Redirection recherche google

seb -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

malgré la lecture de nombreux sujets traitant du problème, je ne parviens pas à résoudre le mien: les liens du résultats d'une recherche google sont redirigés vers un autre site.
Apparemment, le problème viendrait du fichier acluij.dll situé dans C:\WINDOWS\system32.
Voici le rapport HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:15:15, on 23/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
E:\Program Files\pdf24\PDF24Updater.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
P:\Programmes\Cleaners-anti spy\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PDFPrint] "E:\Program Files\pdf24\PDF24Updater.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DefWatch - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6987 bytes

Merci pour votre aide.
Configuration: Windows XP
Firefox 2.0.0.9

14 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    scan avec vundofix (colle le rapport)

    Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

    Double cliquez VundoFix.exe pour l'exécuter.
    Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
    Une fois le scan fini, cliquez sur le bouton Remove Vundo.
    Vous recevrez un avertissement vous demandant si vous voulez effacer ces
    fichiers répondez en cliquant sur YES
    Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
    enlève Vundo.

    Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
    OK.

    __________________
    puis :

    virtumondebegone (colle le rapport)

    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
    ___________________

    puis Symantec Vundo Remove Tool

    https://www.broadcom.com/support/security-center

    ___________________
    et

    https://www.broadcom.com/support/security-center

    ___________________

    smit fraud fix (colle le rapport)

    1/ telecharger :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général)

    et recolle un rapport hijackthis et dis tes problemes
    0
  2. seb
     
    Slt et merci pour l'aide.

    Rapport VundoFix: no infected files found
    ---------------
    Rapport virtumondebegone:

    [11/23/2007, 22:33:53] - VirtumundoBeGone v1.5 ( "P:\Programmes\Cleaners-anti spy\VirtumundoBeGone.exe" )
    [11/23/2007, 22:33:59] - Detected System Information:
    [11/23/2007, 22:33:59] - Windows Version: 5.1.2600, Service Pack 2
    [11/23/2007, 22:33:59] - Current Username: Administrateur (Admin)
    [11/23/2007, 22:33:59] - Windows is in NORMAL mode.
    [11/23/2007, 22:33:59] - Searching for Browser Helper Objects:
    [11/23/2007, 22:33:59] - BHO 1: {53707962-6F74-2D53-2644-206D7942484F} ()
    [11/23/2007, 22:33:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [11/23/2007, 22:33:59] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [11/23/2007, 22:33:59] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [11/23/2007, 22:33:59] - BHO 2: {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} ()
    [11/23/2007, 22:33:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [11/23/2007, 22:33:59] - Checking for HKLM\...\Winlogon\Notify\dgnetg
    [11/23/2007, 22:33:59] - Key not found: HKLM\...\Winlogon\Notify\dgnetg, continuing.
    [11/23/2007, 22:33:59] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [11/23/2007, 22:33:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [11/23/2007, 22:33:59] - No filename found. Continuing.
    [11/23/2007, 22:33:59] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
    [11/23/2007, 22:33:59] - BHO 5: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
    [11/23/2007, 22:33:59] - BHO 6: {F154F641-62FE-4741-AAB1-013D5389ED3C} ()
    [11/23/2007, 22:33:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [11/23/2007, 22:33:59] - Checking for HKLM\...\Winlogon\Notify\acluij
    [11/23/2007, 22:33:59] - Key not found: HKLM\...\Winlogon\Notify\acluij, continuing.
    [11/23/2007, 22:33:59] - Finished Searching Browser Helper Objects
    [11/23/2007, 22:33:59] - Finishing up...
    [11/23/2007, 22:33:59] - Nothing found! Exiting...
    -------------------------
    Exécution de Symantec Vundo Remove Tool : Trojan.Vundo.B not found on your computer
    ------------------------
    Exécution de FixVundo.exe : Trojan Vundo has been successfully removed from your computer
    ------------------------
    Raport smit fraud fix:
    SmitFraudFix v2.253

    Rapport fait à 22:55:55,10, ven. 23/11/2007
    Executé à partir de P:\Programmes\Cleaners-anti spy\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\rmctrl.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    E:\Program Files\QuickTime\qttask.exe
    E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    E:\Program Files\pdf24\PDF24Updater.exe
    C:\WINDOWS\system32\ctfmon.exe
    E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    E:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BE461CA-E3A6-4A1B-99F7-5A57ADDC7FB4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BE461CA-E3A6-4A1B-99F7-5A57ADDC7FB4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{8BE461CA-E3A6-4A1B-99F7-5A57ADDC7FB4}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    -------------------------
    Nouveau rapport hijackthis en mode sans echec:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:01:49, on 23/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    P:\Programmes\Cleaners-anti spy\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [PDFPrint] "E:\Program Files\pdf24\PDF24Updater.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
    O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DefWatch - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    installe la nouvelle version de spybot si tu ne l'a pas pour remplacer la tienne (sortie en septembre) et scan avec

