Sujet Précédent Sujet Suivant

Trojans résistants... Linux seule solution ??

Résolu/Fermé
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 - 1 déc. 2007 à 13:44
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 - 27 déc. 2007 à 10:42
Bonjour,

Gros problème depuis 3 jours : je suis infecté de façon récurrente par vundo (alias Conhook-CF apparemment) qui est rapidement suivi par diverses merdes du genre Tiny-JC, SecBar-B, Dialer-FT, et des adwares et trojans dits "génériques" par avast

je tourne sous XP SP2 et firefox (j'utilise même pas cette merde de IE qui a été vérolée et arrêtait pas de se lancer tout seul hier, depuis il ne fonctionne plus après les désinfections), avec :
- comodo firewall qui me permet de bloquer une certaine partie du trafic de ces virus
- windows defender qui me bloque quekques modif du registre et supprime quelques vermines
- avast qui détecte conhook sans réussir à le supprimer, et d'autre cochonnerie qu'il arrive à effacer
- spybot avec la protection résidente qui permet le kill de certains processus vundo au prix d'une fenêtre d'alerte toutes les 2 sec (c'était hier çà..)
- adaware

j'ai déjà désinfecter 3x vundo avec des outils divers comme vundofix / fixvundo / VirtumundoBeGone.exe / ... avec succès, mais ça revient après plusieurs heures de fonctionnement du pc.
les autres pc du réseau local ne semble pas infectés malgré le partage de répertoires

le dernier hijackthis semble normal, je vais en refaire un après reboot

au final, ça commence à me gonfler sévère et je crois que depuis le temps que je me tate à passer sous linux, je crois que je vais finir par installer mon live cd d'ubuntu qui a l'air pas mal du tout...
mais bon, j'aimerais quand bien régler ce problème avant

Merci pour votre aide
A voir également:

32 réponses

  • 1
  • 2
Réponse 1 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 20:55
Télécharge Combofix sUBs : http://www.pc-xpress.ca/download/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix,
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
1
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 21:47
voici pour combo fix :


ComboFix 07-08-09.3 - "Cyril" 2007-12-01 21:04:55.2 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.1360 [GMT 1:00]


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE


((((((((((((((((((((((((( Files Created from 2007-11-01 to 2007-12-01 )))))))))))))))))))))))))))))))


2007-12-01 15:46 <REP> d-------- G:\.Trash-ubuntu
2007-12-01 15:03 <REP> d-------- G:\VundoFix Backups
2007-12-01 13:55 <REP> d-------- G:\Program Files\Trend Micro
2007-12-01 12:33 85,056 --a------ G:\WINDOWS\system32\uppifbvg.dll
2007-12-01 12:30 78,400 --a------ G:\WINDOWS\system32\hilkkkkf.dll
2007-11-30 22:59 <REP> d-------- G:\WINDOWS\system32\fr-fr
2007-11-30 10:52 85,056 --a------ G:\WINDOWS\system32\ivhvqkmf.dll
2007-11-29 11:00 145,984 --a------ G:\WINDOWS\system32\abhwuozx.dll.vir
2007-11-29 10:50 77,888 --a------ G:\WINDOWS\system32\plaotmqc.dll
2007-11-29 10:06 77,888 --a------ G:\WINDOWS\system32\lioyvwey.dll
2007-11-28 19:15 <REP> d-------- G:\Program Files\The Phrogram Company
2007-11-27 22:52 <REP> d-------- G:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Lavasoft
2007-11-27 22:47 268,662 --ahs---- G:\WINDOWS\system32\hjkmp.ini2
2007-11-27 22:32 51,200 --a------ G:\WINDOWS\NirCmd.exe
2007-11-26 15:32 37,376 --a------ G:\WINDOWS\system32\ssqnnop.dll.vir
2007-11-22 21:36 79,096 --a------ G:\WINDOWS\system32\drivers\cmdGuard.sys
2007-11-22 21:36 23,672 --a------ G:\WINDOWS\system32\drivers\cmdhlp.sys
2007-11-22 21:36 139,008 --a------ G:\WINDOWS\system32\guard32.dll
2007-11-12 19:33 <REP> d-------- G:\WINDOWS\SxsCaPendDel
2007-11-10 18:13 <REP> d-------- G:\DOCUME~1\Sandrine\APPLIC~1\Thunderbird
2007-11-10 18:12 <REP> d-------- G:\DOCUME~1\Sandrine\APPLIC~1\Comodo
2007-11-09 09:54 25,280 --a------ G:\WINDOWS\system32\drivers\hamachi.sys
2007-11-09 09:54 <REP> d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Hamachi
2007-11-07 16:01 <REP> d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Megaupload
2007-11-04 12:04 <REP> d-------- G:\Program Files\DivX
2007-11-04 12:00 <REP> d-------- G:\DOCUME~1\CYRIL~1.XP-\dwhelper


