security toolbar, fenetres intempestives...

Question

Bonjour, 
 g un gros probléme mon pc rame  il plante je me fait bombarder de pages qui s'ouvrent ki veulent me faire telecharger des antivirus, on me signale des fatal eror, la security toolbar 7.1 c'est installé.. bref la merde 
tout à commencé qd g telecharger video add on pour pouvoir lire une video en streaming AIDEZ MOI SVP

chrifleur · Answer

bonjour
télécharge et installe le logiciel HijackThis 
https://www.pcastuces.com/logitheque/hijackthis.htm 
tuto pour l’utiliser 
regarde ici c'est parfaitement expliqué en images 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Télécharge SmitfraudFix  de S!Ri, balltrap34 et moe31 
http://siri.urz.free.fr/Fix
Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix. 
Utilisation ----- option 1 - Recherche : 
Double clique sur smitfraudfix.cmd  Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection. 
 Poste le rapport 
Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.

Amad · Answer

Bonjour, 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:41, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\limewire\limewire.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {70CC76D5-A4EE-4F25-9931-B109A63E298E} - (no file)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ynvrvtal.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [1cfb053e] rundll32.exe "C:\WINDOWS\system32\mwqetifg.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [wakueoybsc] c:\documents and settings\bénard guzman\local settings\application data\wakueoybsc.exe wakueoybsc
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0076BA6.dat
O22 - SharedTaskScheduler: doglike - {3750da11-9b0c-4a75-9c8a-bbcbfcd1ccea} - C:\WINDOWS\system32\fftktmk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\yfybpraf.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Amad · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:41, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\limewire\limewire.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {70CC76D5-A4EE-4F25-9931-B109A63E298E} - (no file)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ynvrvtal.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [1cfb053e] rundll32.exe "C:\WINDOWS\system32\mwqetifg.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [wakueoybsc] c:\documents and settings\bénard guzman\local settings\application data\wakueoybsc.exe wakueoybsc
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0076BA6.dat
O22 - SharedTaskScheduler: doglike - {3750da11-9b0c-4a75-9c8a-bbcbfcd1ccea} - C:\WINDOWS\system32\fftktmk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\yfybpraf.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Amad · Answer

SmitFraudFix v2.253

Rapport fait à 13:53:53,95, 19/11/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\limewire\limewire.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\B‚nard Guzman


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\B‚nard Guzman\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BNARDG~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3750da11-9b0c-4a75-9c8a-bbcbfcd1ccea}"="doglike"

[HKEY_CLASSES_ROOT\CLSID\{3750da11-9b0c-4a75-9c8a-bbcbfcd1ccea}\InProcServer32]
@="C:\WINDOWS\system32\fftktmk.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3750da11-9b0c-4a75-9c8a-bbcbfcd1ccea}\InProcServer32]
@="C:\WINDOWS\system32\fftktmk.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\system32\__c0076BA6.dat"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 802.11b/g WLAN - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD79ADA3-58EB-432A-844E-59EEAB3178EC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD79ADA3-58EB-432A-844E-59EEAB3178EC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD79ADA3-58EB-432A-844E-59EEAB3178EC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

chrifleur · Answer

Redémarrer l'ordinateur en mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisi la première option : Sans Échec, et valide avec "Entrée" 
5) Choisi ton compte habituel, et non Administrateur 

· Double cliquer sur Smitfraudfix.exe. 
· Sélectionner 2 pour supprimer les fichiers responsables de l'infection. 
· A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. 
· A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu. 
· Quitter le programme en appuyant sur Q. 
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1 
Attention que l'option 2 de l'outil supprime le fond d'écran ! 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Redémarrer normalement et coller sur le forum le rapport généré et un rapport hijack this

Amad · Answer

Bonjour, 
SmitFraudFix v2.253

Rapport fait à 14:10:22,51, 19/11/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD79ADA3-58EB-432A-844E-59EEAB3178EC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD79ADA3-58EB-432A-844E-59EEAB3178EC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FD79ADA3-58EB-432A-844E-59EEAB3178EC}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Amad · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:30:17, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\limewire\limewire.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {70CC76D5-A4EE-4F25-9931-B109A63E298E} - (no file)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ynvrvtal.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [1cfb053e] rundll32.exe "C:\WINDOWS\system32\mwqetifg.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [wakueoybsc] c:\documents and settings\bénard guzman\local settings\application data\wakueoybsc.exe wakueoybsc
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0076BA6.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\yfybpraf.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Amad · Answer

Bonjour, 
en tout cas c cool ce ke t'est entrain de faire pour moi excuse si je met un peu de tps c parck mon pc il rame

chrifleur · Answer

on continue cat tu es encore pas mal infecté
Télécharge sur ton bureau RHosts (Merci à S!ri) 
http://siri.urz.free.fr/Softs/RHosts.exe 
Double-clique sur Rhosts.exe et clique sur "restaurer".

Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
clic double sur VundoFix.exe afin de le lancer
clic sur le bouton Scan for Vundo
Lorsque le scan est complété, clic sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clic YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
 Tu verras une invite qui t'annonce que ton PC va redémarrer; 
clic OK
 Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci haut, à partir de "clic sur le bouton Scan for Vundo".
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Amad · Answer

Bonjour, 
Je suis entrain de faire les manips petit à petit on désinfecte c cool, bon mon ordi à planté tt à l'heure et il y a encore des messages system alert mais bon on par en guerre la pas vrai? nan franchement j'admire votre patience ( scan vundo est en cours)

Amad · Answer

Bonjour, 

VundoFix V6.6.1

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 12:17:03 16/11/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.6.1

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 14:40:25 16/11/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.6.1

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 15:05:03 19/11/2007

Listing files found while scanning....

C:\windows\system32\jppoxphp.dll
C:\WINDOWS\system32\ynvrvtal.dll

Beginning removal...

 Attempting to delete C:\windows\system32\jppoxphp.dll
C:\windows\system32\jppoxphp.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ynvrvtal.dll
C:\WINDOWS\system32\ynvrvtal.dll Has been deleted!

Performing Repairs to the registry.
Done!

Amad · Answer

vundo ne m'a pas demander si je veux supprimer les fichiers, un msg est apparu: done scaning for files et g cliquer sur ok
puis il à redémarer mon pc

Amad · Answer

Bonjour, Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:00, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\limewire\limewire.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {70CC76D5-A4EE-4F25-9931-B109A63E298E} - (no file)
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [1cfb053e] rundll32.exe "C:\WINDOWS\system32\mwqetifg.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [wakueoybsc] c:\documents and settings\bénard guzman\local settings\application data\wakueoybsc.exe wakueoybsc
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0076BA6.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\yfybpraf.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

chrifleur · Answer

Télécharge ce programme puis double clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit) 
http://www.suspectfile.com/systemscan/ 

* Coche uniquement ces cases, décoche tout le reste : 

- Recent Files, 30 days 

Puis clic sur scan now, soit patient. 
Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici et vérifie qu'il soit bien en entier, si besoin crée deux messages. 

Télécharge OAD ( par !aur3n7) http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : DomainService
- Type de recherche : sélectionne l'option 6 puis valide [entrée]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

recommence avec
Host Process
puis avec
1cfb053e
et enfin
__c0076BA6.dat

Amad · Answer

Bonjour, 
SystemScan - www.suspectfile.com - ver. 3.2.2

Running on: Windows XP PROFESSIONAL Edition, Service Pack 2 (2600.5.1)
System directory: C:\WINDOWS

Date: 19/11/2007
Time: 16:00:26
  
Output limited to: 
 -Recent files

===================== Recent files (30 days old)=====================

----- recent files in C:\
09/11/2007 11:20:41 (DIR)        0 byte     10 days old -- I386
16/11/2007 09:38:41 (DIR)        0 byte      3 days old -- Temp
16/11/2007 12:17:03 (DIR)        0 byte      3 days old -- VundoFix Backups
16/11/2007 15:30:08            260 byte      3 days old -- 2899.bat
19/11/2007 02:35:15           9808 byte      0 days old -- b.exe
19/11/2007 02:36:23         172032 byte      0 days old -- d.exe
19/11/2007 02:36:29            260 byte      0 days old -- 7431.bat
19/11/2007 02:36:30              0 byte      0 days old -- z.dat
19/11/2007 02:36:46              0 byte      0 days old -- x.dat
19/11/2007 02:37:06            120 byte      0 days old -- n.bat
19/11/2007 11:12:29 (DIR)        0 byte      0 days old -- Program Files
19/11/2007 11:25:50            260 byte      0 days old -- 6320.bat
19/11/2007 13:50:37        1043644 byte      0 days old -- SmitfraudFix.exe
19/11/2007 14:07:02 (DIR)        0 byte      0 days old -- WINDOWS
19/11/2007 14:12:30 (DIR)        0 byte      0 days old -- SmitfraudFix
19/11/2007 14:12:30           5307 byte      0 days old -- rapport.txt
19/11/2007 14:18:23            260 byte      0 days old -- 5976.bat
19/11/2007 14:57:50          36864 byte      0 days old -- svchost.exe
19/11/2007 14:57:55            260 byte      0 days old -- 8777.bat
19/11/2007 15:18:30           1102 byte      0 days old -- VundoFix.txt
19/11/2007 15:19:24      1610612736 byte      0 days old -- pagefile.sys
19/11/2007 15:19:25      1072279552 byte      0 days old -- hiberfil.sys
19/11/2007 15:20:27             44 byte      0 days old -- XP_TV.ini
19/11/2007 15:20:35           1344 byte      0 days old -- hpqp.ini
19/11/2007 16:00:25 (DIR)        0 byte      0 days old -- suspectfile