    ______________________

    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

    O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll

    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

    O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll

    ______________________

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    C:\WINDOWS\SYSTEM32\acluij.dll
    C:\WINDOWS\system32\dgnetg.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    _____________________

    colle le rapport d'un scan en ligne
    avec un des suivants: (desactive ton antivirus le temps du scan si besoin)

    Panda en ligne :
    http://pandasoftware.fr

    _______________________

    recolle un rapport hijackthis et dis tes soucis
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. seb
     
    Salut,

    voici les résultats après de longs scan ;-)

    Spybot scan: RAS sauf quelques cookies

    ----------------------------
    OTMoveIt:
    C:\WINDOWS\SYSTEM32\acluij.dll unregistered successfully.
    File move failed. C:\WINDOWS\SYSTEM32\acluij.dll scheduled to be moved on reboot.
    C:\WINDOWS\system32\dgnetg.dll unregistered successfully.
    File move failed. C:\WINDOWS\system32\dgnetg.dll scheduled to be moved on reboot.

    Created on 11/24/2007 22:33:22
    ----------------------------

    Panda:
    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2007-11-24 23:21:35
    PROTECTIONS: 2
    MALWARE: 21
    SUSPECTS: 0
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    Symantec Antivirus Corporate Edition 8.0 No Yes
    Norton Antivirus Edition 7.5 No No
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00049305 Joke/Jepruss Jokes No 0 Yes No Dossiers locaux\Humour\Fwd: ...\KAZAA SPEED.exe
    00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@trafficmp[1].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.atdmt.com/]
    00139535 Application/Processor HackTools No 0 Yes No P:\Programmes\Cleaners-anti spy\SmitfraudFix\Process.exe
    00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\Administrateur\Local Settings\Temp\nsqB9.tmp
    00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\Administrateur\Local Settings\Temp\nsw49.tmp
    00139535 Application/Processor HackTools No 0 No No P:\Programmes\Cleaners-anti spy\VirtumundoBeGone.exe[²ƒÇ]
    00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@tribalfusion[2].txt
    00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
    00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.xiti.com/]
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.weborama.fr/]
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt
    00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.adtech.de/]
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[fl01.ct2.comclick.com/]
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[fl01.ct2.comclick.com/]
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[fl01.ct2.comclick.com/]
    00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.advertising.com/]
    00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.advertising.com/]
    00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.advertising.com/]
    00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.pointroll[1].txt
    00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.overture.com/]
    00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@questionmarket[2].txt
    00172449 Cookie/MetriWeb TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.metriweb.be/]
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.smartadserver.com/]
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.smartadserver.com/]
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.smartadserver.com/]
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xmmagb7k.default\cookies.txt[.smartadserver.com/]
    00366244 Application/NirCmd.A HackTools No 0 Yes No C:\fixwareout\FindT\nircmd.exe
    00517584 Application/SuperFast HackTools No 0 Yes No P:\Programmes\Cleaners-anti spy\SmitfraudFix\restart.exe
    00519333 Application/Processor HackTools No 0 Yes No P:\Programmes\Cleaners-anti spy\VirtumundoBeGone.exe
    01073898 Trj/PiratHack Virus/Trojan No 1 Yes No C:\WINDOWS\wpi\Keygen\NAV.exe
    02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes No P:\Programmes\Cleaners-anti spy\SmitfraudFix\Reboot.exe
    02691249 Generic Trojan Virus/Trojan No 0 Yes No C:\WINDOWS\system32\79c0rk1mh.exe
    ;===================================================================================================================================================================================
    SUSPECTS
    Location
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================

    ----------------------------

    New rapport Hijackthis:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:26:26, on 24/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\rmctrl.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    E:\Program Files\pdf24\PDF24Updater.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\taskmgr.exe
    E:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
    P:\Programmes\Cleaners-anti spy\HijackThis.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
    O4 - HKLM\..\Run: [PDFPrint] "E:\Program Files\pdf24\PDF24Updater.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
    O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DefWatch - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll

    O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe

    O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll
    _________________________

    télécharges et installes :

    kill box
    https://www.bleepingcomputer.com/download/linux/

    aide kill box
    http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

    - Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

    - Double-clic sur fix.reg

    Ouvres killbox
    - Sélectionne "delete on reboot"
    - Clique sur le dossier jaune à droite et sélectionne les fichiers :

    C:\Documents and Settings\Administrateur\Local Settings\Temp\nsqB9.tmp
    C:\Documents and Settings\Administrateur\Local Settings\Temp\nsw49.tmp
    C:\WINDOWS\SYSTEM32\acluij.dll
    C:\WINDOWS\system32\dgnetg.dll
    C:\WINDOWS\wpi\Keygen\NAV.exe
    C:\WINDOWS\system32\79c0rk1mh.exe

    - Clique sur la croix rouge et et blanche
    - Répond yes et laisse redémarrer ton pc.
    N'hésite pas à consulter l'Aide killbox

    Vérifie que les fichiers sont plus présent.

    ______________________________

    recolle un rapport en ligne et hijackthis
    a plus
    0
  7. seb
     
    Slt,

    apparemment, kill box ne fonctionne pas avec le fichier acluij.dll.
    Je reçois le message d'erreur:
    PendingFileRename Operations Registry Data has been removed by external process!
    Je ferme la fenêtre et il ne reboote pas...

    Voici le log hijackthis mas il est identique...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:41:13, on 25/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\rmctrl.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    E:\Program Files\pdf24\PDF24Updater.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    P:\Programmes\Cleaners-anti spy\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
    O4 - HKLM\..\Run: [PDFPrint] "E:\Program Files\pdf24\PDF24Updater.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
    O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DefWatch - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Relance Vundofix
    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\WINDOWS\system32\dgnetg.dll
    C:\WINDOWS\SYSTEM32\acluij.dll

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    * Poste le rapport Vundofix
    _________________

    combofix (colle le rapport)
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    _________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    secuser en ligne :
    http://www.secuser.com/outils/antivirus.htm

    ________________

    recolle hijackthis et dis tes problemes
    0
  9. seb
     
    Salut,

    Vundofix n'a aucun effet sur les fichiers...
    --------------------------------
    Rapport combofix:
    ComboFix 07-11-19.4 - Administrateur 2007-11-26 21:07:37.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.878 [GMT 1:00]
    Running from: P:\Programmes\Cleaners-anti spy\ComboFix.exe
    * Created a new restore point
    .

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-26 to 2007-11-26 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-26 21:10 <REP> d-------- C:\Program Files\microsoft frontpage
    2007-11-25 22:07 741,632 --a------ C:\WINDOWS\system32\mhwwqyxp.dat
    2007-11-25 22:07 120,064 --a------ C:\WINDOWS\system32\ghhyjxxy.dat
    2007-11-25 22:07 41,728 --a------ C:\WINDOWS\system32\lrkrbpol.dat
    2007-11-25 22:07 35,072 --a------ C:\WINDOWS\system32\sgejkjzw.dat
    2007-11-24 22:40 <REP> d-------- C:\Program Files\Panda Security
    2007-11-23 22:52 <REP> d-------- C:\WINDOWS\Sun
    2007-11-23 22:51 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
    2007-11-23 22:50 <REP> d-------- C:\Program Files\Java
    2007-11-23 22:49 <REP> d-------- C:\Program Files\Fichiers communs\Java
    2007-11-23 22:29 <REP> d-------- C:\VundoFix Backups
    2007-11-22 22:17 <REP> d-------- C:\WINDOWS\Google Toolbar
    2007-11-22 19:12 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
    2007-11-22 19:12 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
    2007-11-21 21:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
    2007-11-21 19:00 84,480 --a------ C:\WINDOWS\system32\acluij.dll
    2007-11-21 19:00 18,688 C:\WINDOWS\system32\drivers\majmwmwd.dat
    2007-11-21 18:59 98,816 --a------ C:\WINDOWS\system32\dgnetg.dll
    2007-11-21 18:59 83,968 --a------ C:\WINDOWS\system32\dgnetg.1