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-12-01 21:09 --------- d-------- G:\Program Files\SpeedFan
2007-12-01 21:03 --------- d-------- G:\Program Files\Mozilla Thunderbird
2007-12-01 20:39 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Ditto
2007-12-01 20:26 --------- d-------- G:\Program Files\Windows Live Safety Center
2007-11-30 09:13 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\OpenOffice.org2
2007-11-30 09:00 --------- d-------- G:\Program Files\SwitchSniffer
2007-11-28 22:07 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Azureus
2007-11-27 22:53 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Lavasoft
2007-11-27 22:51 --------- d-------- G:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-26 00:04 --------- d-------- G:\Program Files\LClock
2007-11-22 21:36 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Comodo
2007-11-19 14:07 5642 --a------ G:\WINDOWS\mozver.dat
2007-11-07 16:00 --------- d--h----- G:\Program Files\InstallShield Installation Information
2007-10-29 08:32 83716 --a------ G:\WINDOWS\system32\perfc00C.dat
2007-10-29 08:32 504458 --a--c--- G:\WINDOWS\system32\perfh00C.dat
2007-10-28 10:59 --------- d-------- G:\Program Files\Fichiers communs\Justdo
2007-10-25 17:56 8510976 --a--c--- G:\WINDOWS\system32\dllcache\shell32.dll
2007-10-20 01:56 200704 --a------ G:\WINDOWS\system32\ssldivx.dll
2007-10-20 01:56 1044480 --a------ G:\WINDOWS\system32\libdivx.dll
2007-10-05 21:37 --------- d-------- G:\Program Files\Skyline
2007-10-03 20:38 409600 --a------ G:\WINDOWS\system32\wrap_oal.dll
2007-10-03 20:38 114688 --a------ G:\WINDOWS\system32\OpenAL32.dll
2007-10-03 20:38 --------- d-------- G:\Program Files\OpenAL
2007-10-02 14:49 --------- d-------- G:\Program Files\ASUS
2007-10-01 12:27 --------- d-------- G:\Program Files\OpenOffice.org 2.3
2007-09-14 20:54 46080 --a--c--- G:\WINDOWS\system32\dllcache\ftp.exe
2007-09-14 20:54 46080 --a------ G:\WINDOWS\system32\ftp.exe
2007-09-06 11:09 801144 --a------ G:\WINDOWS\system32\aswBoot.exe
2007-09-06 11:00 95608 --a------ G:\WINDOWS\system32\AVASTSS.scr
2006-06-23 07:48 32768 -ra------ G:\WINDOWS\inf\UpdateUSB.exe
2001-05-24 11:59 162304 --a------ G:\Program Files\UNWISE.EXE


