Live Safety Center

Question

Bin l'bonjour

Désolé pour la brique, mais j'arrive jamais à synthétiser :s

Bon voilà, depuis quelques jours j'ai deux icones qui apparaissent et réapparraissent après suppression sur mon burean : Live Safety Center et Online Security Guide. Quand je les supprime elles reviennent 5 minutes après.

Quand je fait rien, j'ai une alerte  de windows (une bulle jaune dans le coin inférieur droit) qui apparait tout les 30 secondes me disant que je suis infecté. Il y a aussi toutes les deux minutes un pages internet qui s'ouvre avec IE avec la barre Securty Toolbar 7.1.

Alors pour les supprimer j'ai toute essayer ...
vundo.exe
spybot 
ad-aware
secuser.com
je suis passé de avast à antivir

à noter que sur secuser.com, il me donnait une tonne de fichier infecté se trouvant dans C://windows/fonts ... à savoir le dossier qui contient les polices d'écritures ... et là dedans deux fichiers insupprimables : svchost.exe et l'autre j'ai oublié le nom.

Vundo donnait à chaque fois un liste de petit exécutable à supprimer, puis redémarrer..
spybot et adaware rien de spécial

ces trucs j'avais réussi à les faire partir, je crois après vundo, mais après c'était revenu je sais pas comment, ce qui veut dire que c'était pas complètement disparu

voilà, donc j'aimerais bien savoir comment supprimer ces bazars qui m'énerve au possible


Merci de votre lecture, et encore plus grand merci à ceux qui me sauveront

g!rly · Answer

salut

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

et repost un log hijackthis ,

Télécharge HijackThis ici : 

-> https://www.zebulon.fr/telechargements/securite/systeme/hijackthis.html

Tutoriel d´installation (images) :

-> http://pchelpbordeaux.free.fr/tuto.html

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

Haya · Answer

my god comment tu gères ... c'est un coper/coller quand meme parce que si tu as mémoriser tout ça comme ça .... gg


je fais ça tout de suite :) merci bien

g!rly · Answer

copier/collé...
on se refais pas;-)

Haya · Answer

VundoFix V6.6.2

Checking Java version...

Scan started at 23:53:26 30/11/2007

Listing files found while scanning....

C:\windows\system32\amqnkqxg.dllbox
C:\windows\system32\dkajluwq.dll
C:\WINDOWS\system32\jayreggu.dll
C:\windows\system32\jayreggu.dllbox

Beginning removal...

 Attempting to delete C:\windows\system32\amqnkqxg.dllbox
C:\windows\system32\amqnkqxg.dllbox Has been deleted!

 Attempting to delete C:\windows\system32\dkajluwq.dll
C:\windows\system32\dkajluwq.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jayreggu.dll
C:\WINDOWS\system32\jayreggu.dll Could not be deleted.

 Attempting to delete C:\windows\system32\jayreggu.dllbox
C:\windows\system32\jayreggu.dllbox Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\jayreggu.dll
C:\WINDOWS\system32\jayreggu.dll Has been deleted!

 Attempting to delete C:\windows\system32\jayreggu.dllbox
C:\windows\system32\jayreggu.dllbox Has been deleted!

Performing Repairs to the registry.
Done!



//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


Hijackthis :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:06:55, on 1/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmes\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\jgvwjbhj.exe
C:\WINDOWS\system32
vsvc32.exe
D:\Programmes\WAMP\apache2\bin\httpd.exe
D:\Programmes\WAMP\mysql\bin\mysqld-nt.exe
D:\Programmes\WAMP\apache2\bin\httpd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Programmes\Drivers\Logitech\SetPoint\SetPoint.exe
D:\Programmes\WAMP\wampmanager.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programmes\Firefox\firefox.exe
D:\Programmes\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [0ca30f4a] rundll32.exe "C:\WINDOWS\system32\qwlbaerf.dll",b
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: WampServer.lnk = D:\Programmes\WAMP\wampmanager.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programmes\Ad-Aware\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService -   - C:\WINDOWS\system32\jgvwjbhj.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: wampapache - Apache Software Foundation - D:\Programmes\WAMP\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - D:\Programmes\WAMP\mysql\bin\mysqld-nt.exe

