Security Intempestive
Fermé
sweetyprod
Messages postés
5
Date d'inscription
mercredi 14 novembre 2007
Statut
Membre
Dernière intervention
16 novembre 2007
-
14 nov. 2007 à 21:11
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 - 16 nov. 2007 à 21:55
lineve26 Messages postés 488 Date d'inscription dimanche 16 septembre 2007 Statut Contributeur Dernière intervention 14 mai 2008 - 16 nov. 2007 à 21:55
Bonjour,
Tout a l'heure j'ai allumé mon PC et tout a coups une fenetre s'est ouverte pour me demande si je voulais installer un logiciel de virus inconnu ( l'ecriture en anglais biensur ) alors j'ai refuser, mais maintenant quand j'ouvre internet sa ne met plus ma page d'accueil habituel sa essaie de m'ouvir une page internet sur le site du logiciel et j'ai une "security toolbarre", sur mon bureau sa me met des icones comme celle d'alertes de securité Windows sauf que celle-ci sont bleues et vertes.
Que Dois-je faire ?
Merci d'avance.
Tout a l'heure j'ai allumé mon PC et tout a coups une fenetre s'est ouverte pour me demande si je voulais installer un logiciel de virus inconnu ( l'ecriture en anglais biensur ) alors j'ai refuser, mais maintenant quand j'ouvre internet sa ne met plus ma page d'accueil habituel sa essaie de m'ouvir une page internet sur le site du logiciel et j'ai une "security toolbarre", sur mon bureau sa me met des icones comme celle d'alertes de securité Windows sauf que celle-ci sont bleues et vertes.
Que Dois-je faire ?
Merci d'avance.
A voir également:
- Security Intempestive
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Eset internet security download - Télécharger - Sécurité
- Security monitor pro - Télécharger - TV & Vidéo
- Security task manager avis ✓ - Forum Virus
- Reason security ✓ - Forum Virus
9 réponses
lineve26
Messages postés
488
Date d'inscription
dimanche 16 septembre 2007
Statut
Contributeur
Dernière intervention
14 mai 2008
32
14 nov. 2007 à 21:29
14 nov. 2007 à 21:29
Bonsoir sweetyprod,
* Télécharger smitfraudfix (de S!Ri) sur le bureau. Un miroir est disponible ici.
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* Clique sur smitfraudfix.exe
* Choisis l'option 1 et colle dans ta réponse le rapport généré par smitfraudfix. Ce rapport se trouve dans la fenêtre du bloc-notes qui s’ouvre.
* Ferme l'application en tapant sur la touche Q.
Poste un hojackthis :
Télécharge hijackthis :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
Clique sur "Do a system scan and save a logfile".. Copie et colle le rapport obtenu sur le forum.
Reviens avec le rapport de SmitfraudFix ainsi qu'un log hijackthis.
A te lire
* Télécharger smitfraudfix (de S!Ri) sur le bureau. Un miroir est disponible ici.
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* Clique sur smitfraudfix.exe
* Choisis l'option 1 et colle dans ta réponse le rapport généré par smitfraudfix. Ce rapport se trouve dans la fenêtre du bloc-notes qui s’ouvre.
* Ferme l'application en tapant sur la touche Q.
Poste un hojackthis :
Télécharge hijackthis :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
Clique sur "Do a system scan and save a logfile".. Copie et colle le rapport obtenu sur le forum.
Reviens avec le rapport de SmitfraudFix ainsi qu'un log hijackthis.
A te lire
sweetyprod
Messages postés
5
Date d'inscription
mercredi 14 novembre 2007
Statut
Membre
Dernière intervention
16 novembre 2007
15 nov. 2007 à 08:21
15 nov. 2007 à 08:21
Voici ce que j'ai obtenu du rapport smitfraudfix :
SmitFraudFix v2.253
Rapport fait à 8:17:50,50, 15/11/2007
Executé à partir de C:\Documents and Settings\Julie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\qdtcpfky.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\V0250Mon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Julie
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Julie\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Julie\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\__c0012B5C.dat"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NETGEAR WG111T 108Mbps Wireless USB2.0 Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E66B896F-6D5E-423A-B952-D3F13609087A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E66B896F-6D5E-423A-B952-D3F13609087A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E66B896F-6D5E-423A-B952-D3F13609087A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Et maintenant le rapport de hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:19:50, on 15/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\qdtcpfky.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\V0250Mon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\abumjmfg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [WengoPhoneNG] E:\Apps\PortableWengoPhone\qtwengophone.exe -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Julie\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0012B5C.dat
O21 - SSODL: system32 - {681F966B-40C6-4E50-8D0B-CB7E781DC775} - sysprinters.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\qdtcpfky.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
SmitFraudFix v2.253
Rapport fait à 8:17:50,50, 15/11/2007
Executé à partir de C:\Documents and Settings\Julie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\qdtcpfky.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\V0250Mon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Julie
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Julie\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Julie\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\__c0012B5C.dat"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NETGEAR WG111T 108Mbps Wireless USB2.0 Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E66B896F-6D5E-423A-B952-D3F13609087A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E66B896F-6D5E-423A-B952-D3F13609087A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E66B896F-6D5E-423A-B952-D3F13609087A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Et maintenant le rapport de hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:19:50, on 15/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\qdtcpfky.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\V0250Mon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\abumjmfg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [WengoPhoneNG] E:\Apps\PortableWengoPhone\qtwengophone.exe -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Julie\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0012B5C.dat
O21 - SSODL: system32 - {681F966B-40C6-4E50-8D0B-CB7E781DC775} - sysprinters.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\qdtcpfky.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
lineve26
Messages postés
488
Date d'inscription
dimanche 16 septembre 2007
Statut
Contributeur
Dernière intervention
14 mai 2008
32
15 nov. 2007 à 12:10
15 nov. 2007 à 12:10
Bonjour,
1) Télécharge MSNfix (de Régis59 et !aur3n7) sur ton bureau.
http://sosvirus.changelog.fr/MSNFix.zip
* Dézippe-le en faisant un clic droit puis extraire ici.
* Double-clique sur MSNfix.bat.
* Choisis l'option R. Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier. Un redémarrage du PC peut être demandé.
* Le rapport est enregistré dans le même dossier que MSNfix (date.txt). Copie-colle son contenu dans ta prochaine réponse.
2) Télécharge combofix.exe (par sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double clique combofix.exe et suis les invites.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Reviens avec le rapport de MSNFix, celui de Combifix ainsi qu'un nouveau log hijackthis.
A te lire
1) Télécharge MSNfix (de Régis59 et !aur3n7) sur ton bureau.
http://sosvirus.changelog.fr/MSNFix.zip
* Dézippe-le en faisant un clic droit puis extraire ici.
* Double-clique sur MSNfix.bat.
* Choisis l'option R. Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier. Un redémarrage du PC peut être demandé.