----- recent files in C:\WINDOWS\
08/11/2007 17:36:42            821 byte     11 days old -- orun32.ini
09/11/2007 20:01:51 (DIR)        0 byte     10 days old -- $NtUninstallKB936782_WMP11$
09/11/2007 20:02:47 (DIR)        0 byte     10 days old -- $NtUninstallKB930494$
09/11/2007 20:03:29 (DIR)        0 byte     10 days old -- $NtUninstallKB933360$
09/11/2007 20:03:38 (DIR)        0 byte     10 days old -- $NtUninstallKB938127$
09/11/2007 20:04:35 (DIR)        0 byte     10 days old -- $NtUninstallKB939683$
09/11/2007 20:04:41 (DIR)        0 byte     10 days old -- $NtUninstallKB941202$
09/11/2007 20:07:08 (DIR)        0 byte     10 days old -- WinSxS
09/11/2007 20:10:26 (DIR)        0 byte     10 days old -- $NtUninstallKB938829$
09/11/2007 20:10:43 (DIR)        0 byte     10 days old -- $NtUninstallKB921503$
09/11/2007 20:11:19 (DIR)        0 byte     10 days old -- $NtUninstallKB939653$
09/11/2007 20:11:33 (DIR)        0 byte     10 days old -- $NtUninstallKB938828$
09/11/2007 20:11:42 (DIR)        0 byte     10 days old -- $NtUninstallKB936021$
09/11/2007 20:11:52 (DIR)        0 byte     10 days old -- $NtUninstallKB933729$
09/11/2007 20:51:32 (DIR)        0 byte     10 days old -- Microsoft.NET
14/11/2007 20:03:54 (DIR)        0 byte      5 days old -- $hf_mig$
14/11/2007 20:04:07 (DIR)        0 byte      5 days old -- $NtUninstallKB943460$
15/11/2007 01:07:15 (DIR)        0 byte      4 days old -- Debug
15/11/2007 03:10:11 (DIR)        0 byte      4 days old -- Tasks
16/11/2007 15:53:04            536 byte      3 days old -- wmsetup.log
19/11/2007 01:21:03 (DIR)        0 byte      0 days old -- Installer
19/11/2007 01:21:08 (DIR)        0 byte      0 days old -- assembly
19/11/2007 03:01:53             85 byte      0 days old -- cookies.ini
19/11/2007 03:22:47 (DIR)        0 byte      0 days old -- Downloaded Program Files
19/11/2007 14:03:42          32528 byte      0 days old -- SchedLgU.Txt
19/11/2007 14:07:02              0 byte      0 days old -- setuperr.log
19/11/2007 14:10:31            240 byte      0 days old -- setupact.log
19/11/2007 14:12:32         311170 byte      0 days old -- ntbtlog.txt
19/11/2007 14:17:38 (DIR)        0 byte      0 days old -- inf
19/11/2007 15:19:29           2048 byte      0 days old -- bootstat.dat
19/11/2007 15:19:59             50 byte      0 days old -- wiaservc.log
19/11/2007 15:20:04            159 byte      0 days old -- wiadebug.log
19/11/2007 15:20:09              0 byte      0 days old -- 0.log
19/11/2007 15:20:12           4522 byte      0 days old -- ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
19/11/2007 15:20:54 (DIR)        0 byte      0 days old -- system32
19/11/2007 15:21:06          74351 byte      0 days old -- setupapi.log
19/11/2007 15:21:27        1694276 byte      0 days old -- WindowsUpdate.log
19/11/2007 15:21:31 (DIR)        0 byte      0 days old -- Temp
19/11/2007 15:25:47 (DIR)        0 byte      0 days old -- Fonts
19/11/2007 15:58:28 (DIR)        0 byte      0 days old -- Prefetch

----- recent files in C:\WINDOWS\Downloaded Program Files\

----- recent files in C:\WINDOWS\system\

----- recent files in C:\WINDOWS\system32\
25/10/2007 17:43:25        8516608 byte     25 days old -- shell32.dll
29/10/2007 16:07:16         369152 byte     21 days old -- xpsp3res.dll
02/11/2007 08:12:57       18238072 byte     17 days old -- MRT.exe
09/11/2007 20:03:28         249356 byte     10 days old -- TZLog.log
09/11/2007 20:07:59         992798 byte     10 days old -- PerfStringBackup.INI
09/11/2007 20:07:59         473962 byte     10 days old -- perfh00C.dat
09/11/2007 20:07:59          62790 byte     10 days old -- perfc009.dat
09/11/2007 20:07:59         406694 byte     10 days old -- perfh009.dat
09/11/2007 20:07:59          75572 byte     10 days old -- perfc00C.dat
11/11/2007 18:49:17             22 byte      8 days old -- nvs2.inf
15/11/2007 00:05:01 (DIR)        0 byte      4 days old -- dllcache
15/11/2007 00:52:55           1158 byte      4 days old -- wpa.dbl
15/11/2007 01:04:00 (DIR)        0 byte      4 days old -- Restore
16/11/2007 09:27:54           3459 byte      3 days old -- jupdate-1.5.0_03-b07.log
16/11/2007 09:38:24 (DIR)        0 byte      3 days old -- rMa18yy
16/11/2007 09:38:37          36352 byte      3 days old -- cbxvtqn.dll
16/11/2007 09:38:39 (DIR)        0 byte      3 days old -- b3
16/11/2007 09:38:39 (DIR)        0 byte      3 days old -- f1
16/11/2007 09:38:55          36352 byte      3 days old -- opnlmki.dll
16/11/2007 09:42:14         147456 byte      3 days old -- vbzip10.dll
16/11/2007 09:43:43         320096 byte      3 days old -- mllmj.dll
16/11/2007 15:30:43 (DIR)        0 byte      3 days old -- drivers
16/11/2007 23:08:01 (DIR)        0 byte      3 days old -- k4
17/11/2007 18:51:33         259840 byte      2 days old -- FNTCACHE.DAT
19/11/2007 02:26:28          85056 byte      0 days old -- mwqetifg.dll
19/11/2007 02:33:57          79424 byte      0 days old -- nfookwqo.dll
19/11/2007 02:36:01          36352 byte      0 days old -- ljjhfff.dll
19/11/2007 14:10:26           3480 byte      0 days old -- tmp.reg
19/11/2007 14:10:26              0 byte      0 days old -- tmp.txt
19/11/2007 15:18:04          20810 byte      0 days old -- ynvrvtal.dllbox
19/11/2007 15:20:04 (DIR)        0 byte      0 days old -- CatRoot2
19/11/2007 15:20:23          51048 byte      0 days old -- nvapps.xml
19/11/2007 15:20:29 (DIR)        0 byte      0 days old -- ias
19/11/2007 15:20:54         678358 byte      0 days old -- gfiteqwm.ini
19/11/2007 15:59:22         265349 byte      0 days old -- jmllm.ini2
19/11/2007 16:00:19         265349 byte      0 days old -- jmllm.ini