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"nwiz"="nwiz.exe" [2007-04-19 12:26 G:\WINDOWS\system32\nwiz.exe]
"SoundMAXPnP"="G:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 11:07]
"SoundMAX"="G:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 09:19]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 12:03 G:\WINDOWS\KHALMNPR.Exe]
"EPSON Stylus CX3200"="G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2002-07-01 03:05]
"Windows Defender"="F:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 18:20]
"Sunkist2k"="G:\Program Files\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe" [2005-06-29 19:10]
"WinVNC"="F:\Program Files\UltraVNC\WinVNC.exe" [2006-07-17 15:44]
"SpeedFan"="G:\Program Files\SpeedFan\speedfan.exe" [2006-10-12 17:33]
"NvMediaCenter"="G:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 12:26]
"NvCplDaemon"="G:\WINDOWS\system32\NvCpl.dll" [2007-04-19 12:26]
"SunJavaUpdateSched"="G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"COMODO Firewall Pro"="G:\Program Files\Comodo\Firewall\cfp.exe" [2007-11-22 21:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="G:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"Ditto"="G:\Program Files\Ditto\Ditto.exe" [2006-08-04 12:20]
"RocketDock"="G:\Program Files\RocketDock\RocketDock.exe" [2006-08-16 07:00]
"H/PC Connection Agent"="G:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:45]
"LClock"="G:\Program Files\LClock\lclock.exe" [2004-09-19 19:27]
"SpybotSD TeaTimer"="F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"= G:\WINDOWS\system32\guard32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 G:\WINDOWS\system32\pmkjh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Picasa Media Detector"=F:\Program Files\Picasa2\PicasaMediaDetector.exe
"NvCplDaemon"=RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
"DAEMON Tools"="F:\Program Files\DAEMON Tools\daemon.exe" -lang 1036

R0 Inspect;COMODO Firewall Pro Firewall Driver;G:\WINDOWS\system32\DRIVERS\inspect.sys
R0 speedfan;speedfan;G:\WINDOWS\system32\speedfan.sys
R1 AsIO;AsIO;G:\WINDOWS\system32\drivers\AsIO.sys
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;G:\WINDOWS\system32\DRIVERS\cmdguard.sys
R1 cmdHlp;COMODO Firewall Pro Helper Driver;G:\WINDOWS\system32\DRIVERS\cmdhlp.sys
R1 vcdrom;Virtual CD-ROM Device Driver;\??\F:\Program Files\Microsoft Virtual CD\VCdRom.sys
R2 LBeepKE;LBeepKE;G:\WINDOWS\system32\Drivers\LBeepKE.sys
R2 vnccom;vnccom;G:\WINDOWS\system32\Drivers\vnccom.SYS
R3 L8042Kbd;Logitech SetPoint Keyboard Driver;G:\WINDOWS\system32\DRIVERS\L8042Kbd.sys
R3 L8042mou;SetPoint PS/2 Mouse Filter Driver;G:\WINDOWS\system32\DRIVERS\L8042mou.Sys
R3 LMouKE;SetPoint Mouse Filter Driver;G:\WINDOWS\system32\DRIVERS\LMouKE.Sys
R3 MTsensor;ATK0110 ACPI UTILITY;G:\WINDOWS\system32\DRIVERS\ASACPI.sys
R3 ovt519;VGA USB Camera;G:\WINDOWS\system32\Drivers\ov519vid.sys
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver;G:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
R3 SenFiltService;SenFilt Service;G:\WINDOWS\system32\drivers\Senfilt.sys
R3 vncdrv;vncdrv;G:\WINDOWS\system32\DRIVERS\vncdrv.sys
S2 MobiCap;fix8 Virtual Webcam, WDM Video Capture;G:\WINDOWS\system32\DRIVERS\MobiCap.sys
S3 GMSIPCI;GMSIPCI;\??\D:\INSTALL\GMSIPCI.SYS
S3 idsvc;Windows CardSpace;"G:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"
S3 SunkFilt;Alcor Micro Corp Reader;\??\G:\WINDOWS\System32\Drivers\sunkfilt.sys
S3 usb_rndisx;USB RNDIS Adapter;G:\WINDOWS\system32\DRIVERS\usb8023x.sys
S4 Boonty Games;Boonty Games;"G:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service;"G:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"


Contents of the 'Scheduled Tasks' folder
2007-12-01 20:03:58 G:\WINDOWS\Tasks\MP Scheduled Scan.job - F:\Program Files\Windows Defender\MpCmdRun.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-01 21:09:08
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-12-01 21:11:51 - machine was rebooted
G:\ComboFix-quarantined-files.txt ... 2007-12-01 21:11