* Le rapport est enregistré dans le même dossier que MSNfix (date.txt). Copie-colle son contenu dans ta prochaine réponse.
2) Télécharge combofix.exe (par sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double clique combofix.exe et suis les invites.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Reviens avec le rapport de MSNFix, celui de Combifix ainsi qu'un nouveau log hijackthis.
A te lire
sweetyprod
Messages postés
5
Date d'inscription
mercredi 14 novembre 2007
Statut
Membre
Dernière intervention
16 novembre 2007
15 nov. 2007 à 18:10
15 nov. 2007 à 18:10
Voici le rapport de MSNFix :
MSN_Fix 1.328
C:\Documents and Settings\Julie\Mes documents\Appz\MSNFix
Fix exécuté le 15/11/2007 - 17:27:56,12 By Julie
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
... C:\Temp\
************************ Suppression des dossiers
.. OK ... C:\Temp\
************************ Nettoyage du registre
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 15112007_17285389.zip
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Le rapport de combofix.exe :
ComboFix 07-11-08.1 - Julie 2007-11-15 17:37:37.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.189 [GMT 1:00]
Running from: C:\Documents and Settings\Julie\Local Settings\Temporary Internet Files\Content.IE5\APOPGXGT\ComboFix[1].exe
* Created a new restore point
.
Incapable d'obtenir les privilèges Système
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\Julie\Application Data\errorsafefrenchnewreleaseinstall[1].exe
C:\Documents and Settings\Julie\Bureau\Live Safety Center.lnk
C:\Documents and Settings\Julie\Bureau\Online Security Guide.lnk
C:\Documents and Settings\Julie\Favoris\Online Security Guide.lnk
C:\Documents and Settings\Julie\iexplorer.exe
C:\Documents and Settings\Julie\new.txt
C:\install\install.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\retadpu420.exe
C:\WINDOWS\system32\__c0012B5C.dat
C:\WINDOWS\system32\__c00665C1.dat
C:\WINDOWS\system32\__c0095B39.dat
C:\WINDOWS\system32\__c00B064.dat
C:\WINDOWS\system32\__c00D8ADA.dat
C:\WINDOWS\system32\__c00E76D6.dat
C:\WINDOWS\system32\__c00ECFA8.dat
C:\WINDOWS\system32\abumjmfg.dllbox
C:\WINDOWS\system32\b3
C:\WINDOWS\system32\b3\rarndrll2.exe
C:\WINDOWS\system32\bggmfyln.dll
C:\WINDOWS\system32\cjhwvtrw.dll
C:\WINDOWS\system32\e1
C:\WINDOWS\system32\e1\caws83122.exe
C:\WINDOWS\system32\fdxbrlmq.dll
C:\WINDOWS\system32\ffusohgb.dll
C:\WINDOWS\system32\jfuhsxie.dll
C:\WINDOWS\system32\nboatomv.dll
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\ponqsflc.dll
C:\WINDOWS\system32\qqstv.bak1
C:\WINDOWS\system32\qqstv.bak2
C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qvurqeis.dll
C:\WINDOWS\system32\u4
C:\WINDOWS\system32\u4\wr31drs.exe
C:\WINDOWS\system32\ufknojpp.dll
C:\WINDOWS\system32\umsslsku.dll
C:\WINDOWS\system32\vtsqq.dll
C:\WINDOWS\system32\wtfxppbc.dll
C:\WINDOWS\system32\xmecyace.dll
C:\z.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-15 to 2007-11-15 ))))))))))))))))))))))))))))))))))))
.
2007-11-15 17:31 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 08:19 <REP> d-------- C:\Program Files\Trend Micro
2007-11-15 08:18 3,572 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-14 20:10 85,056 --a------ C:\WINDOWS\system32\xkthmgbr.dll
2007-11-14 20:04 144,480 --a------ C:\WINDOWS\system32\yyxammft.dll
2007-11-14 20:04 144,480 --a------ C:\WINDOWS\system32\abumjmfg.dll
2007-11-14 20:01 79,424 --a------ C:\WINDOWS\system32\hgitwxcf.dll
2007-11-14 19:52 71,232 --a------ C:\WINDOWS\system32\gssmtvsf.exe
2007-11-13 19:31 80,448 --a------ C:\WINDOWS\system32\exyrygqo.dll
2007-11-13 19:13 71,232 --a------ C:\WINDOWS\system32\bxbeicip.exe
2007-11-12 19:27 81,472 --a------ C:\WINDOWS\system32\tlamvtcq.dll
2007-11-12 19:12 71,232 --a------ C:\WINDOWS\system32\yvemcpxy.exe
2007-11-11 19:26 79,936 --a------ C:\WINDOWS\system32\fexievon.dll
2007-11-11 19:11 71,232 --a------ C:\WINDOWS\system32\npvqxxmw.exe
2007-11-10 19:25 81,472 --a------ C:\WINDOWS\system32\rusupqlv.dll
2007-11-10 19:10 71,232 --a------ C:\WINDOWS\system32\uwssnmhb.exe
2007-11-09 19:19 128 --a------ C:\winlogon.exe
2007-11-08 13:20 80,448 --a------ C:\WINDOWS\system32\icvepmta.dll
2007-11-08 13:16 71,232 --a------ C:\WINDOWS\system32\qsbrpblq.exe
2007-11-07 16:33 <REP> d-------- C:\Program Files\Azureus
2007-11-07 11:38 79,936 --a------ C:\WINDOWS\system32\idtsehrc.dll
2007-11-07 11:30 71,232 --a------ C:\WINDOWS\system32\qdtcpfky.exe
2007-11-03 11:30 82 --a------ C:\n.bat
2007-11-03 11:30 0 --a------ C:\z.dat
2007-11-03 11:29 35,328 --a------ C:\WINDOWS\system32\khfedaa.dll
2007-11-02 22:19 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-02 22:16 35,328 --a------ C:\WINDOWS\system32\tuspoll.dll
2007-11-02 22:15 <REP> d-------- C:\WINDOWS\system32\Mz18r
2007-11-01 20:20 <REP> d-------- C:\Documents and Settings\Julie\Application Data\vlc
2007-11-01 20:19 <REP> d-------- C:\Program Files\VideoLAN
2007-10-23 18:28 <REP> d-------- C:\Documents and Settings\Julie\Application Data\Azureus
2007-10-23 18:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-15 16:58 34,761,248 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-15 16:54 2,689,056 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-15 16:53 466,436 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-15 16:53 254,192 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-15 16:32 --------- d-----w C:\Program Files\Kaspersky Lab
2007-11-15 07:13 --------- d-----w C:\Documents and Settings\Julie\Application Data\IMVU
2007-11-10 21:13 --------- d-----w C:\Program Files\IMVU
2007-11-07 19:38 --------- d-----w C:\Program Files\eMule
2007-11-07 15:15 --------- d-----w C:\Program Files\Fichiers communs\AVSMedia
2007-11-07 15:12 --------- d-----w C:\Program Files\Creative
2007-11-07 15:11 --------- d-----w C:\Program Files\DivX
2007-11-07 15:09 --------- d-----w C:\Program Files\Java
2007-11-07 15:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-07 15:06 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-10-07 17:48 --------- d-----w C:\Documents and Settings\Julie\Application Data\WengoPhone
2007-10-01 11:15 839,690 ----a-w C:\WINDOWS\Fonts\Crack.exe
2007-10-01 11:15 839,689 --sh--w C:\WINDOWS\Fonts\svchost.exe
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-01 14:03 216 ----a-w C:\Documents and Settings\Julie\xlmbbn.exe
2007-07-01 12:21 111,542 ----a-w C:\Documents and Settings\Julie\mdofwl.exe