----- recent files in C:\WINDOWS\system32\drivers\
09/11/2007 11:20:25         359808 byte     10 days old -- TCPIP.SYS.ORIGINAL
09/11/2007 11:20:25         359808 byte     10 days old -- TCPIP.SYS
15/11/2007 01:44:58 (DIR)        0 byte      4 days old -- etc

----- recent files in C:\WINDOWS	emp\
16/11/2007 14:36:08          16384 byte      3 days old -- Perflib_Perfdata_7a8.dat
16/11/2007 20:01:58            496 byte      3 days old -- MSIb2f58.LOG
17/11/2007 10:33:11            496 byte      2 days old -- MSI9f6e2.LOG
17/11/2007 18:51:51          16384 byte      2 days old -- Perflib_Perfdata_73c.dat
17/11/2007 19:07:14          16384 byte      2 days old -- Perflib_Perfdata_7c4.dat
17/11/2007 20:03:36            496 byte      2 days old -- MSI409e6.LOG
19/11/2007 01:20:39            189 byte      0 days old -- LE15patchLOG.txt
19/11/2007 01:21:08            496 byte      0 days old -- MSI47825.LOG
19/11/2007 02:41:58          16384 byte      0 days old -- Perflib_Perfdata_c0.dat
19/11/2007 14:16:37          16384 byte      0 days old -- Perflib_Perfdata_7b4.dat
19/11/2007 14:55:34          16384 byte      0 days old -- Perflib_Perfdata_7fc.dat
19/11/2007 15:19:37          16384 byte      0 days old -- Perflib_Perfdata_7dc.dat
19/11/2007 15:57:46 (DIR)        0 byte      0 days old -- _avast4_

----- recent files in C:\Program Files\
27/10/2007 16:00:09 (DIR)        0 byte     23 days old -- DU Meter
02/11/2007 20:53:02 (DIR)        0 byte     17 days old -- Skype
05/11/2007 11:23:33 (DIR)        0 byte     14 days old -- DivX
06/11/2007 23:11:57 (DIR)        0 byte     13 days old -- MSN Messenger
07/11/2007 11:22:20 (DIR)        0 byte     12 days old -- BitTorrent
09/11/2007 20:08:29 (DIR)        0 byte     10 days old -- MSXML 6.0
09/11/2007 20:11:24 (DIR)        0 byte     10 days old -- Internet Explorer
12/11/2007 02:28:49 (DIR)        0 byte      7 days old -- Yahoo!
12/11/2007 02:32:57 (DIR)        0 byte      7 days old -- Services en ligne
15/11/2007 14:00:44 (DIR)        0 byte      4 days old -- Google
16/11/2007 09:24:28 (DIR)        0 byte      3 days old -- Fichiers communs
16/11/2007 09:27:54 (DIR)        0 byte      3 days old -- Java
16/11/2007 09:28:07 (DIR)        0 byte      3 days old -- LimeWire
16/11/2007 11:06:03 (DIR)        0 byte      3 days old -- WinRAR
16/11/2007 15:30:36 (DIR)        0 byte      3 days old -- Grisoft
19/11/2007 03:43:39 (DIR)        0 byte      0 days old -- Panda Security
19/11/2007 11:12:29 (DIR)        0 byte      0 days old -- Trend Micro

----- recent files in C:\Program Files\Fichiers communs\
26/10/2007 12:27:49 (DIR)        0 byte     24 days old -- Microsoft Shared
02/11/2007 20:52:57 (DIR)        0 byte     17 days old -- Skype
16/11/2007 09:24:28 (DIR)        0 byte      3 days old -- Java

----- recent files in C:\Documents and Settings\Bénard Guzman\Application Data\
05/11/2007 11:24:36 (DIR)        0 byte     14 days old -- Yahoo!
05/11/2007 21:01:53 (DIR)        0 byte     14 days old -- DivX
15/11/2007 00:07:26 (DIR)        0 byte      4 days old -- Skype
16/11/2007 09:54:31 (DIR)        0 byte      3 days old -- WinRAR
16/11/2007 15:30:58 (DIR)        0 byte      3 days old -- Grisoft
17/11/2007 19:19:04 (DIR)        0 byte      2 days old -- BitTorrent
18/11/2007 17:30:25            196 byte      1 days old -- G-Force Prefs (WindowsMediaPlayer).txt