--- E O F ---
0
Réponse 2 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 22:21
selectionne ceci

registry::

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 G:\WINDOWS\system32\pmkjh.dll



File::

G:\WINDOWS\system32\uppifbvg.dll
G:\WINDOWS\system32\hilkkkkf.dll
G:\WINDOWS\system32\ivhvqkmf.dll
G:\WINDOWS\system32\ivhvqkmf.dll
G:\WINDOWS\system32\plaotmqc.dll
G:\WINDOWS\system32\lioyvwey.dll
G:\WINDOWS\system32\ssqnnop.dll.vir
G:\WINDOWS\system32\drivers\cmdhlp.sys
G:\WINDOWS\system32\drivers\cmdGuard.sys



* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+
1
Réponse 3 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 13:48
Bonjour

refais donc vundofix et poste le rapport

par la suite fais un hijack

Télécharge sur le bureau
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
= Clic-droit sur Hijackthis
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= clic droit sur Hijackthis ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
@+
0
Réponse 4 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 14:22
Merci pour ta réponse

j'ai refait un vundofix qui n'a rien trouvé.
après reboot, voici mon hijackthis (après avoir renommé en test.exe), qui retrouve une entrée corrompue du BHO
O2 - BHO: (no name) - {E73B4E7B-FFA2-468E-9B07-E9782711BF10} - G:\WINDOWS\system32\pmkjh.dll
j'ai essayé d'effacer manuellement pmkjh.dll, mais cette ressource est utilisée par un autre programme : y'a moyen de savoir lequel ???
je m'en vais faire un spybot /adware qui devrait corriger le problème et supprimer l'entrée


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:17:02, on 01/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
F:\Program Files\Windows Defender\MsMpEng.exe
G:\WINDOWS\System32\svchost.exe
F:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
G:\Program Files\Alwil Software\Avast4\ashServ.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
G:\Program Files\Comodo\Firewall\cmdagent.exe
G:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
G:\WINDOWS\system32\nvsvc32.exe
F:\Program Files\Alcohol 120\StarWind\StarWindService.exe
G:\WINDOWS\system32\svchost.exe
F:\Program Files\UltraVNC\WinVNC.exe
G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
G:\WINDOWS\Explorer.EXE
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\Program Files\Analog Devices\Core\smax4pnp.exe
G:\Program Files\Analog Devices\SoundMAX\Smax4.exe
G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
F:\Program Files\Windows Defender\MSASCui.exe
G:\Program Files\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe
G:\WINDOWS\System32\svchost.exe
G:\Program Files\SpeedFan\speedfan.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
G:\Program Files\Comodo\Firewall\cfp.exe
G:\Program Files\MSN Messenger\MsnMsgr.Exe
G:\Program Files\Ditto\Ditto.exe
G:\Program Files\RocketDock\RocketDock.exe
G:\Program Files\Microsoft ActiveSync\wcescomm.exe
G:\Program Files\LClock\lclock.exe
G:\PROGRA~1\MICROS~3\rapimgr.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\Logitech Profil Loader\LPLoader.exe
G:\Program Files\Logitech\SetPoint\SetPoint.exe
F:\Program Files\Folding@Home\winFAH.exe
G:\Program Files\UberIcon\UberIcon Manager.exe
G:\Program Files\YzShadow\YzShadow.exe
G:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
F:\Program Files\Folding@Home\FahCore_78.exe
G:\Program Files\MSN Messenger\usnsvc.exe
G:\Program Files\Trend Micro\HijackThis\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - G:\Program Files\Fichiers communs\Justdo\Jd2002.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - F:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: (no name) - {E73B4E7B-FFA2-468E-9B07-E9782711BF10} - G:\WINDOWS\system32\pmkjh.dll
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] G:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "G:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3200] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [Windows Defender] "F:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Sunkist2k] G:\Program Files\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe
O4 - HKLM\..\Run: [WinVNC] "F:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SpeedFan] G:\Program Files\SpeedFan\speedfan.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\Comodo\Firewall\cfp.exe" -s
O4 - HKCU\..\Run: [MsnMsgr] "G:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ditto] G:\Program Files\Ditto\Ditto.exe
O4 - HKCU\..\Run: [RocketDock] "G:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "G:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [LClock] G:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Buuf.CurXPTheme.lnk = ?
O4 - Startup: Folding@Home 5.03.lnk = ?
O4 - Startup: LClock.lnk = G:\Program Files\LClock\LClock.exe
O4 - Startup: UberIcon.lnk = G:\Program Files\UberIcon\UberIcon Manager.exe
O4 - Startup: YzShadow.lnk = G:\Program Files\YzShadow\YzShadow.exe
O4 - Global Startup: Logitech Profile Loader.lnk = F:\Program Files\Logitech Profil Loader\LPLoader.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Save Flash with Flash Catcher - res://G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL/FlashCatcher.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL
O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O20 - AppInit_DLLs: G:\WINDOWS\system32\guard32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - G:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - G:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - G:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - G:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Program Files\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - F:\Program Files\UltraVNC\WinVNC.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 14:42
Télécharger sur le bureau