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-24 21:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-11-23 21:56 3,104 ----a-w C:\WINDOWS\system32\tmp.reg
    2007-11-21 21:39 --------- d-----w C:\Program Files\a-squared Free
    2007-11-21 20:59 --------- d-----w C:\Program Files\Google
    2007-11-18 19:24 --------- d-----w C:\Program Files\PokerStars.NET
    2007-10-11 18:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5E110EEA-C20D-49E9-84A0-5414BFC53B4D}]
    2004-10-31 13:00 98816 --a------ C:\WINDOWS\system32\dgnetg.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F154F641-62FE-4741-AAB1-013D5389ED3C}]
    2007-11-21 19:07 84480 --a------ c:\windows\system32\acluij.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-10-31 13:00]
    "msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
    "H/PC Connection Agent"="E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-19 15:18]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.exe" [2004-10-31 13:00 C:\WINDOWS\system32\rundll32.exe]
    "nwiz"="nwiz.exe" [2004-10-31 13:00 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="RUNDLL32.exe" [2004-10-31 13:00 C:\WINDOWS\system32\rundll32.exe]
    "RemoteControl"="C:\WINDOWS\system32\rmctrl.exe" [2000-10-16 00:00]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
    "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 14:43]
    "vptray"="E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2003-09-02 11:50]
    "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-12-04 12:34]
    "ZoneAlarm Client"="E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02]
    "Device Detector"="DevDetect.exe" []
    "PDFPrint"="E:\Program Files\pdf24\PDF24Updater.exe" [2006-12-02 01:29]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-10-31 13:00]
    "Picasa Media Detector"="E:\Program Files\Picasa2\PicasaMediaDetector.exe" []
    C:\WINDOWS\system32\NavLogon.dll 2003-09-02 11:38 45056 C:\WINDOWS\system32\NavLogon.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\zittfekj]
    acluij.dll 2007-11-21 19:07 84480 C:\WINDOWS\system32\acluij.dll

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    quscpaxv

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
    \Shell\AutoRun\command - G:\CNDT_TMHomeHESetup.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{16bd53f2-d191-11db-ae7f-00e04c37b500}]
    \Shell\AutoRun\command - I:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{75dc3444-ab99-11da-ac39-806d6172696f}]
    \rem shell\readme\command - notepad \readme.txt

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b73726b6-aed1-11da-ac3b-0008a198d222}]
    \Shell\AutoRun\command - P:\setupSNK.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{43564368-4375-8601-4371-458454791235]
    C:\WINDOWS\system32\tcpconn.exe /r
    .
    **************************************************************************

    catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-26 21:10:54
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    **************************************************************************
    .
    Completion time: 2007-11-26 21:12:17 - machine was rebooted
    .
    --- E O F ---

    --------------------------------
    Rapport Bitdefender:
    BitDefender Online Scanner

    Rapport d'analyse généré à: Mon, Nov 26, 2007 - 22:40:44

    Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;P:\;

    Statistiques
    Temps 01:18:39
    Fichiers 244689
    Directoires 5533
    Secteurs de boot 8
    Archives 5917
    Paquets programmes 10952

    Résultats
    Virus identifiés 10
    Fichiers infectés 18
    Fichiers suspects 0
    Avertissements 0
    Désinfectés 0
    Fichiers effacés 30

    Info sur les moteurs
    Définition virus 878975
    Version des moteurs AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
    Analyse des plugins 14
    Archive des plugins 38
    Unpack des plugins 7
    E-mail plugins 6
    Système plugins 1

    Paramètres d'analyse
    Première action Désinfecté
    Seconde Action Supprimé
    Heuristique Oui
    Acceptez les avertissements Oui
    Extensions analysées *;
    Excludez les extensions
    Analyse d'emails Oui
    Analyse des Archives Oui
    Analyser paquets programmes Oui
    Analyse des fichiers Oui
    Analyse de boot Oui