2007-07-01 12:09 124,756 ----a-w C:\Documents and Settings\Julie\votpfz.exe
2007-07-01 12:06 1,085,518 ----a-w C:\Documents and Settings\Julie\vurwlb.exe
2007-07-01 00:03 10,830 ----a-w C:\Documents and Settings\Julie\mmcdva.exe
2007-07-01 00:02 10,830 ----a-w C:\Documents and Settings\Julie\wqpbwd.exe
2007-06-30 23:56 10,830 ----a-w C:\Documents and Settings\Julie\jnkslr.exe
2007-06-30 23:52 10,830 ----a-w C:\Documents and Settings\Julie\senpav.exe
2007-06-30 23:44 10,830 ----a-w C:\Documents and Settings\Julie\vzcifq.exe
2007-06-30 23:25 10,830 ----a-w C:\Documents and Settings\Julie\tippec.exe
2007-06-30 23:17 10,830 ----a-w C:\Documents and Settings\Julie\pijpge.exe
2007-06-30 21:50 10,830 ----a-w C:\Documents and Settings\Julie\gkqavh.exe
2007-06-30 21:47 10,830 ----a-w C:\Documents and Settings\Julie\xzqwxb.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8f60025a-719b-4721-9741-c729cfec4757}]
2007-11-14 20:01 79424 --a------ C:\WINDOWS\system32\hgitwxcf.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-14 20:04 144480 --a------ C:\WINDOWS\system32\abumjmfg.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\abumjmfg.dll [2007-11-14 20:04 144480]
[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 09:50]
"nwiz"="nwiz.exe" [2004-10-29 09:50 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 09:50]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-11-21 18:38]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"V0250Mon.exe"="C:\WINDOWS\V0250Mon.exe" [2006-06-07 18:00]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 21:26]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 21:17]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-07 15:55]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 13:00 C:\WINDOWS\system32\bthprops.cpl]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe" [2007-10-01 12:15]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07]
"fc5a10ed"="C:\WINDOWS\system32\xkthmgbr.dll" [2007-11-14 20:10]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"Creative Live! Cam Manager"="C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 16:00]
"WengoPhoneNG"="E:\Apps\PortableWengoPhone\qtwengophone.exe" []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=0 (0x0)
"NoFind"=0 (0x0)
"NoRun"=0 (0x0)
"NoDesktop"=0 (0x0)
"NoClose"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"HideClock"=0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\abumjmfg]
abumjmfg.dll 2007-11-14 20:04 144480 C:\WINDOWS\system32\abumjmfg.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\vtsqq.dll
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys
R3 V0250Dev;Live! Cam Notebook Pro;C:\WINDOWS\system32\DRIVERS\V0250Dev.sys
R3 V0250Vfx;V0250Vfx;C:\WINDOWS\system32\DRIVERS\V0250Vfx.sys
S3 ATHFMWDL;NETGEAR WG111T bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-10 15:53:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************
catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-15 17:55:40
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-11-15 18:01:14 - machine was rebooted
.
--- E O F ---
Et voici le nouveau log hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09, on 2007-11-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\V0250Mon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\ComboFix\vfind.cfexe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: {7574cefc-927c-1479-1274-b917a52006f8} - {8f60025a-719b-4721-9741-c729cfec4757} - C:\WINDOWS\system32\hgitwxcf.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\abumjmfg.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\abumjmfg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [WengoPhoneNG] E:\Apps\PortableWengoPhone\qtwengophone.exe -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Julie\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: abumjmfg - C:\WINDOWS\SYSTEM32\abumjmfg.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
MSN_Fix 1.328
C:\Documents and Settings\Julie\Mes documents\Appz\MSNFix
Fix exécuté le 15/11/2007 - 17:27:56,12 By Julie
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
... C:\Temp\
************************ Suppression des dossiers
.. OK ... C:\Temp\
************************ Nettoyage du registre
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 15112007_17285389.zip
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Le rapport de combofix.exe :
ComboFix 07-11-08.1 - Julie 2007-11-15 17:37:37.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.189 [GMT 1:00]
Running from: C:\Documents and Settings\Julie\Local Settings\Temporary Internet Files\Content.IE5\APOPGXGT\ComboFix[1].exe
* Created a new restore point
.
Incapable d'obtenir les privilèges Système
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\Julie\Application Data\errorsafefrenchnewreleaseinstall[1].exe
C:\Documents and Settings\Julie\Bureau\Live Safety Center.lnk
C:\Documents and Settings\Julie\Bureau\Online Security Guide.lnk
C:\Documents and Settings\Julie\Favoris\Online Security Guide.lnk
C:\Documents and Settings\Julie\iexplorer.exe
C:\Documents and Settings\Julie\new.txt
C:\install\install.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\retadpu420.exe
C:\WINDOWS\system32\__c0012B5C.dat
C:\WINDOWS\system32\__c00665C1.dat
C:\WINDOWS\system32\__c0095B39.dat
C:\WINDOWS\system32\__c00B064.dat
C:\WINDOWS\system32\__c00D8ADA.dat
C:\WINDOWS\system32\__c00E76D6.dat
C:\WINDOWS\system32\__c00ECFA8.dat
C:\WINDOWS\system32\abumjmfg.dllbox
C:\WINDOWS\system32\b3
C:\WINDOWS\system32\b3\rarndrll2.exe
C:\WINDOWS\system32\bggmfyln.dll
C:\WINDOWS\system32\cjhwvtrw.dll
C:\WINDOWS\system32\e1
C:\WINDOWS\system32\e1\caws83122.exe
C:\WINDOWS\system32\fdxbrlmq.dll
C:\WINDOWS\system32\ffusohgb.dll
C:\WINDOWS\system32\jfuhsxie.dll
C:\WINDOWS\system32\nboatomv.dll
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\ponqsflc.dll
C:\WINDOWS\system32\qqstv.bak1
C:\WINDOWS\system32\qqstv.bak2
C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qvurqeis.dll
C:\WINDOWS\system32\u4
C:\WINDOWS\system32\u4\wr31drs.exe
C:\WINDOWS\system32\ufknojpp.dll
C:\WINDOWS\system32\umsslsku.dll
C:\WINDOWS\system32\vtsqq.dll
C:\WINDOWS\system32\wtfxppbc.dll
C:\WINDOWS\system32\xmecyace.dll
C:\z.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-15 to 2007-11-15 ))))))))))))))))))))))))))))))))))))
.