g!rly · Answer

re,

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Haya · Answer

ComboFix 07-11-19.4C - Vivien 2007-12-01 13:04:47.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1557 [GMT 1:00]
Running from: C:\Documents and Settings\Vivien\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Vivien\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\AU_Backup
C:\WINDOWS\AU_Log
C:\WINDOWS\AU_Temp
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\system32\eghqogqb.ini
C:\WINDOWS\system32\freablwq.ini
C:\WINDOWS\system32\heahuexv.dl
C:\WINDOWS\system32\iifffdd.dll
C:\WINDOWS\system32\iuetfvws.dll
C:\WINDOWS\system32\jgvwjbhj.exe
C:\WINDOWS\system32\jstdspxu.dll
C:\WINDOWS\system32\lvvjetum.dll
C:\WINDOWS\system32\naydejgx.dll
C:\WINDOWS\system32\nbqnocij.exe
C:\WINDOWS\system32\nnnkhij.dll
C:\WINDOWS\system32\nnnnnno.dll
C:\WINDOWS\system32\qwlbaerf.dll
C:\WINDOWS\system32\swvfteui.ini
C:\WINDOWS\system32\urqrqol.dll
C:\WINDOWS\system32\vpctciye.dll
C:\WINDOWS\system32\vtuvuut.dll
C:\WINDOWS\system32\xgjedyan.ini
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\VundoFix Backups
C:\VundoFix Backups\amqnkqxg.dllbox.bad
C:\VundoFix Backups\dkajluwq.dll.bad
C:\VundoFix Backups\jayreggu.dll.bad
C:\VundoFix Backups\jayreggu.dllbox.bad
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\system32\cdeeg.bak1
C:\WINDOWS\system32\cdeeg.ini
C:\WINDOWS\system32\eghqogqb.ini
C:\WINDOWS\system32\freablwq.ini
C:\WINDOWS\system32\geedc.dll
C:\WINDOWS\system32\iifffdd.dll
C:\WINDOWS\system32\iuetfvws.dll
C:\WINDOWS\system32\jgvwjbhj.exe
C:\WINDOWS\system32\jstdspxu.dll
C:\WINDOWS\system32\lvvjetum.dll
C:\WINDOWS\system32\naydejgx.dll
C:\WINDOWS\system32\nbqnocij.exe
C:\WINDOWS\system32\nnnkhij.dll
C:\WINDOWS\system32\nnnnnno.dll
C:\WINDOWS\system32\qwlbaerf.dll
C:\WINDOWS\system32\swvfteui.ini
C:\WINDOWS\system32\urqrqol.dll
C:\WINDOWS\system32\vpctciye.dll
C:\WINDOWS\system32\vtuvuut.dll
C:\WINDOWS\system32\xgjedyan.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-01 to 2007-12-01 ))))))))))))))))))))))))))))))))))))
.