----- recent files in C:\DOCUME~1\BNARDG~1\LOCALS~1\Temp\
16/11/2007 15:15:36 (DIR)        0 byte      3 days old -- Google Toolbar
18/11/2007 10:23:58 (DIR)        0 byte      1 days old -- OIS
19/11/2007 11:40:16 (DIR)        0 byte      0 days old -- _avast4_
19/11/2007 14:12:42           4286 byte      0 days old -- icoD1.tmp
19/11/2007 14:12:42           4286 byte      0 days old -- icoD0.tmp
19/11/2007 14:12:42           4286 byte      0 days old -- icoCF.tmp
19/11/2007 14:12:42           4286 byte      0 days old -- icoD2.tmp
19/11/2007 14:12:42           4286 byte      0 days old -- icoCE.tmp
19/11/2007 14:16:59          16384 byte      0 days old -- ~DFA10B.tmp
19/11/2007 14:17:51           4286 byte      0 days old -- ico1.tmp
19/11/2007 14:17:52           4286 byte      0 days old -- ico3.tmp
19/11/2007 14:17:52           4286 byte      0 days old -- ico2.tmp
19/11/2007 14:17:53           4286 byte      0 days old -- ico4.tmp
19/11/2007 14:17:53           4286 byte      0 days old -- ico5.tmp
19/11/2007 14:22:04        6275675 byte      0 days old -- BitTorrent-5.0.9.exe
19/11/2007 14:22:17          49152 byte      0 days old -- ~DF767.tmp
19/11/2007 14:23:23           4286 byte      0 days old -- ico8.tmp
19/11/2007 14:23:23           4286 byte      0 days old -- ico9.tmp
19/11/2007 14:23:23           4286 byte      0 days old -- icoA.tmp
19/11/2007 14:23:23           4286 byte      0 days old -- ico7.tmp
19/11/2007 14:23:23           4286 byte      0 days old -- ico6.tmp
19/11/2007 14:29:10           4286 byte      0 days old -- icoC.tmp
19/11/2007 14:29:10           4286 byte      0 days old -- icoB.tmp
19/11/2007 14:29:11           4286 byte      0 days old -- icoE.tmp
19/11/2007 14:29:11           4286 byte      0 days old -- icoF.tmp
19/11/2007 14:29:11           4286 byte      0 days old -- icoD.tmp
19/11/2007 14:34:38           4286 byte      0 days old -- ico14.tmp
19/11/2007 14:34:38           4286 byte      0 days old -- ico11.tmp
19/11/2007 14:34:38           4286 byte      0 days old -- ico13.tmp
19/11/2007 14:34:38           4286 byte      0 days old -- ico10.tmp
19/11/2007 14:34:38           4286 byte      0 days old -- ico12.tmp
19/11/2007 14:38:44          16384 byte      0 days old -- Perflib_Perfdata_6d8.dat
19/11/2007 14:40:03           4286 byte      0 days old -- ico16.tmp
19/11/2007 14:40:03           4286 byte      0 days old -- ico15.tmp
19/11/2007 14:40:04           4286 byte      0 days old -- ico19.tmp
19/11/2007 14:40:04           4286 byte      0 days old -- ico17.tmp
19/11/2007 14:40:04           4286 byte      0 days old -- ico18.tmp
19/11/2007 14:45:39           4286 byte      0 days old -- ico1A.tmp
19/11/2007 14:45:39           4286 byte      0 days old -- ico1B.tmp
19/11/2007 14:45:40           4286 byte      0 days old -- ico1D.tmp
19/11/2007 14:45:40           4286 byte      0 days old -- ico1E.tmp
19/11/2007 14:45:40           4286 byte      0 days old -- ico1C.tmp
19/11/2007 14:56:33           4286 byte      0 days old -- ico1F.tmp
19/11/2007 14:56:36           4286 byte      0 days old -- ico20.tmp
19/11/2007 14:56:37           4286 byte      0 days old -- ico21.tmp
19/11/2007 14:56:41           4286 byte      0 days old -- ico22.tmp
19/11/2007 14:56:43           4286 byte      0 days old -- ico23.tmp
19/11/2007 14:56:46          16384 byte      0 days old -- ~DF4AC6.tmp
19/11/2007 14:57:47 (DIR)        0 byte      0 days old -- __SkypeIEToolbar_Cache
19/11/2007 14:57:50          16384 byte      0 days old -- ~DF87C9.tmp
19/11/2007 14:59:47          49152 byte      0 days old -- ~DFD77A.tmp
19/11/2007 15:02:03           4286 byte      0 days old -- ico24.tmp
19/11/2007 15:02:04           4286 byte      0 days old -- ico26.tmp
19/11/2007 15:02:04           4286 byte      0 days old -- ico25.tmp
19/11/2007 15:02:04           4286 byte      0 days old -- ico27.tmp
19/11/2007 15:02:04           4286 byte      0 days old -- ico28.tmp
19/11/2007 15:05:01          32768 byte      0 days old -- ~DF9494.tmp
19/11/2007 15:07:27           4286 byte      0 days old -- ico2A.tmp
19/11/2007 15:07:27           4286 byte      0 days old -- ico29.tmp
19/11/2007 15:07:27           4286 byte      0 days old -- ico2B.tmp
19/11/2007 15:07:27           4286 byte      0 days old -- ico2D.tmp
19/11/2007 15:07:27           4286 byte      0 days old -- ico2C.tmp
19/11/2007 15:15:43           4286 byte      0 days old -- ico30.tmp
19/11/2007 15:15:43           4286 byte      0 days old -- ico31.tmp
19/11/2007 15:15:43           4286 byte      0 days old -- ico2E.tmp
19/11/2007 15:15:43           4286 byte      0 days old -- ico2F.tmp
19/11/2007 15:15:43           4286 byte      0 days old -- ico32.tmp
19/11/2007 15:20:20 (DIR)        0 byte      0 days old -- WPDNSE
19/11/2007 15:20:31            618 byte      0 days old -- jusched.log
19/11/2007 15:20:43          16384 byte      0 days old -- ~DF4469.tmp
19/11/2007 15:21:25          16384 byte      0 days old -- ~DFAD6B.tmp
19/11/2007 15:26:58 (DIR)        0 byte      0 days old -- hsperfdata_Bénard Guzman
19/11/2007 15:58:19          16384 byte      0 days old -- ~DFD2F8.tmp
19/11/2007 15:58:19 (DIR)        0 byte      0 days old -- nsp2.tmp