2007-11-15 17:31 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 08:19 <REP> d-------- C:\Program Files\Trend Micro
2007-11-15 08:18 3,572 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-14 20:10 85,056 --a------ C:\WINDOWS\system32\xkthmgbr.dll
2007-11-14 20:04 144,480 --a------ C:\WINDOWS\system32\yyxammft.dll
2007-11-14 20:04 144,480 --a------ C:\WINDOWS\system32\abumjmfg.dll
2007-11-14 20:01 79,424 --a------ C:\WINDOWS\system32\hgitwxcf.dll
2007-11-14 19:52 71,232 --a------ C:\WINDOWS\system32\gssmtvsf.exe
2007-11-13 19:31 80,448 --a------ C:\WINDOWS\system32\exyrygqo.dll
2007-11-13 19:13 71,232 --a------ C:\WINDOWS\system32\bxbeicip.exe
2007-11-12 19:27 81,472 --a------ C:\WINDOWS\system32\tlamvtcq.dll
2007-11-12 19:12 71,232 --a------ C:\WINDOWS\system32\yvemcpxy.exe
2007-11-11 19:26 79,936 --a------ C:\WINDOWS\system32\fexievon.dll
2007-11-11 19:11 71,232 --a------ C:\WINDOWS\system32\npvqxxmw.exe
2007-11-10 19:25 81,472 --a------ C:\WINDOWS\system32\rusupqlv.dll
2007-11-10 19:10 71,232 --a------ C:\WINDOWS\system32\uwssnmhb.exe
2007-11-09 19:19 128 --a------ C:\winlogon.exe
2007-11-08 13:20 80,448 --a------ C:\WINDOWS\system32\icvepmta.dll
2007-11-08 13:16 71,232 --a------ C:\WINDOWS\system32\qsbrpblq.exe
2007-11-07 16:33 <REP> d-------- C:\Program Files\Azureus
2007-11-07 11:38 79,936 --a------ C:\WINDOWS\system32\idtsehrc.dll
2007-11-07 11:30 71,232 --a------ C:\WINDOWS\system32\qdtcpfky.exe
2007-11-03 11:30 82 --a------ C:\n.bat
2007-11-03 11:30 0 --a------ C:\z.dat
2007-11-03 11:29 35,328 --a------ C:\WINDOWS\system32\khfedaa.dll
2007-11-02 22:19 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-02 22:16 35,328 --a------ C:\WINDOWS\system32\tuspoll.dll
2007-11-02 22:15 <REP> d-------- C:\WINDOWS\system32\Mz18r
2007-11-01 20:20 <REP> d-------- C:\Documents and Settings\Julie\Application Data\vlc
2007-11-01 20:19 <REP> d-------- C:\Program Files\VideoLAN
2007-10-23 18:28 <REP> d-------- C:\Documents and Settings\Julie\Application Data\Azureus
2007-10-23 18:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-15 16:58 34,761,248 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-15 16:54 2,689,056 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-15 16:53 466,436 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-15 16:53 254,192 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-15 16:32 --------- d-----w C:\Program Files\Kaspersky Lab
2007-11-15 07:13 --------- d-----w C:\Documents and Settings\Julie\Application Data\IMVU
2007-11-10 21:13 --------- d-----w C:\Program Files\IMVU
2007-11-07 19:38 --------- d-----w C:\Program Files\eMule
2007-11-07 15:15 --------- d-----w C:\Program Files\Fichiers communs\AVSMedia
2007-11-07 15:12 --------- d-----w C:\Program Files\Creative
2007-11-07 15:11 --------- d-----w C:\Program Files\DivX
2007-11-07 15:09 --------- d-----w C:\Program Files\Java
2007-11-07 15:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-07 15:06 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-10-07 17:48 --------- d-----w C:\Documents and Settings\Julie\Application Data\WengoPhone
2007-10-01 11:15 839,690 ----a-w C:\WINDOWS\Fonts\Crack.exe
2007-10-01 11:15 839,689 --sh--w C:\WINDOWS\Fonts\svchost.exe
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-01 14:03 216 ----a-w C:\Documents and Settings\Julie\xlmbbn.exe
2007-07-01 12:21 111,542 ----a-w C:\Documents and Settings\Julie\mdofwl.exe
2007-07-01 12:09 124,756 ----a-w C:\Documents and Settings\Julie\votpfz.exe
2007-07-01 12:06 1,085,518 ----a-w C:\Documents and Settings\Julie\vurwlb.exe
2007-07-01 00:03 10,830 ----a-w C:\Documents and Settings\Julie\mmcdva.exe
2007-07-01 00:02 10,830 ----a-w C:\Documents and Settings\Julie\wqpbwd.exe
2007-06-30 23:56 10,830 ----a-w C:\Documents and Settings\Julie\jnkslr.exe
2007-06-30 23:52 10,830 ----a-w C:\Documents and Settings\Julie\senpav.exe
2007-06-30 23:44 10,830 ----a-w C:\Documents and Settings\Julie\vzcifq.exe
2007-06-30 23:25 10,830 ----a-w C:\Documents and Settings\Julie\tippec.exe
2007-06-30 23:17 10,830 ----a-w C:\Documents and Settings\Julie\pijpge.exe
2007-06-30 21:50 10,830 ----a-w C:\Documents and Settings\Julie\gkqavh.exe
2007-06-30 21:47 10,830 ----a-w C:\Documents and Settings\Julie\xzqwxb.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8f60025a-719b-4721-9741-c729cfec4757}]
2007-11-14 20:01 79424 --a------ C:\WINDOWS\system32\hgitwxcf.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-14 20:04 144480 --a------ C:\WINDOWS\system32\abumjmfg.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\abumjmfg.dll [2007-11-14 20:04 144480]
[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 09:50]
"nwiz"="nwiz.exe" [2004-10-29 09:50 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 09:50]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-11-21 18:38]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"V0250Mon.exe"="C:\WINDOWS\V0250Mon.exe" [2006-06-07 18:00]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 21:26]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 21:17]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-07 15:55]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 13:00 C:\WINDOWS\system32\bthprops.cpl]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe" [2007-10-01 12:15]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07]
"fc5a10ed"="C:\WINDOWS\system32\xkthmgbr.dll" [2007-11-14 20:10]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"Creative Live! Cam Manager"="C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 16:00]
"WengoPhoneNG"="E:\Apps\PortableWengoPhone\qtwengophone.exe" []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=0 (0x0)
"NoFind"=0 (0x0)
"NoRun"=0 (0x0)
"NoDesktop"=0 (0x0)
"NoClose"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"HideClock"=0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\abumjmfg]
abumjmfg.dll 2007-11-14 20:04 144480 C:\WINDOWS\system32\abumjmfg.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\vtsqq.dll
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys
R3 V0250Dev;Live! Cam Notebook Pro;C:\WINDOWS\system32\DRIVERS\V0250Dev.sys
R3 V0250Vfx;V0250Vfx;C:\WINDOWS\system32\DRIVERS\V0250Vfx.sys
S3 ATHFMWDL;NETGEAR WG111T bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-10 15:53:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************
catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-15 17:55:40
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-11-15 18:01:14 - machine was rebooted
.