2007-11-30 20:43 <REP> d---s---- C:\Documents and Settings\Vivien\UserData
2007-11-30 17:46 <REP> d-------- C:\WINDOWS\AU_Temp
2007-11-30 17:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-29 22:09 <REP> d-------- C:\Documents and Settings\Vivien\dwhelper
2007-11-29 21:26 <REP> d-------- C:\WINDOWS\report
2007-11-29 21:22 <REP> d-------- C:\WINDOWS\AU_Backup
2007-11-29 21:22 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-11-29 21:22 267,845 --a------ C:\WINDOWS\tsc.exe
2007-11-29 21:22 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-11-29 21:22 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-11-29 21:20 <REP> d-------- C:\WINDOWS\AU_Log
2007-11-29 21:20 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-11-29 21:20 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-11-28 22:35 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-11-27 21:06 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-11-27 21:06 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-27 21:06 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-20 21:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-11-20 20:41 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\Dcads Advanced Toolbar
2007-11-20 20:40 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-20 19:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2007-11-16 23:55 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-11-16 22:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\DVD Shrink
2007-11-16 22:12 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\AVS4YOU
2007-11-16 22:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\AVS4YOU
2007-11-16 22:11 <REP> d-------- C:\Program Files\AVS4YOU
2007-11-16 22:10 <REP> d-------- C:\WINDOWS\SxsCaPendDel
2007-11-16 22:10 <REP> d-------- C:\Program Files\Fichiers communs\AVSMedia
2007-11-16 22:10 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2007-11-16 22:10 524,288 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-11-16 22:10 413,760 --a------ C:\WINDOWS\system32\mpg4c32.dll
2007-11-16 22:10 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll
2007-11-16 22:10 139,264 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-11-16 22:10 82,944 --a------ C:\WINDOWS\system32\vct3216.acm
2007-11-16 22:10 81,920 --a------ C:\WINDOWS\system32\AC3ACM.acm
2007-11-16 22:10 53,248 --a------ C:\WINDOWS\system32\xvid.ax
2007-11-16 22:10 38,912 --a------ C:\WINDOWS\system32\alf2cd.acm
2007-11-16 22:10 13,239 --a------ C:\WINDOWS\system32\Scg726.acm
2007-11-15 21:31 <REP> d-------- C:\Documents and Settings\Vivien\Incomplete
2007-11-14 22:47 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\CyberLink
2007-11-14 22:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\CyberLink
2007-11-14 22:37 <REP> d-------- C:\Program Files\Cyberlink
2007-11-14 22:33 <REP> d-------- C:\Program Files\Fichiers communs\DirectX
2007-11-12 20:42 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\LimeWire
2007-11-11 14:36 <REP> d-------- C:\Program Files\Google
2007-11-11 13:16 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\InstallShield Installation Information
2007-11-11 13:15 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-11-11 13:15 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-11-11 13:14 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-10 23:00 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\BSplayer Pro
2007-11-10 23:00 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\BSplayer
2007-11-10 11:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-10 00:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-09 19:02 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-11-09 18:49 <REP> d-------- C:\Program Files\Windows Live
2007-11-09 18:36 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\OpenOffice.org2
2007-11-09 17:53 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\FileZilla