[url= http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe] OTMoveIt.exe[/url]
= Copier ce texte en gras

G:\WINDOWS\system32\pmkjh.dll

= Double-clic sur OTMoveIt.exe
= Dans le cadre de Gauche ==> clic-droit ==> coller
= Clic MoveIt!
= si redémarrage demandé==> Clic : YES
= Un rapport dans ==> C:_\OTMoveItMovedFilesdate du jour à copier/coller dans la réponse + nouveau rapport hijackthis.
0
Réponse 6 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 14:47
un scan de spybot me retrouve 3 entrées registre pour virtumonde que j'ai corrigé

la correction de
O2 - BHO: (no name) - {E73B4E7B-FFA2-468E-9B07-E9782711BF10} - G:\WINDOWS\system32\pmkjh.dll
ne fonctionne pas, ni via l'utilitaire BHO de spybot, ni en fixant dans hijack
il y a don c un process qui recrée l'entrée dans la foulée, et bien que l'alerté par windows defender et la modifictation interdite, ça revient quand même !
0
Réponse 7 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 14:51
as tu fait le poste trois ?
0
Réponse 8 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 14:57
oui je viens de le faire (j'ai posté le 4 en même temps que toi le 3)
et ça ne marche pas, je viens de refaire un hijackthis et l'entrée persiste toujours après un fix
-