--- E O F ---
Et voici le nouveau log hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09, on 2007-11-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\V0250Mon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\ComboFix\vfind.cfexe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: {7574cefc-927c-1479-1274-b917a52006f8} - {8f60025a-719b-4721-9741-c729cfec4757} - C:\WINDOWS\system32\hgitwxcf.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\abumjmfg.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\abumjmfg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [WengoPhoneNG] E:\Apps\PortableWengoPhone\qtwengophone.exe -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Julie\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: abumjmfg - C:\WINDOWS\SYSTEM32\abumjmfg.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
lineve26
Messages postés
488
Date d'inscription
dimanche 16 septembre 2007
Statut
Contributeur
Dernière intervention
14 mai 2008
32
15 nov. 2007 à 19:12
15 nov. 2007 à 19:12
Bonsoir,
Combofix a bien nettoyé mais il reste encore des choses.
Mais je ne peux m'en occuper ce soir car j'ai du monde qui arrive. En outre, l'analyse est longue.
A demain.
Combofix a bien nettoyé mais il reste encore des choses.
Mais je ne peux m'en occuper ce soir car j'ai du monde qui arrive. En outre, l'analyse est longue.
A demain.
lineve26
Messages postés
488
Date d'inscription
dimanche 16 septembre 2007
Statut
Contributeur
Dernière intervention
14 mai 2008
32
16 nov. 2007 à 12:20
16 nov. 2007 à 12:20
Bonjour,
- Ouvre le bloc-notes et colles-y les lignes écrites ci-dessous :
File::
C:\WINDOWS\system32\xkthmgbr.dll
C:\WINDOWS\system32\yyxammft.dll
C:\WINDOWS\system32\abumjmfg.dll
C:\WINDOWS\system32\hgitwxcf.dll
C:\WINDOWS\system32\gssmtvsf.exe
C:\WINDOWS\system32\exyrygqo.dll
C:\WINDOWS\system32\bxbeicip.exe
C:\WINDOWS\system32\tlamvtcq.dll
C:\WINDOWS\system32\yvemcpxy.exe
C:\WINDOWS\system32\fexievon.dll
C:\WINDOWS\system32\npvqxxmw.exe
C:\WINDOWS\system32\rusupqlv.dll
C:\WINDOWS\system32\uwssnmhb.exe
C:\WINDOWS\system32\icvepmta.dll
C:\WINDOWS\system32\qsbrpblq.exe
C:\winlogon.exe
C:\WINDOWS\system32\idtsehrc.dll
C:\WINDOWS\system32\qdtcpfky.exe
C:\n.bat
C:\z.dat
C:\WINDOWS\system32\khfedaa.dll
C:\WINDOWS\system32\tuspoll.dll
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Documents and Settings\Julie\xlmbbn.exe
C:\Documents and Settings\Julie\mdofwl.exe
C:\Documents and Settings\Julie\votpfz.exe
C:\Documents and Settings\Julie\vurwlb.exe
C:\Documents and Settings\Julie\mmcdva.exe
C:\Documents and Settings\Julie\wqpbwd.exe
C:\Documents and Settings\Julie\jnkslr.exe
C:\Documents and Settings\Julie\senpav.exe
C:\Documents and Settings\Julie\vzcifq.exe
C:\Documents and Settings\Julie\tippec.exe
C:\Documents and Settings\Julie\pijpge.exe
C:\Documents and Settings\Julie\gkqavh.exe
C:\Documents and Settings\Julie\xzqwxb.exe
Folder::
C:\WINDOWS\system32\Mz18r
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8f60025a-719b-4721-9741-c729cfec4757}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-
[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= hex(7):6d,73,76,31,5f,30,00,00
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\abumjmfg]
- Enregistre-le sous CFScript.txt, sur le bureau
- Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
- Poste le résultat et un nouveau rapport HijackThis !
2) Relance hijackthis pour un scan seulement(Do a system scan only) et coche hors connexion Internet et toutes fenêtres fermées, sauf hijackthis :
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
Clique sur "Fix checked" ("Fixer objet") hors connexion.
Reviens avec le rapport de Combofix et un nouveau log hijackthis.
A te lire
Edit : Java n'est pas à jour.
Désinstalle ta version et installe celle-ci :
Java Sun/MicroSystem
https://www.oracle.com/java/technologies/javase-downloads.html
4éme liens...Java Runtime Environnement--->JRE:6u3--->Windows offline
05/10/07
- Ouvre le bloc-notes et colles-y les lignes écrites ci-dessous :
File::
C:\WINDOWS\system32\xkthmgbr.dll
C:\WINDOWS\system32\yyxammft.dll
C:\WINDOWS\system32\abumjmfg.dll
C:\WINDOWS\system32\hgitwxcf.dll
C:\WINDOWS\system32\gssmtvsf.exe
C:\WINDOWS\system32\exyrygqo.dll
C:\WINDOWS\system32\bxbeicip.exe
C:\WINDOWS\system32\tlamvtcq.dll
C:\WINDOWS\system32\yvemcpxy.exe
C:\WINDOWS\system32\fexievon.dll
C:\WINDOWS\system32\npvqxxmw.exe
C:\WINDOWS\system32\rusupqlv.dll
C:\WINDOWS\system32\uwssnmhb.exe
C:\WINDOWS\system32\icvepmta.dll
C:\WINDOWS\system32\qsbrpblq.exe
C:\winlogon.exe
C:\WINDOWS\system32\idtsehrc.dll
C:\WINDOWS\system32\qdtcpfky.exe
C:\n.bat
C:\z.dat
C:\WINDOWS\system32\khfedaa.dll
C:\WINDOWS\system32\tuspoll.dll
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Documents and Settings\Julie\xlmbbn.exe
C:\Documents and Settings\Julie\mdofwl.exe
C:\Documents and Settings\Julie\votpfz.exe
C:\Documents and Settings\Julie\vurwlb.exe
C:\Documents and Settings\Julie\mmcdva.exe
C:\Documents and Settings\Julie\wqpbwd.exe
C:\Documents and Settings\Julie\jnkslr.exe
C:\Documents and Settings\Julie\senpav.exe
C:\Documents and Settings\Julie\vzcifq.exe
C:\Documents and Settings\Julie\tippec.exe
C:\Documents and Settings\Julie\pijpge.exe
C:\Documents and Settings\Julie\gkqavh.exe
C:\Documents and Settings\Julie\xzqwxb.exe
Folder::
C:\WINDOWS\system32\Mz18r
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8f60025a-719b-4721-9741-c729cfec4757}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-
[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= hex(7):6d,73,76,31,5f,30,00,00
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\abumjmfg]
- Enregistre-le sous CFScript.txt, sur le bureau
- Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
- Poste le résultat et un nouveau rapport HijackThis !