2007-11-09 17:29 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\Notepad++
2007-11-08 21:56 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-11-08 21:55 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-11-08 21:55 <REP> d-------- C:\Program Files\Microsoft.NET
2007-11-08 21:49 <REP> d--h----- C:\WINDOWS\$hf_mig$
2007-11-08 21:42 <REP> d-------- C:\WINDOWS\RaidTool
2007-11-08 21:42 <REP> d-------- C:\RaidTool
2007-11-08 21:42 1,953,792 -r------- C:\WINDOWS\system32\xRaidSetup.exe
2007-11-08 21:42 143,360 -r------- C:\WINDOWS\system32\xRaidAPI.dll
2007-11-08 21:42 46,208 -ra------ C:\WINDOWS\system32\drivers\jraid.sys
2007-11-08 21:42 6,912 -ra------ C:\WINDOWS\system32\drivers\JGOGO.sys
2007-11-08 21:41 <REP> d-------- C:\WINDOWS\system32\Lang
2007-11-08 21:41 <REP> d-------- C:\WINDOWS\system32\Attansic
2007-11-08 21:41 <REP> d-------- C:\Program Files\Attansic
2007-11-08 21:41 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2007-11-08 21:41 38,656 -ra------ C:\WINDOWS\system32\drivers\atl01_xp.sys
2007-11-08 21:39 <REP> d-------- C:\WINDOWS\system32\RTCOM
2007-11-08 21:39 282,624 -r------- C:\WINDOWS\system32\RTSndMgr.cpl
2007-11-08 21:38 <REP> d-------- C:\Program Files\Realtek
2007-11-08 21:38 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe
2007-11-08 21:38 315,392 --a------ C:\WINDOWS\HideWin.exe
2007-11-08 21:38 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.cpl
2007-11-08 21:38 69,632 -r------- C:\WINDOWS\Alcmtr.exe
2007-11-08 21:33 <REP> d-------- C:\WINDOWS\ASUSInstAll
2007-11-08 21:28 <REP> d-------- C:\WINDOWS\system32\drivers\system32
2007-11-08 21:28 <REP> d-------- C:\WINDOWS\system32\drivers\INF
2007-11-08 21:27 <REP> d-------- C:\Program Files\Intel
2007-11-08 21:27 5,810 -ra------ C:\WINDOWS\system32\drivers\ASACPI.sys
2007-11-08 21:26 10,288 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2007-11-08 21:13 <REP> d-------- C:\Program Files\Java
2007-11-08 21:13 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-08 21:12 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-11-08 21:09 <REP> d-------- C:\WINDOWS\nview
2007-11-08 21:09 217,088 -ra------ C:\WINDOWS\system32\WinSys2.exe
2007-11-08 21:09 208,896 -ra------ C:\WINDOWS\system32\sw20.exe
2007-11-08 21:09 131,072 -ra------ C:\WINDOWS\system32\smdll.dll
2007-11-08 21:09 128,512 -ra------ C:\WINDOWS\system32\MadCHook.dll
2007-11-08 21:09 69,632 -ra------ C:\WINDOWS\system32\sw24.exe
2007-11-08 20:45 <REP> d-------- C:\Program Files\C-Media USB Sound
2007-11-08 20:45 809,536 --a------ C:\WINDOWS\system32\drivers\cmudau.sys
2007-11-08 20:45 712,704 --a------ C:\WINDOWS\system32\a3dpropu.dll
2007-11-08 20:45 712,704 --a------ C:\WINDOWS\system32\a3d.dll
2007-11-08 20:45 24,576 --a------ C:\WINDOWS\CmiUSB2Uninstall.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-29 20:20 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2007-11-20 20:11 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-11-20 20:11 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-11-07 17:46 --------- d-----w C:\Program Files\microsoft frontpage
2007-11-07 17:45 --------- d-----w C:\Program Files\Services en ligne
2007-11-07 17:44 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-10-01 11:15 839,685 --sh--w C:\WINDOWS\Fonts\svchost.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-04-12 16:44 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe]
"avgnt"="D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Insider]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=D:\Programmes\Spybot S&D\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinSys2"=C:\WINDOWS\system32\winsys2.exe
"SW24"=C:\WINDOWS\system32\sw24.exe
"SW20"=C:\WINDOWS\system32\sw20.exe
"RTHDCPL"=RTHDCPL.EXE
"Alcmtr"=ALCMTR.EXE
"ANIWZCS2Service"=C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
"CmUsbSound"=RunDll32 cmcnfgu.cpl,CMICtrlWnd
"D-Link AirPlus G"=C:\Programmes\D-Link\AirGCFG.exe
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