==========================================
Scan completed in 0,1 minutes
End of report


~~~~~~~~~~~~~~~~~~~~~-----CREDITS-----~~~~~~~~~~~~~~~~~~~~~
SystemScan uses some freeware tools that remain property of their authors:

* SteelWerX Registry Console Tool, Who Am I (Bobby Flekman: www.xs4all.nl/~fstaal01) --> "Registry scan", "PC accounts "
* dumphive (Markus Stephany)--> "Registry scan"
* Listdlls (M.Russinovich, B.Cogswell: www.sysinternals.com) --> "Loaded modules"
* Catchme (gmer: www.gmer.net) --> "Hidden objects"
* LADS (Frank Heyne Software: http://www.heysoft.de) --> "Alternate Data Streams"

Thanks to them all for their hard work

Amad · Answer

19/11/2007 ---- 16:09:23,35  

----------------------------------
§§§§§§ [DomainService ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Amad · Answer

19/11/2007 ---- 16:14:15,45  

----------------------------------
§§§§§§ [Host Process] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Amad · Answer

19/11/2007 ---- 16:16:19,48  

----------------------------------
§§§§§§ [1cfb053e] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"1cfb053e"="rundll32.exe \"C:\WINDOWS\system32\mwqetifg.dll\",b"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Amad · Answer

19/11/2007 ---- 16:20:26,76  

----------------------------------
§§§§§§ [__c0076BA6.dat] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\system32\__c0076BA6.dat"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Amad · Answer

c pas normal kil trouve rien?

Amad · Answer

c bon je  ne suis plus infecté?
visiblement sa à l'air d'aller mieux g plus la security toolbar, g plu de fenetres intempestives et d'alertes donc je crois ke on à résolu le pb ou non?

Amad · Answer

bon ba je te remercie infiniment pour ton aide ki ma été tres utile, il faut des gens comme toi  c bien t'est un soldat
il fo mener une guerre contre tous ses personnes malsaines
chao A+

chrifleur · Answer

ne tre sauve pas comme cela tu es encore infecté
j'examine ligne à ligne tous ts rapports et il me faut un peu de temps....
je dois m'absenter de retour ce soir

chrifleur · Answer

re 
pas mal de travail à faire...lis bien et prends ton temps

Démarrer "Exécuter…" puis Tape "services.msc" et valide par  OK
la fenêtre des Services s'ouvre => vérifier dans la partie inférieure que l'onglet "Etendu" est bien sélectionné, sinon faites le.

- Dans la colonne "Nom", DOUBLE CLIQUE sur le service noté en GRAS ci dessous, pour faire apparaître "Propriétés".
Service: DomainService 
- Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement souligné.
C:\WINDOWS\system32\yfybpraf.exe
- Puis clique sur Arrêter
- Dans le menu déroulant "Type de démarrage", sélectionne "Désactivé".
- valide la modification par OK
- Ferme la fenêtre des Services.

Utilises tu des jeux de boonty games depuis longtemps ?
Voici une petite information sur Boonty games
Leur politique :
"Il se peut que nous partageons aussi des informations payantes avec des tiers
qui fournissent des services payants et partage des données regroupées montrant le type
et le nombre de jeux vidéos que vous téléchargez, votre age, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux vidéos, activités et entrainement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

si tu es d'accord avec eux, pas de problèmes sinon, il faut desintaller le service en allant dans
(démarrer / exécuter / tape services.msc ) recherche le service, va dans les propriétés et désactive le.
Lance une recherche Boonty et supprime tout.
Il se peut que les jeux ne marchent plus

lance hijack this pour un scan et coche les lignes suivantes si encore présentes
O3 - Toolbar: (no name) - {70CC76D5-A4EE-4F25-9931-B109A63E298E} - (no file)
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [1cfb053e] rundll32.exe "C:\WINDOWS\system32\mwqetifg.dll",b
O4 - HKCU\..\Run: [wakueoybsc] c:\documents and settings\bénard guzman\local settings\application data\wakueoybsc.exe wakueoybsc
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0076BA6.dat	
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\yfybpraf.exe (file missing)
