bbadd.ini.vir


[code]
2007-05-22 19:05      1174356    --a------    C:\Qoobox\Quarantine\C\Documents and Settings	ele\Application Data\Install.dat.vir
2007-11-12 14:51      65592    --a------    C:\Qoobox\Quarantine\C\Documents and Settings\jerome\ResErrors.log.vir
2007-11-14 09:13      1258    --a------    C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Bureau\Live Safety Center.lnk.vir
2007-11-14 09:13      1258    --a------    C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Bureau\Online Security Guide.lnk.vir
2007-11-14 09:13      1258    --a------    C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Favoris\Online Security Guide.lnk.vir
2007-11-14 16:36      148489    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\sysdl132.exe.vir
2007-11-14 16:46      317536    --a------    C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\LOCALS~1\Temp\gebcd.dll.vir
2007-11-19 08:02      1278    --a------    C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\Favoris\Online Security Guide.lnk.vir
2007-11-19 09:48      116    --a------    C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker\SAFE.vir
2007-11-19 15:19      1016    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_IPRIP.reg.dat
2007-11-19 15:19      352    --a------    C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.dat
2007-11-19 15:19      3738    --a------    C:\Qoobox\Quarantine\Registry_backups\services_Iprip.reg.dat
2007-11-19 16:39      329824    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\ddabb.dll.vir
2007-11-19 16:40      317    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\bbadd.ini2.vir
2007-11-19 16:40      6465    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\bbadd.ini.vir


Structure du dossier
Le num‚ro de s‚rie du volume est 71F1E346 7CB5:6681
C:\QOOBOX\QUARANTINE
+---C
|   +---Documents and Settings
|   |   +---jerome
|   |   |   |   ResErrors.log.vir
|   |   |   |   
|   |   |   +---Bureau
|   |   |   |       Live Safety Center.lnk.vir
|   |   |   |       Online Security Guide.lnk.vir
|   |   |   |       
|   |   |   \---Favoris
|   |   |           Online Security Guide.lnk.vir
|   |   |           
|   |   +---jerome.DOMAPACA
|   |   |   +---Application Data
|   |   |   |   \---SpamBlocker
|   |   |   |           SAFE.vir
|   |   |   |           
|   |   |   +---Favoris
|   |   |   |       Online Security Guide.lnk.vir
|   |   |   |       
|   |   |   \---LOCALS~1
|   |   |       \---Temp
|   |   |               gebcd.dll.vir
|   |   |               
|   |   \---tele
|   |       \---Application Data
|   |               Install.dat.vir
|   |               
|   \---WINDOWS
|       \---system32
|               bbadd.ini.vir
|               bbadd.ini2.vir
|               ddabb.dll.vir
|               sysdl132.exe.vir
|               
\---Registry_backups
        LEGACY_IPRIP.reg.dat
        services_Iprip.reg.dat
        services_nm.reg.dat
        
[/code]

afideg · Answer

OK Il reste alors à faire ceci: Supprimer les outils utilisés devenus inutiles, ainsi que les quarantaines éventuelles; comme ceci: •- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Cocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer". •- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe > •- Lance OTMoveIt.exe par double-clic [*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés). NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le. [*]Une liste apparaît dans la partie gauche d' _OTMoveIt. [*]Un message apparaît pour confirmer le nettoyage. Confirme Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles. •- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer". La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme. Termine en supprimant le contenu de la poubelle RECYCLER de Windows qui est située en C:\ (fichier caché du système) Si tu dois afficher ces fichiers et dossiers cachés , voici comment faire: Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » et là : cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer les extensions des fichiers dont le type est connu - masquer les fichiers protégés du système d'exploitation Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Puis cliquer APPLIQUER à TOUS les Dossiers > [OK] Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > Bonne chance Al.

ZORB80 · Answer

C'EST FAIT MERCI.

afideg · Answer

Bonne continuation
Al.

g!rly · Answer

merci al pour le complement ;-)
je t´ai envoyé un mp concernant la fameuse cle lsa...

afideg · Answer

De rien g!rly

Pour cette clé [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
• , il n'y a plus qu'à vérifier dans la valeur "Authentication Packages"  elle-même 
• si la donnée msv1_0 
• est débarrassée de l'infection C:\WINDOWS\System32\ddabb.dll

En final, il doit rester la clé légitime, qui doit être : 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 
"Authentication Packages"=msv1_0 


Est-ce clair ainsi ?

g!rly · Answer

afideg,
oui c´est claire, enfin a moitier/mp
merci

afideg · Answer

Re,
Il faut d'abord penser à l'internaute.
Et les méthodes simples sont conseillées.
Ici, la solution émise est simple, sans trop de risque, et faisable.
Si l'internaute a des doutes, demande-lui de sauvegarder sa BdRavant de procéder.
Merci
Al.

g!rly · Answer

re,
oui tu as raison,
merci en tous cas pour les infos.
bonne soirée...
@+

Trojan-spy.win32@mx

40 réponses

Votre réponse

Discussions similaires

Newsletters