R2 wampapache;wampapache;"D:\Programmes\WAMP\apache2\bin\httpd.exe" -k runservice
R2 wampmysqld;wampmysqld;D:\Programmes\WAMP\mysql\bin\mysqld-nt.exe --defaults-file=D:\Programmes\WAMP\mysql\my.ini wampmysqld
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-01 14:01:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-01 14:02:09 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-01 00:21
.
--- E O F ---

///////////////////////////////

Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:23, on 1/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmes\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programmes\WAMP\apache2\bin\httpd.exe
D:\Programmes\WAMP\mysql\bin\mysqld-nt.exe
D:\Programmes\WAMP\apache2\bin\httpd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programmes\Drivers\Logitech\SetPoint\SetPoint.exe
D:\Programmes\WAMP\wampmanager.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Programmes\Firefox\firefox.exe
D:\Programmes\Winamp\winamp.exe
D:\Programmes\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: WampServer.lnk = D:\Programmes\WAMP\wampmanager.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programmes\Ad-Aware\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: wampapache - Apache Software Foundation - D:\Programmes\WAMP\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - D:\Programmes\WAMP\mysql\bin\mysqld-nt.exe

g!rly · Answer

Copie le texte se situant dans le cadre ci-dessous :

File::
C:\WINDOWS\system32\freablwq.ini
C:\WINDOWS\system32\qwlbaerf.dll
C:\WINDOWS\AU_Temp
C:\WINDOWS\system32
nnkhij.dll
C:\WINDOWS\AU_Backup
C:\WINDOWS\AU_Log
C:\WINDOWS\system32\xgjedyan.ini
C:\WINDOWS\system32
aydejgx.dll
C:\WINDOWS\system32\heahuexv.dl
C:\WINDOWS\system32
bqnocij.exe
C:\WINDOWS\system32\iifffdd.dll
C:\WINDOWS\system32\eghqogqb.ini
C:\WINDOWS\system32\vpctciye.dll
C:\WINDOWS\system32\swvfteui.ini
C:\WINDOWS\system32\lvvjetum.dll
C:\WINDOWS\system32\vtuvuut.dll
C:\WINDOWS\system32
nnnnno.dll
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\system32\jstdspxu.dll
C:\WINDOWS\system32\jgvwjbhj.exe
C:\WINDOWS\system32\urqrqol.dll
C:\WINDOWS\system32\iuetfvws.dll
C:\WINDOWS\system32\qwlbaerf.dll

Folder::
C:\VundoFix Backups

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A2224A0-B114-4491-9305-FD0E4B55FA1E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{659faa76-f6e7-4faf-aac5-3fbd8102b86d}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"0ca30f4a"=-
[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{3A2224A0-B114-4491-9305-FD0E4B55FA1E}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify
nnnnno]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00


Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 


Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

g!rly · Answer

je regarderais ca demain je vais me coucher

Haya · Answer

ComboFix 07-11-19.4C - Vivien 2007-12-01 13:04:47.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1557 [GMT 1:00]
Running from: C:\Documents and Settings\Vivien\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Vivien\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\AU_Backup
C:\WINDOWS\AU_Log
C:\WINDOWS\AU_Temp
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\system32\eghqogqb.ini
C:\WINDOWS\system32\freablwq.ini
C:\WINDOWS\system32\heahuexv.dl
C:\WINDOWS\system32\iifffdd.dll
C:\WINDOWS\system32\iuetfvws.dll
C:\WINDOWS\system32\jgvwjbhj.exe
C:\WINDOWS\system32\jstdspxu.dll
C:\WINDOWS\system32\lvvjetum.dll
C:\WINDOWS\system32\naydejgx.dll
C:\WINDOWS\system32\nbqnocij.exe
C:\WINDOWS\system32\nnnkhij.dll
C:\WINDOWS\system32\nnnnnno.dll
C:\WINDOWS\system32\qwlbaerf.dll
C:\WINDOWS\system32\swvfteui.ini
C:\WINDOWS\system32\urqrqol.dll
C:\WINDOWS\system32\vpctciye.dll
C:\WINDOWS\system32\vtuvuut.dll
C:\WINDOWS\system32\xgjedyan.ini
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\VundoFix Backups
C:\VundoFix Backups\amqnkqxg.dllbox.bad
C:\VundoFix Backups\dkajluwq.dll.bad
C:\VundoFix Backups\jayreggu.dll.bad
C:\VundoFix Backups\jayreggu.dllbox.bad
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\system32\cdeeg.bak1
C:\WINDOWS\system32\cdeeg.ini
C:\WINDOWS\system32\eghqogqb.ini
C:\WINDOWS\system32\freablwq.ini
C:\WINDOWS\system32\geedc.dll
C:\WINDOWS\system32\iifffdd.dll
C:\WINDOWS\system32\iuetfvws.dll
C:\WINDOWS\system32\jgvwjbhj.exe
C:\WINDOWS\system32\jstdspxu.dll
C:\WINDOWS\system32\lvvjetum.dll
C:\WINDOWS\system32\naydejgx.dll
C:\WINDOWS\system32\nbqnocij.exe
C:\WINDOWS\system32\nnnkhij.dll
C:\WINDOWS\system32\nnnnnno.dll
C:\WINDOWS\system32\qwlbaerf.dll
C:\WINDOWS\system32\swvfteui.ini
C:\WINDOWS\system32\urqrqol.dll
C:\WINDOWS\system32\vpctciye.dll
C:\WINDOWS\system32\vtuvuut.dll
C:\WINDOWS\system32\xgjedyan.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-01 to 2007-12-01 ))))))))))))))))))))))))))))))))))))
.