    Fichier analysé Statut

    C:\!KillBox\79c0rk1mh.exe Infecté par: Trojan.Conhook.Y
    C:\!KillBox\79c0rk1mh.exe Echec de la désinfection
    C:\!KillBox\79c0rk1mh.exe Supprimé
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{16892DC7-15DF-4F69-A8E6-5D082281DA37}\Microsoft\Outlook Express\Humour.dbx=>(message 29)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part)=>KAZAA SPEED.exe Infecté par: Joke.Jepruss
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{16892DC7-15DF-4F69-A8E6-5D082281DA37}\Microsoft\Outlook Express\Humour.dbx=>(message 29)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part)=>KAZAA SPEED.exe Echec de la désinfection
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{16892DC7-15DF-4F69-A8E6-5D082281DA37}\Microsoft\Outlook Express\Humour.dbx=>(message 29)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part)=>KAZAA SPEED.exe Supprimé
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{16892DC7-15DF-4F69-A8E6-5D082281DA37}\Microsoft\Outlook Express\Humour.dbx=>(message 29)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part) Mis à jour
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{16892DC7-15DF-4F69-A8E6-5D082281DA37}\Microsoft\Outlook Express\Humour.dbx=>(message 29) Mis à jour
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{16892DC7-15DF-4F69-A8E6-5D082281DA37}\Microsoft\Outlook Express\Humour.dbx Echec de la mise à jour
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03FC0000.VBN=>(Quarantine-PE) Infecté par: Trojan.Regpat.A
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03FC0000.VBN=>(Quarantine-PE)Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03FC0000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\05D40000.VBN=>(Quarantine-PE) Infecté par: Trojan.Regpat.A
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\05D40000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\05D40000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\088C0000.VBN=>(Quarantine-PE) Infecté par: BehavesLike:Win32.ExplorerHijack
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\088C0000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\088C0000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\092C0000.VBN=>(Quarantine-PE) Infecté par: Trojan.Generic.72784
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\092C0000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\092C0000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09300000.VBN=>(Quarantine-PE) Infecté par: Trojan.Generic.72784
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09300000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09300000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09480000.VBN=>(Quarantine-PE) Infecté par: Trojan.Generic.72784
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09480000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09480000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09540000.VBN=>(Quarantine-PE) Infecté par: Trojan.Generic.72784
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09540000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09540000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09680000.VBN=>(Quarantine-PE) Infecté par: Trojan.Generic.72784
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09680000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09680000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09740000.VBN=>(Quarantine-PE) Infecté par: Trojan.Generic.72784
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09740000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09740000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AC00000.VBN=>(Quarantine-PE) Infecté par: Backdoor.Agent.VY
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AC00000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AC00000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AD80000.VBN=>(Quarantine-PE) Infecté par: Backdoor.Agent.VY
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AD80000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AD80000.VBN=>(Quarantine-PE) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AEC0000.VBN=>(Quarantine-PE) Infecté par: Trojan.Hacktool.Ibounce.A
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AEC0000.VBN=>(Quarantine-PE) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AEC0000.VBN=>(Quarantine-PE) Supprimé
    C:\System Volume Information\_restore{74C0B5CD-1C57-4289-8C03-5D9F9532D5BB}\RP9\A0000077.exe Infecté par: Trojan.Conhook.Y
    C:\System Volume Information\_restore{74C0B5CD-1C57-4289-8C03-5D9F9532D5BB}\RP9\A0000077.exe Echec de la désinfection
    C:\System Volume Information\_restore{74C0B5CD-1C57-4289-8C03-5D9F9532D5BB}\RP9\A0000077.exe Supprimé
    C:\WINDOWS\system32\dgnetg.1 Infecté par: Trojan.Spy.Bzub.NGP
    C:\WINDOWS\system32\dgnetg.1 Echec de la désinfection
    C:\WINDOWS\system32\dgnetg.1 Supprimé
    C:\WINDOWS\wpi\Keygen\NAV.exe Infecté par: Packer.FSG.A
    C:\WINDOWS\wpi\Keygen\NAV.exe Echec de la désinfection
    C:\WINDOWS\wpi\Keygen\NAV.exe Supprimé
    D:\BACKUP\Backup à graver\Outlook Express archives\Humour.dbx=>(message 28)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part)=>KAZAA SPEED.exe Infecté par: Joke.Jepruss
    D:\BACKUP\Backup à graver\Outlook Express archives\Humour.dbx=>(message 28)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part)=>KAZAA SPEED.exe Echec de la désinfection
    D:\BACKUP\Backup à graver\Outlook Express archives\Humour.dbx=>(message 28)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part)=>KAZAA SPEED.exe Supprimé
    D:\BACKUP\Backup à graver\Outlook Express archives\Humour.dbx=>(message 28)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part) Mis à jour
    D:\BACKUP\Backup à graver\Outlook Express archives\Humour.dbx=>(message 28) Mis à jour
    D:\BACKUP\Backup à graver\Outlook Express archives\Humour.dbx Echec de la mise à jour
    -------------------------------
    New Hijackthis:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:08:39, on 26/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\rmctrl.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    E:\Program Files\pdf24\PDF24Updater.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    P:\Programmes\Cleaners-anti spy\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
    O4 - HKLM\..\Run: [PDFPrint] "E:\Program Files\pdf24\PDF24Updater.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
    O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DefWatch - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as des messages inféctés dans outlook express , alors vire les messages dans ta poubelle et les messages que tu ne connais