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing) 
ferme toutes tes applications y compris internet et clique sur fix checked

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\yfybpraf.exe
C:\WINDOWS\system32\__c0076BA6.dat
c:\documents and settings\bénard guzman\local settings\application data\wakueoybsc.exe
C:\2899.bat
C:\7431.bat
C:\6320.bat
C:\5976.bat
C:\8777.bat
C:\b.exe
C:\d.exe
C:\z.dat
C:\x.dat
C:
.bat
C:\WINDOWS\cookies.ini
C:\WINDOWS\systemMa18yy
C:\WINDOWS\system\cbxvtqn.dll
C:\WINDOWS\system32\opnlmki.dll
C:\WINDOWS\system32\mllmj.dll
C:\WINDOWS\system32\mwqetifg.dll
C:\WINDOWS\system32
fookwqo.dll
C:\WINDOWS\system32\ljjhfff.dll
C:\WINDOWS\system32	mp.reg
C:\WINDOWS\system32\ynvrvtal.dllbox
C:\WINDOWS\system32\gfiteqwm.ini
C:\WINDOWS\system32\jmllm.ini2
C:\WINDOWS\system32\jmllm.ini
C:\Program Files\Fichiers communs\BOONTY Shared
clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.
Cliquer sur Outils > Options des dossiers > Affichage.
Sélectionner :
cocher : Afficher les fichiers et dossiers cachés.
décocher : Masquer les extensions des fichiers dont le type est connu. 
décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
Cliquer sur Appliquer et Ok
Et teste ceci:
C:\WINDOWS\orun32.ini
Cliquer sur ce lien 
https://www.virustotal.com/gui/
Cliquer sur Parcourir et indiquer le chemin du ou des fichier(s) que j’ai désigné(s).
Cliquer sur Send File
Au message Sending File, ne pas fermer cette fenêtre.
Si vous avez un message Current Statue: queued : Patience! 
Au bout de quelques minutes, vous aurez dans l'encadré: Current status: finished   
Faire un copier/coller du résultat et postez-le dans votre prochain message.

recommence avec
C:\WINDOWS\system32\b3
puis avec
C:\WINDOWS\system32\f1
et enfin avec
C:\WINDOWS\system32\k4

Tu recaches tes fichiers dossiers 
décocher : Afficher les fichiers et dossiers cachés.
recocher : Masquer les extensions des fichiers dont le type est connu. 
cocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
Cliquer sur Appliquer et Ok

poste les rapports de OTMoveIT
hijack this
virus total

à demain
bon courage

Amad · Answer

c bon je suis de retour c sympas de ta part de reprendre mon pb
je vai essayer de faire les manips

Amad · Answer

Bonjour, 
g bien fait ce ke tu ma dis g coché toutes les cases sauf ke sur mon scan hijack this les lignes

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\yfybpraf.exe (file missing) 
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing) 

ne sont pas apparues g donc réaliser la manip sans ses 2 lignes!

Amad · Answer

C:\WINDOWS\Fonts\svchost.exe moved successfully.
File/Folder C:\WINDOWS\system32\yfybpraf.exe not found.
File/Folder C:\WINDOWS\system32\__c0076BA6.dat not found.
c:\documents and settings\bénard guzman\local settings\application data\wakueoybsc.exe moved successfully.
C:\2899.bat moved successfully.
C:\7431.bat moved successfully.
C:\6320.bat moved successfully.
C:\5976.bat moved successfully.
C:\8777.bat moved successfully.
C:\b.exe moved successfully.
C:\d.exe moved successfully.
C:\z.dat moved successfully.
C:\x.dat moved successfully.
C:
.bat moved successfully.
C:\WINDOWS\cookies.ini moved successfully.
File/Folder C:\WINDOWS\systemMa18yy not found.
File/Folder C:\WINDOWS\system\cbxvtqn.dll not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\opnlmki.dll
C:\WINDOWS\system32\opnlmki.dll NOT unregistered.
C:\WINDOWS\system32\opnlmki.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\mllmj.dll
C:\WINDOWS\system32\mllmj.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\mllmj.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\mwqetifg.dll
C:\WINDOWS\system32\mwqetifg.dll NOT unregistered.
C:\WINDOWS\system32\mwqetifg.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32
fookwqo.dll
C:\WINDOWS\system32
fookwqo.dll NOT unregistered.
C:\WINDOWS\system32
fookwqo.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ljjhfff.dll
C:\WINDOWS\system32\ljjhfff.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\ljjhfff.dll scheduled to be moved on reboot.