2007-11-30 20:43 <REP> d---s---- C:\Documents and Settings\Vivien\UserData
2007-11-30 17:46 <REP> d-------- C:\WINDOWS\AU_Temp
2007-11-30 17:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-29 22:09 <REP> d-------- C:\Documents and Settings\Vivien\dwhelper
2007-11-29 21:26 <REP> d-------- C:\WINDOWS\report
2007-11-29 21:22 <REP> d-------- C:\WINDOWS\AU_Backup
2007-11-29 21:22 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-11-29 21:22 267,845 --a------ C:\WINDOWS\tsc.exe
2007-11-29 21:22 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-11-29 21:22 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-11-29 21:20 <REP> d-------- C:\WINDOWS\AU_Log
2007-11-29 21:20 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-11-29 21:20 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-11-28 22:35 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-11-27 21:06 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-11-27 21:06 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-27 21:06 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-20 21:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-11-20 20:41 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\Dcads Advanced Toolbar
2007-11-20 20:40 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-20 19:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2007-11-16 23:55 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-11-16 22:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\DVD Shrink
2007-11-16 22:12 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\AVS4YOU
2007-11-16 22:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\AVS4YOU
2007-11-16 22:11 <REP> d-------- C:\Program Files\AVS4YOU
2007-11-16 22:10 <REP> d-------- C:\WINDOWS\SxsCaPendDel
2007-11-16 22:10 <REP> d-------- C:\Program Files\Fichiers communs\AVSMedia
2007-11-16 22:10 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2007-11-16 22:10 524,288 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-11-16 22:10 413,760 --a------ C:\WINDOWS\system32\mpg4c32.dll
2007-11-16 22:10 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll
2007-11-16 22:10 139,264 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-11-16 22:10 82,944 --a------ C:\WINDOWS\system32\vct3216.acm
2007-11-16 22:10 81,920 --a------ C:\WINDOWS\system32\AC3ACM.acm
2007-11-16 22:10 53,248 --a------ C:\WINDOWS\system32\xvid.ax
2007-11-16 22:10 38,912 --a------ C:\WINDOWS\system32\alf2cd.acm
2007-11-16 22:10 13,239 --a------ C:\WINDOWS\system32\Scg726.acm
2007-11-15 21:31 <REP> d-------- C:\Documents and Settings\Vivien\Incomplete
2007-11-14 22:47 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\CyberLink
2007-11-14 22:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\CyberLink
2007-11-14 22:37 <REP> d-------- C:\Program Files\Cyberlink
2007-11-14 22:33 <REP> d-------- C:\Program Files\Fichiers communs\DirectX
2007-11-12 20:42 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\LimeWire
2007-11-11 14:36 <REP> d-------- C:\Program Files\Google
2007-11-11 13:16 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\InstallShield Installation Information
2007-11-11 13:15 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-11-11 13:15 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-11-11 13:14 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-10 23:00 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\BSplayer Pro
2007-11-10 23:00 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\BSplayer
2007-11-10 11:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-10 00:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-09 19:02 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-11-09 18:49 <REP> d-------- C:\Program Files\Windows Live
2007-11-09 18:36 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\OpenOffice.org2
2007-11-09 17:53 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\FileZilla