2) Relance hijackthis pour un scan seulement(Do a system scan only) et coche hors connexion Internet et toutes fenêtres fermées, sauf hijackthis :
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
Clique sur "Fix checked" ("Fixer objet") hors connexion.
Reviens avec le rapport de Combofix et un nouveau log hijackthis.
A te lire
Edit : Java n'est pas à jour.
Désinstalle ta version et installe celle-ci :
Java Sun/MicroSystem
https://www.oracle.com/java/technologies/javase-downloads.html
4éme liens...Java Runtime Environnement--->JRE:6u3--->Windows offline
05/10/07
sweetyprod
Messages postés
5
Date d'inscription
mercredi 14 novembre 2007
Statut
Membre
Dernière intervention
16 novembre 2007
16 nov. 2007 à 21:17
16 nov. 2007 à 21:17
Voici le rapport de combofix.exe :
ComboFix 07-11-08.1 - Julie 2007-11-16 20:50:37.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.158 [GMT 1:00]
Running from: C:\Documents and Settings\Julie\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Julie\Bureau\CFScript.txt
* Created a new restore point
FILE
C:\Documents and Settings\Julie\gkqavh.exe
C:\Documents and Settings\Julie\jnkslr.exe
C:\Documents and Settings\Julie\mdofwl.exe
C:\Documents and Settings\Julie\mmcdva.exe
C:\Documents and Settings\Julie\pijpge.exe
C:\Documents and Settings\Julie\senpav.exe
C:\Documents and Settings\Julie\tippec.exe
C:\Documents and Settings\Julie\votpfz.exe
C:\Documents and Settings\Julie\vurwlb.exe
C:\Documents and Settings\Julie\vzcifq.exe
C:\Documents and Settings\Julie\wqpbwd.exe
C:\Documents and Settings\Julie\xlmbbn.exe
C:\Documents and Settings\Julie\xzqwxb.exe
C:\n.bat
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\abumjmfg.dll
C:\WINDOWS\system32\bxbeicip.exe
C:\WINDOWS\system32\exyrygqo.dll
C:\WINDOWS\system32\fexievon.dll
C:\WINDOWS\system32\gssmtvsf.exe
C:\WINDOWS\system32\hgitwxcf.dll
C:\WINDOWS\system32\icvepmta.dll
C:\WINDOWS\system32\idtsehrc.dll
C:\WINDOWS\system32\khfedaa.dll
C:\WINDOWS\system32\npvqxxmw.exe
C:\WINDOWS\system32\qdtcpfky.exe
C:\WINDOWS\system32\qsbrpblq.exe
C:\WINDOWS\system32\rusupqlv.dll
C:\WINDOWS\system32\tlamvtcq.dll
C:\WINDOWS\system32\tuspoll.dll
C:\WINDOWS\system32\uwssnmhb.exe
C:\WINDOWS\system32\xkthmgbr.dll
C:\WINDOWS\system32\yvemcpxy.exe
C:\WINDOWS\system32\yyxammft.dll
C:\winlogon.exe
C:\z.dat
.
Incapable d'obtenir les privilèges Système
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\Julie\Bureau\Live Safety Center.lnk
C:\Documents and Settings\Julie\Bureau\Online Security Guide.lnk
C:\Documents and Settings\Julie\Favoris\Online Security Guide.lnk
C:\Documents and Settings\Julie\gkqavh.exe
C:\Documents and Settings\Julie\jnkslr.exe
C:\Documents and Settings\Julie\mdofwl.exe
C:\Documents and Settings\Julie\mmcdva.exe
C:\Documents and Settings\Julie\pijpge.exe
C:\Documents and Settings\Julie\senpav.exe
C:\Documents and Settings\Julie\tippec.exe
C:\Documents and Settings\Julie\votpfz.exe
C:\Documents and Settings\Julie\vurwlb.exe
C:\Documents and Settings\Julie\vzcifq.exe
C:\Documents and Settings\Julie\wqpbwd.exe
C:\Documents and Settings\Julie\xlmbbn.exe
C:\Documents and Settings\Julie\xzqwxb.exe
C:\n.bat
C:\WINDOWS\cookies.ini
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\abumjmfg.dll
C:\WINDOWS\system32\abumjmfg.dllbox
C:\WINDOWS\system32\bxbeicip.exe
C:\WINDOWS\system32\exyrygqo.dll
C:\WINDOWS\system32\fexievon.dll
C:\WINDOWS\system32\gssmtvsf.exe
C:\WINDOWS\system32\hgitwxcf.dll
C:\WINDOWS\system32\icvepmta.dll
C:\WINDOWS\system32\idtsehrc.dll
C:\WINDOWS\system32\khfedaa.dll
C:\WINDOWS\system32\Mz18r
C:\WINDOWS\system32\Mz18r\Mz18r2328.exe
C:\WINDOWS\system32\npvqxxmw.exe
C:\WINDOWS\system32\qdtcpfky.exe
C:\WINDOWS\system32\qsbrpblq.exe
C:\WINDOWS\system32\rusupqlv.dll
C:\WINDOWS\system32\tlamvtcq.dll
C:\WINDOWS\system32\tuspoll.dll
C:\WINDOWS\system32\uwssnmhb.exe
C:\WINDOWS\system32\xkthmgbr.dll
C:\WINDOWS\system32\yvemcpxy.exe
C:\WINDOWS\system32\yyxammft.dll
C:\winlogon.exe
C:\z.dat
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-16 to 2007-11-16 ))))))))))))))))))))))))))))))))))))
.