C:\WINDOWS\system32	mp.reg moved successfully.
C:\WINDOWS\system32\ynvrvtal.dllbox moved successfully.
C:\WINDOWS\system32\gfiteqwm.ini moved successfully.
C:\WINDOWS\system32\jmllm.ini2 moved successfully.
C:\WINDOWS\system32\jmllm.ini moved successfully.
File/Folder C:\Program Files\Fichiers communs\BOONTY Shared not found.
 
Created on 11/19/2007 22:53:52

Amad · Answer

Fichier orun32.ini reçu le 2007.11.19 23:12:25 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.11.19.0 2007.11.19 - 
AntiVir 7.6.0.34 2007.11.19 - 
Authentium 4.93.8 2007.11.19 - 
Avast 4.7.1074.0 2007.11.19 - 
AVG 7.5.0.503 2007.11.19 - 
BitDefender 7.2 2007.11.19 - 
CAT-QuickHeal 9.00 2007.11.19 - 
ClamAV 0.91.2 2007.11.19 - 
DrWeb 4.44.0.09170 2007.11.19 - 
eSafe 7.0.15.0 2007.11.14 - 
eTrust-Vet 31.3.5308 2007.11.19 - 
Ewido 4.0 2007.11.19 - 
FileAdvisor 1 2007.11.19 - 
Fortinet 3.11.0.0 2007.11.19 - 
F-Prot 4.4.2.54 2007.11.19 - 
F-Secure 6.70.13030.0 2007.11.19 - 
Ikarus T3.1.1.12 2007.11.19 - 
Kaspersky 7.0.0.125 2007.11.19 - 
McAfee 5166 2007.11.19 - 
Microsoft 1.3007 2007.11.19 - 
NOD32v2 2670 2007.11.19 - 
Norman 5.80.02 2007.11.19 - 
Panda 9.0.0.4 2007.11.18 - 
Prevx1 V2 2007.11.19 - 
Rising 20.19.00.00 2007.11.19 - 
Sophos 4.23.0 2007.11.19 - 
Sunbelt 2.2.907.0 2007.11.17 - 
Symantec 10 2007.11.19 - 
TheHacker 6.2.9.134 2007.11.19 - 
VBA32 3.12.2.5 2007.11.19 - 
VirusBuster 4.3.26:9 2007.11.19 - 
Webwasher-Gateway 6.0.1 2007.11.19 BlockReason.0 
 
Information additionnelle 
File size: 821 bytes 
MD5: a56eb1d0a11c38512b90c0909fc4bdba 
SHA1: 8218caee27ba452791505c12b05edb84b578db31

Amad · Answer

dans le dossier b3 il n'existe aucun fichier à scaner

Amad · Answer

Fichier bemwdll3.exe reçu le 2007.11.19 23:27:03 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.11.19.0 2007.11.19 - 
AntiVir 7.6.0.34 2007.11.19 TR/Crypt.ULPM.Gen 
Authentium 4.93.8 2007.11.19 - 
Avast 4.7.1074.0 2007.11.19 - 
AVG 7.5.0.503 2007.11.19 Downloader.Generic6.TGW 
BitDefender 7.2 2007.11.19 Trojan.Downloader.JJEJ 
CAT-QuickHeal 9.00 2007.11.19 TrojanDownloader.Small.gll 
ClamAV 0.91.2 2007.11.19 - 
DrWeb 4.44.0.09170 2007.11.19 - 
eSafe 7.0.15.0 2007.11.14 - 
eTrust-Vet 31.3.5308 2007.11.19 - 
Ewido 4.0 2007.11.19 - 
FileAdvisor 1 2007.11.19 - 
Fortinet 3.11.0.0 2007.11.19 - 
F-Prot 4.4.2.54 2007.11.19 - 
F-Secure 6.70.13030.0 2007.11.19 Trojan-Downloader.Win32.Small.gll 
Ikarus T3.1.1.12 2007.11.19 Trojan-Downloader.Win32.Small.gll 
Kaspersky 7.0.0.125 2007.11.19 Trojan-Downloader.Win32.Small.gll 
McAfee 5166 2007.11.19 - 
Microsoft 1.3007 2007.11.19 - 
NOD32v2 2670 2007.11.19 - 
Norman 5.80.02 2007.11.19 W32/DLoader.EFHX 
Panda 9.0.0.4 2007.11.18 - 
Prevx1 V2 2007.11.19 Trojan.Downloader.Gen 
Rising 20.19.00.00 2007.11.19 - 
Sophos 4.23.0 2007.11.19 Mal/DownLdr-O 
Sunbelt 2.2.907.0 2007.11.15 - 
Symantec 10 2007.11.19 Downloader 
TheHacker 6.2.9.134 2007.11.19 Trojan/Downloader.Small.gll 
VBA32 3.12.2.5 2007.11.19 Trojan-Downloader.Win32.Small.gll 
VirusBuster 4.3.26:9 2007.11.19 - 
Webwasher-Gateway 6.0.1 2007.11.19 BlockReason.0 
 
Information additionnelle 
File size: 9814 bytes 
MD5: 9d6993634346435cf59e07ad9ece9660 
SHA1: 6a032858a5d26305de5b3fc41f55dda7c0ed318a 
packers: UPX 
packers: UPX 
packers: PE_Patch.Upolyx, PE_Patch.UPX, UPX 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=04CF1BEB56AE96802612000389079000FD83D357

Amad · Answer

aucun fichier dans le dossier k4

Amad · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:29, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Amad · Answer

voila les 3 rapports ton étés postés !!
j'espére avoir tout bien fait
et à demain

chrifleur · Answer

bemwdll3.exe
tu le supprimes

des soucis encore?

faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/ 

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur j’accepte 
La fenêtre change encore, clique sur scanner 
Les signatures se chargent, etc. 

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

Security toolbar, fenetres intempestives...

34 réponses

Votre réponse

Discussions similaires

Newsletters