2007-11-09 17:29 <REP> d-------- C:\Documents and Settings\Vivien\Application Data\Notepad++
2007-11-08 21:56 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-11-08 21:55 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-11-08 21:55 <REP> d-------- C:\Program Files\Microsoft.NET
2007-11-08 21:49 <REP> d--h----- C:\WINDOWS\$hf_mig$
2007-11-08 21:42 <REP> d-------- C:\WINDOWS\RaidTool
2007-11-08 21:42 <REP> d-------- C:\RaidTool
2007-11-08 21:42 1,953,792 -r------- C:\WINDOWS\system32\xRaidSetup.exe
2007-11-08 21:42 143,360 -r------- C:\WINDOWS\system32\xRaidAPI.dll
2007-11-08 21:42 46,208 -ra------ C:\WINDOWS\system32\drivers\jraid.sys
2007-11-08 21:42 6,912 -ra------ C:\WINDOWS\system32\drivers\JGOGO.sys
2007-11-08 21:41 <REP> d-------- C:\WINDOWS\system32\Lang
2007-11-08 21:41 <REP> d-------- C:\WINDOWS\system32\Attansic
2007-11-08 21:41 <REP> d-------- C:\Program Files\Attansic
2007-11-08 21:41 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2007-11-08 21:41 38,656 -ra------ C:\WINDOWS\system32\drivers\atl01_xp.sys
2007-11-08 21:39 <REP> d-------- C:\WINDOWS\system32\RTCOM
2007-11-08 21:39 282,624 -r------- C:\WINDOWS\system32\RTSndMgr.cpl
2007-11-08 21:38 <REP> d-------- C:\Program Files\Realtek
2007-11-08 21:38 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe
2007-11-08 21:38 315,392 --a------ C:\WINDOWS\HideWin.exe
2007-11-08 21:38 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.cpl
2007-11-08 21:38 69,632 -r------- C:\WINDOWS\Alcmtr.exe
2007-11-08 21:33 <REP> d-------- C:\WINDOWS\ASUSInstAll
2007-11-08 21:28 <REP> d-------- C:\WINDOWS\system32\drivers\system32
2007-11-08 21:28 <REP> d-------- C:\WINDOWS\system32\drivers\INF
2007-11-08 21:27 <REP> d-------- C:\Program Files\Intel
2007-11-08 21:27 5,810 -ra------ C:\WINDOWS\system32\drivers\ASACPI.sys
2007-11-08 21:26 10,288 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2007-11-08 21:13 <REP> d-------- C:\Program Files\Java
2007-11-08 21:13 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-08 21:12 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-11-08 21:09 <REP> d-------- C:\WINDOWS\nview
2007-11-08 21:09 217,088 -ra------ C:\WINDOWS\system32\WinSys2.exe
2007-11-08 21:09 208,896 -ra------ C:\WINDOWS\system32\sw20.exe
2007-11-08 21:09 131,072 -ra------ C:\WINDOWS\system32\smdll.dll
2007-11-08 21:09 128,512 -ra------ C:\WINDOWS\system32\MadCHook.dll
2007-11-08 21:09 69,632 -ra------ C:\WINDOWS\system32\sw24.exe
2007-11-08 20:45 <REP> d-------- C:\Program Files\C-Media USB Sound
2007-11-08 20:45 809,536 --a------ C:\WINDOWS\system32\drivers\cmudau.sys
2007-11-08 20:45 712,704 --a------ C:\WINDOWS\system32\a3dpropu.dll
2007-11-08 20:45 712,704 --a------ C:\WINDOWS\system32\a3d.dll
2007-11-08 20:45 24,576 --a------ C:\WINDOWS\CmiUSB2Uninstall.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-29 20:20 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2007-11-20 20:11 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-11-20 20:11 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-11-07 17:46 --------- d-----w C:\Program Files\microsoft frontpage
2007-11-07 17:45 --------- d-----w C:\Program Files\Services en ligne
2007-11-07 17:44 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-10-01 11:15 839,685 --sh--w C:\WINDOWS\Fonts\svchost.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-04-12 16:44 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe]
"avgnt"="D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Insider]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=D:\Programmes\Spybot S&D\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinSys2"=C:\WINDOWS\system32\winsys2.exe
"SW24"=C:\WINDOWS\system32\sw24.exe
"SW20"=C:\WINDOWS\system32\sw20.exe
"RTHDCPL"=RTHDCPL.EXE
"Alcmtr"=ALCMTR.EXE
"ANIWZCS2Service"=C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
"CmUsbSound"=RunDll32 cmcnfgu.cpl,CMICtrlWnd
"D-Link AirPlus G"=C:\Programmes\D-Link\AirGCFG.exe
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