2007-11-15 17:31 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 08:19 <REP> d-------- C:\Program Files\Trend Micro
2007-11-15 08:18 3,572 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-07 16:33 <REP> d-------- C:\Program Files\Azureus
2007-11-02 22:19 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-01 20:20 <REP> d-------- C:\Documents and Settings\Julie\Application Data\vlc
2007-11-01 20:19 <REP> d-------- C:\Program Files\VideoLAN
2007-10-23 18:28 <REP> d-------- C:\Documents and Settings\Julie\Application Data\Azureus
2007-10-23 18:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-16 20:02 35,114,272 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-16 20:01 2,710,816 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-16 20:00 471,236 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-16 20:00 256,232 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-15 20:18 --------- d-----w C:\Program Files\eMule
2007-11-15 16:32 --------- d-----w C:\Program Files\Kaspersky Lab
2007-11-15 07:13 --------- d-----w C:\Documents and Settings\Julie\Application Data\IMVU
2007-11-10 21:13 --------- d-----w C:\Program Files\IMVU
2007-11-07 15:15 --------- d-----w C:\Program Files\Fichiers communs\AVSMedia
2007-11-07 15:12 --------- d-----w C:\Program Files\Creative
2007-11-07 15:11 --------- d-----w C:\Program Files\DivX
2007-11-07 15:09 --------- d-----w C:\Program Files\Java
2007-11-07 15:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-07 15:06 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-10-07 17:48 --------- d-----w C:\Documents and Settings\Julie\Application Data\WengoPhone
.
((((((((((((((((((((((((((((( snapshot@2007-11-15_17.59.36.01 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-12-19 21:49:47 8,509,952 -c--a-w C:\WINDOWS\system32\dllcache\shell32.dll
+ 2007-10-25 16:56:24 8,510,976 -c--a-w C:\WINDOWS\system32\dllcache\shell32.dll
- 2006-12-19 21:49:47 8,509,952 ----a-w C:\WINDOWS\system32\shell32.dll
+ 2007-10-25 16:56:24 8,510,976 ----a-w C:\WINDOWS\system32\shell32.dll
- 2007-08-21 10:53:25 121,856 ----a-w C:\WINDOWS\system32\xpsp3res.dll
+ 2007-10-29 15:35:14 121,856 ----a-w C:\WINDOWS\system32\xpsp3res.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 09:50]
"nwiz"="nwiz.exe" [2004-10-29 09:50 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 09:50]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-11-21 18:38]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"V0250Mon.exe"="C:\WINDOWS\V0250Mon.exe" [2006-06-07 18:00]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 21:26]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 21:17]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-07 15:55]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 13:00 C:\WINDOWS\system32\bthprops.cpl]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07]
"fc5a10ed"="C:\WINDOWS\system32\xkthmgbr.dll" []
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"Creative Live! Cam Manager"="C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 16:00]
"WengoPhoneNG"="E:\Apps\PortableWengoPhone\qtwengophone.exe" []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=0 (0x0)
"NoFind"=0 (0x0)
"NoRun"=0 (0x0)
"NoDesktop"=0 (0x0)
"NoClose"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"HideClock"=0 (0x0)
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys
R3 V0250Dev;Live! Cam Notebook Pro;C:\WINDOWS\system32\DRIVERS\V0250Dev.sys
R3 V0250Vfx;V0250Vfx;C:\WINDOWS\system32\DRIVERS\V0250Vfx.sys
S3 ATHFMWDL;NETGEAR WG111T bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-10 15:53:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************
catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-16 21:02:18
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
.
Completion time: 2007-11-16 21:06:09 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-15 18:01
.
--- E O F ---
et voici celui de HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:50, on 16/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\V0250Mon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [WengoPhoneNG] E:\Apps\PortableWengoPhone\qtwengophone.exe -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Julie\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
ComboFix 07-11-08.1 - Julie 2007-11-16 20:50:37.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.158 [GMT 1:00]
Running from: C:\Documents and Settings\Julie\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Julie\Bureau\CFScript.txt
* Created a new restore point
FILE
C:\Documents and Settings\Julie\gkqavh.exe
C:\Documents and Settings\Julie\jnkslr.exe
C:\Documents and Settings\Julie\mdofwl.exe
C:\Documents and Settings\Julie\mmcdva.exe
C:\Documents and Settings\Julie\pijpge.exe
C:\Documents and Settings\Julie\senpav.exe
C:\Documents and Settings\Julie\tippec.exe
C:\Documents and Settings\Julie\votpfz.exe
C:\Documents and Settings\Julie\vurwlb.exe
C:\Documents and Settings\Julie\vzcifq.exe
C:\Documents and Settings\Julie\wqpbwd.exe
C:\Documents and Settings\Julie\xlmbbn.exe
C:\Documents and Settings\Julie\xzqwxb.exe
C:\n.bat
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\abumjmfg.dll
C:\WINDOWS\system32\bxbeicip.exe
C:\WINDOWS\system32\exyrygqo.dll
C:\WINDOWS\system32\fexievon.dll
C:\WINDOWS\system32\gssmtvsf.exe
C:\WINDOWS\system32\hgitwxcf.dll
C:\WINDOWS\system32\icvepmta.dll
C:\WINDOWS\system32\idtsehrc.dll
C:\WINDOWS\system32\khfedaa.dll
C:\WINDOWS\system32\npvqxxmw.exe
C:\WINDOWS\system32\qdtcpfky.exe
C:\WINDOWS\system32\qsbrpblq.exe
C:\WINDOWS\system32\rusupqlv.dll
C:\WINDOWS\system32\tlamvtcq.dll
C:\WINDOWS\system32\tuspoll.dll
C:\WINDOWS\system32\uwssnmhb.exe
C:\WINDOWS\system32\xkthmgbr.dll
C:\WINDOWS\system32\yvemcpxy.exe
C:\WINDOWS\system32\yyxammft.dll
C:\winlogon.exe
C:\z.dat
.
Incapable d'obtenir les privilèges Système
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\Julie\Bureau\Live Safety Center.lnk
C:\Documents and Settings\Julie\Bureau\Online Security Guide.lnk
C:\Documents and Settings\Julie\Favoris\Online Security Guide.lnk
C:\Documents and Settings\Julie\gkqavh.exe
C:\Documents and Settings\Julie\jnkslr.exe
C:\Documents and Settings\Julie\mdofwl.exe
C:\Documents and Settings\Julie\mmcdva.exe
C:\Documents and Settings\Julie\pijpge.exe
C:\Documents and Settings\Julie\senpav.exe
C:\Documents and Settings\Julie\tippec.exe
C:\Documents and Settings\Julie\votpfz.exe
C:\Documents and Settings\Julie\vurwlb.exe
C:\Documents and Settings\Julie\vzcifq.exe
C:\Documents and Settings\Julie\wqpbwd.exe
C:\Documents and Settings\Julie\xlmbbn.exe
C:\Documents and Settings\Julie\xzqwxb.exe
C:\n.bat
C:\WINDOWS\cookies.ini
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\abumjmfg.dll
C:\WINDOWS\system32\abumjmfg.dllbox
C:\WINDOWS\system32\bxbeicip.exe
C:\WINDOWS\system32\exyrygqo.dll
C:\WINDOWS\system32\fexievon.dll
C:\WINDOWS\system32\gssmtvsf.exe
C:\WINDOWS\system32\hgitwxcf.dll
C:\WINDOWS\system32\icvepmta.dll
C:\WINDOWS\system32\idtsehrc.dll
C:\WINDOWS\system32\khfedaa.dll
C:\WINDOWS\system32\Mz18r
C:\WINDOWS\system32\Mz18r\Mz18r2328.exe
C:\WINDOWS\system32\npvqxxmw.exe
C:\WINDOWS\system32\qdtcpfky.exe
C:\WINDOWS\system32\qsbrpblq.exe
C:\WINDOWS\system32\rusupqlv.dll
C:\WINDOWS\system32\tlamvtcq.dll
C:\WINDOWS\system32\tuspoll.dll
C:\WINDOWS\system32\uwssnmhb.exe
C:\WINDOWS\system32\xkthmgbr.dll
C:\WINDOWS\system32\yvemcpxy.exe
C:\WINDOWS\system32\yyxammft.dll
C:\winlogon.exe
C:\z.dat
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-16 to 2007-11-16 ))))))))))))))))))))))))))))))))))))
.