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{16892DC7-15DF-4F69-A8E6-5D082281DA37}\Microsoft\Outlook Express\Humour.dbx=>(message 29)=>[Subject: Fwd: ...][Date: Fri, 08 Nov 2002 19:52:53 +0000]=>(MIME part)=>KAZAA SPEED.exe Infecté par: Joke.Jepruss

    ____________________________

    vire ce qui est en quarantaine dans norton antivirus

    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\09740000.VBN=>(Quarantine-PE) Supprimé

    ______________________________

    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll

    O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe

    O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll

    _______________________________

    Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(X)) :

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5E110EEA-C20D-49E9-84A0-5414BFC53B4D}]
    2004-10-31 13:00 98816 --a------ C:\WINDOWS\system32\dgnetg.dll
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F154F641-62FE-4741-AAB1-013D5389ED3C}]
    2007-11-21 19:07 84480 --a------ c:\windows\system32\acluij.dll

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX X

    note : regedit4 doit etre sur la premiere ligne dans le bloc note et a la fin il y a une ligne blanche

    Puis click sur "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    ca doit ressembler a ca une fois enrregistré :

    http://img520.imageshack.us/img520/4251/screenshot005ps2.png

    quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"
    _____________________________

    Relance Vundofix
    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\WINDOWS\SYSTEM32\acluij.dll
    C:\WINDOWS\system32\dgnetg.dll
    C:\WINDOWS\system32\dgnetg.1

    _________________________

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    * Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis

    ______________________________

    vas sur virus total et dis moi lesquels sont inféctés parmis les fichiers suivants:
    https://www.virustotal.com/gui/

    C:\WINDOWS\system32\mhwwqyxp.dat
    C:\WINDOWS\system32\ghhyjxxy.dat
    C:\WINDOWS\system32\lrkrbpol.dat
    C:\WINDOWS\system32\sgejkjzw.dat
    C:\WINDOWS\system32\libeay32.dll
    C:\WINDOWS\system32\drivers\majmwmwd.dat
    0
  11. seb
     
    Salut,

    voici les nouvelles...

    Première chose, quand j'ouvre un explorer de fichiers, je reçois le message suivant avant l'ouverture:
    L'application ou la DLL C:\WINDOWS\system32\acluij.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation
    J'ai viré dans Outloook et dans la quarantaine puis j'ai fait le fix checked de hijackthis
    L'execution de fix.reg donne l'arreur suivante:
    Impossible d'importer C:\Documents and Settings\Administrateur\Bureau\fix.reg: erreur d'accès au regsitre
    Vundofix tourne mais les fichiers ne sont pas supprimés alors qu'ils disparaissent de la fenêtre Vundofix après 2 redémarrages...
    Voici le nouveau log Hijack this:
    -------------------------------------------
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:03:27, on 27/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\rmctrl.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    E:\Program Files\pdf24\PDF24Updater.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    P:\Programmes\Cleaners-anti spy\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5E110EEA-C20D-49E9-84A0-5414BFC53B4D} - C:\WINDOWS\system32\dgnetg.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: (no name) - {F154F641-62FE-4741-AAB1-013D5389ED3C} - c:\windows\system32\acluij.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
    O4 - HKLM\..\Run: [PDFPrint] "E:\Program Files\pdf24\PDF24Updater.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
    O20 - Winlogon Notify: zittfekj - C:\WINDOWS\SYSTEM32\acluij.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DefWatch - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - E:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    supprime ces deux fichiers en mode sans echec en allant dans poste de travail puis c...
    ou
    supprime ces deux fichiers avec unlocker:
    https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html

    C:\WINDOWS\system32\dgnetg.dll

    c:\windows\system32\acluij.dll

    __________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    secuser en ligne :
    http://www.secuser.com/outils/antivirus.htm
    0
  13. seb
     
    Salut,

    J'ai réinstallé Windows, ça devenait trop lourd...
    Merci en tout cas pour ton aide.

    Seb
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    bonne continuation

    rq si tu as norton rajoute en plus pour ne pas reattraper vundo

    spywareblaster
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html

    et
    spybot

    spybot : (si vous avez une version instalée avant sept 2007 changer là par la version 1.5)

    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

    voir demo d utilisation (merci Balltrap)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
    0