R2 wampapache;wampapache;"D:\Programmes\WAMP\apache2\bin\httpd.exe" -k runservice
R2 wampmysqld;wampmysqld;D:\Programmes\WAMP\mysql\bin\mysqld-nt.exe --defaults-file=D:\Programmes\WAMP\mysql\my.ini wampmysqld
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-01 14:01:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-01 14:02:09 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-01 00:21
.
--- E O F ---

///////////////////////////////

Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:23, on 1/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmes\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programmes\WAMP\apache2\bin\httpd.exe
D:\Programmes\WAMP\mysql\bin\mysqld-nt.exe
D:\Programmes\WAMP\apache2\bin\httpd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programmes\Drivers\Logitech\SetPoint\SetPoint.exe
D:\Programmes\WAMP\wampmanager.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Programmes\Firefox\firefox.exe
D:\Programmes\Winamp\winamp.exe
D:\Programmes\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: WampServer.lnk = D:\Programmes\WAMP\wampmanager.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programmes\Ad-Aware\aawservice.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programmes\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: wampapache - Apache Software Foundation - D:\Programmes\WAMP\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - D:\Programmes\WAMP\mysql\bin\mysqld-nt.exe

Haya · Answer

euh


je comprend pas pourquoi mais j'ai plus la securtiy toolbar :)


mais je comprend pas pourquoi ....

enfin plus aucun problème avec les fenetres et bulles qui s'ouvrent ....

l'ennui c'est que ça m'était déjà arrivé, puis ça revient quand je fais je-sais-pas-quoi :s

enfin donc si tu trouves quelques choses de pas bien, ce serait bien ;)

g!rly · Answer

salut haja,

a l´aide de hijack this coche et fix ceci :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

comment fixer :

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

instale un par feu pour eviter ce genre de probleme dans le futur

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

ou zone alarm plus facil a configurer mais moins performant

http://www.kachouri.com/tuto/tuto-143-zonealarm-installation-du-firewall--pare-feu.html

puis instale ces deux anti spyware, ils disposent tout deux d´un resident antispyawre...

anti spyware :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

telecharge aussi cet anti spyware il a aussi un resident le teatimer :

spybot :

http://www.commentcamarche.net/telecharger/telecharger 122 spybot

http://www.safer-networking.org/fr/faq/33.html

dis moi quoi 

@+

Haya · Answer

c'est haYa pas haja ;)

merci beaucoup pour le temps que tu prends pour moi, ça fait vraiment plaisir :D

spybot je l'ai, j'ai fini l'installation de kerio, j'ai fixé la ligne avec hijack this, et là pour le moment ça, 

je vais installé le résident que tu m'as dit

encore merci ;)

g!rly · Answer

desolé si j´ai ecorché...
Haya ;-)

Live Safety Center

13 réponses

Votre réponse

Discussions similaires

Newsletters