2007-11-15 17:31 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 08:19 <REP> d-------- C:\Program Files\Trend Micro
2007-11-15 08:18 3,572 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-07 16:33 <REP> d-------- C:\Program Files\Azureus
2007-11-02 22:19 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-01 20:20 <REP> d-------- C:\Documents and Settings\Julie\Application Data\vlc
2007-11-01 20:19 <REP> d-------- C:\Program Files\VideoLAN
2007-10-23 18:28 <REP> d-------- C:\Documents and Settings\Julie\Application Data\Azureus
2007-10-23 18:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-16 20:02 35,114,272 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-16 20:01 2,710,816 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-16 20:00 471,236 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-16 20:00 256,232 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-15 20:18 --------- d-----w C:\Program Files\eMule
2007-11-15 16:32 --------- d-----w C:\Program Files\Kaspersky Lab
2007-11-15 07:13 --------- d-----w C:\Documents and Settings\Julie\Application Data\IMVU
2007-11-10 21:13 --------- d-----w C:\Program Files\IMVU
2007-11-07 15:15 --------- d-----w C:\Program Files\Fichiers communs\AVSMedia
2007-11-07 15:12 --------- d-----w C:\Program Files\Creative
2007-11-07 15:11 --------- d-----w C:\Program Files\DivX
2007-11-07 15:09 --------- d-----w C:\Program Files\Java
2007-11-07 15:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-07 15:06 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-10-07 17:48 --------- d-----w C:\Documents and Settings\Julie\Application Data\WengoPhone
.
((((((((((((((((((((((((((((( snapshot@2007-11-15_17.59.36.01 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-12-19 21:49:47 8,509,952 -c--a-w C:\WINDOWS\system32\dllcache\shell32.dll
+ 2007-10-25 16:56:24 8,510,976 -c--a-w C:\WINDOWS\system32\dllcache\shell32.dll
- 2006-12-19 21:49:47 8,509,952 ----a-w C:\WINDOWS\system32\shell32.dll
+ 2007-10-25 16:56:24 8,510,976 ----a-w C:\WINDOWS\system32\shell32.dll
- 2007-08-21 10:53:25 121,856 ----a-w C:\WINDOWS\system32\xpsp3res.dll
+ 2007-10-29 15:35:14 121,856 ----a-w C:\WINDOWS\system32\xpsp3res.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 09:50]
"nwiz"="nwiz.exe" [2004-10-29 09:50 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 09:50]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-11-21 18:38]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"V0250Mon.exe"="C:\WINDOWS\V0250Mon.exe" [2006-06-07 18:00]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 21:26]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 21:17]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-07 15:55]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 13:00 C:\WINDOWS\system32\bthprops.cpl]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07]
"fc5a10ed"="C:\WINDOWS\system32\xkthmgbr.dll" []
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"Creative Live! Cam Manager"="C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 16:00]
"WengoPhoneNG"="E:\Apps\PortableWengoPhone\qtwengophone.exe" []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=0 (0x0)
"NoFind"=0 (0x0)
"NoRun"=0 (0x0)
"NoDesktop"=0 (0x0)
"NoClose"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"HideClock"=0 (0x0)
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys
R3 V0250Dev;Live! Cam Notebook Pro;C:\WINDOWS\system32\DRIVERS\V0250Dev.sys
R3 V0250Vfx;V0250Vfx;C:\WINDOWS\system32\DRIVERS\V0250Vfx.sys
S3 ATHFMWDL;NETGEAR WG111T bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-10 15:53:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************
catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-16 21:02:18
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
.
Completion time: 2007-11-16 21:06:09 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-15 18:01
.
--- E O F ---
et voici celui de HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:50, on 16/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\V0250Mon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [WengoPhoneNG] E:\Apps\PortableWengoPhone\qtwengophone.exe -b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Julie\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
sweetyprod
Messages postés
5
Date d'inscription
mercredi 14 novembre 2007
Statut
Membre
Dernière intervention
16 novembre 2007
16 nov. 2007 à 21:19
16 nov. 2007 à 21:19
J'ai remarqu" que je n'est plus de pubs intempestive ni de security toolbar sa a marcher il n'y a plus rien :D
Merci beaucoup !
Merci beaucoup !
lineve26
Messages postés
488
Date d'inscription
dimanche 16 septembre 2007
Statut
Contributeur
Dernière intervention
14 mai 2008
32
16 nov. 2007 à 21:55
16 nov. 2007 à 21:55
Bonsoir,
CE N'EST PAS FINI !!!
D'abord, tu n'as pas fixé des lignes néfastes dans hijackthis.
Fixe les lignes dont je t'ai parlé plus haut, notamment celles-ci : (et même toutes !!!)
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
Ensuite, fais un scan en ligne :
* Fais un scan en ligne Kaspersky avec Internet Explorer :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
* Clique sur
* Clique maintenant sur J'accepte.
* Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
* Patiente pendant l'installation des Mises à jour.
* Choisis par la suite l'analyse du Poste de travail
* Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Reviens avec le rapport de scan en ligne et un nouveau log hijackthis.
A te lire
CE N'EST PAS FINI !!!
D'abord, tu n'as pas fixé des lignes néfastes dans hijackthis.
Fixe les lignes dont je t'ai parlé plus haut, notamment celles-ci : (et même toutes !!!)
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [fc5a10ed] rundll32.exe "C:\WINDOWS\system32\xkthmgbr.dll",b
Ensuite, fais un scan en ligne :
* Fais un scan en ligne Kaspersky avec Internet Explorer :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
* Clique sur
* Clique maintenant sur J'accepte.
* Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
* Patiente pendant l'installation des Mises à jour.
* Choisis par la suite l'analyse du Poste de travail
* Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Reviens avec le rapport de scan en ligne et un nouveau log hijackthis.
A te lire