Mail et MSN messenger : spirou.lefou(a)laposte.net
0
Réponse 9 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 14:58
je n'ai pas de disque C: (chez moi, winbdows est sur G.), donc le rapport n'a pa pu êtré crée pour moveit(j'ai eu un message d'erreur au reboot)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:56:21, on 01/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
F:\Program Files\Windows Defender\MsMpEng.exe
G:\WINDOWS\System32\svchost.exe
F:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
G:\Program Files\Alwil Software\Avast4\ashServ.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
G:\Program Files\Comodo\Firewall\cmdagent.exe
G:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
G:\WINDOWS\system32\nvsvc32.exe
F:\Program Files\Alcohol 120\StarWind\StarWindService.exe
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\Program Files\Analog Devices\Core\smax4pnp.exe
G:\Program Files\Analog Devices\SoundMAX\Smax4.exe
G:\WINDOWS\system32\svchost.exe
F:\Program Files\Windows Defender\MSASCui.exe
F:\Program Files\UltraVNC\WinVNC.exe
G:\Program Files\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe
G:\Program Files\SpeedFan\speedfan.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
G:\Program Files\Comodo\Firewall\cfp.exe
G:\Program Files\Ditto\Ditto.exe
G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
G:\Program Files\RocketDock\RocketDock.exe
G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
G:\Program Files\Microsoft ActiveSync\wcescomm.exe
G:\Program Files\LClock\lclock.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
G:\PROGRA~1\MICROS~3\rapimgr.exe
F:\Program Files\Logitech Profil Loader\LPLoader.exe
G:\Program Files\Logitech\SetPoint\SetPoint.exe
F:\PROGRA~1\Mozilla Firefox\firefox.exe
G:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Folding@Home\winFAH.exe
G:\Program Files\UberIcon\UberIcon Manager.exe
G:\Program Files\YzShadow\YzShadow.exe
G:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
F:\Program Files\Folding@Home\FahCore_78.exe
G:\Program Files\Trend Micro\HijackThis\test.exe
G:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - G:\Program Files\Fichiers communs\Justdo\Jd2002.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - F:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: (no name) - {C3EE3573-9968-410D-BD57-B310A6D3E02F} - G:\WINDOWS\system32\pmkjh.dll
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] G:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "G:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3200] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [Windows Defender] "F:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Sunkist2k] G:\Program Files\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe
O4 - HKLM\..\Run: [WinVNC] "F:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SpeedFan] G:\Program Files\SpeedFan\speedfan.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\Comodo\Firewall\cfp.exe" -s
O4 - HKCU\..\Run: [MsnMsgr] "G:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ditto] G:\Program Files\Ditto\Ditto.exe
O4 - HKCU\..\Run: [RocketDock] "G:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "G:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [LClock] G:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Buuf.CurXPTheme.lnk = ?
O4 - Startup: Folding@Home 5.03.lnk = ?
O4 - Startup: LClock.lnk = G:\Program Files\LClock\LClock.exe
O4 - Startup: UberIcon.lnk = G:\Program Files\UberIcon\UberIcon Manager.exe
O4 - Startup: YzShadow.lnk = G:\Program Files\YzShadow\YzShadow.exe
O4 - Global Startup: Logitech Profile Loader.lnk = F:\Program Files\Logitech Profil Loader\LPLoader.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Save Flash with Flash Catcher - res://G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL/FlashCatcher.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL
O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O20 - AppInit_DLLs: G:\WINDOWS\system32\guard32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - G:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - G:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - G:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - G:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Program Files\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - F:\Program Files\UltraVNC\WinVNC.exe
0
Réponse 10 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 14:58
Relance Vundofix
= Ne clique pas sur "Scan for a vundo"
= Clique droit au milieu de la fenêtre
= Clique sur Add more files ?
= Copie/colle les fichiers ci-dessous ( un par case) :

G:\WINDOWS\system32\pmkjh.dll

= Clique sur Add files
= Ensuite clique sur Close Windows
= Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
= Si l'outil demande un redémarrage, accepte
= Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis
0
Réponse 11 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 15:15
aucun effet malheureusement
après reboot par vundofix, l'entrée et le fichier sont toujours là, et impossibles à effacer l'un comme l'autre

je vais essayer de l'effacer en boutant sur livecd ubuntu ou bartPE si je le retrouve
0
Réponse 12 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 15:20
essaye de la trouver en mode sans échec

et supprime le
0
Réponse 13 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 19:45
(j'ai dû m'absenter pour le boulot)

fichier effacé en passant sous linux avec le live d'ubuntu

voici le log hijackthis, sain a priori :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:12, on 01/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
F:\Program Files\Windows Defender\MsMpEng.exe
G:\WINDOWS\System32\svchost.exe
F:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
G:\Program Files\Alwil Software\Avast4\ashServ.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
G:\Program Files\Comodo\Firewall\cmdagent.exe
G:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
G:\WINDOWS\system32\nvsvc32.exe
F:\Program Files\Alcohol 120\StarWind\StarWindService.exe
G:\WINDOWS\system32\svchost.exe
F:\Program Files\UltraVNC\WinVNC.exe
G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
G:\WINDOWS\Explorer.EXE
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\Program Files\Analog Devices\Core\smax4pnp.exe
G:\Program Files\Analog Devices\SoundMAX\Smax4.exe
G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
F:\Program Files\Windows Defender\MSASCui.exe
G:\Program Files\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe
G:\Program Files\SpeedFan\speedfan.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
G:\Program Files\Comodo\Firewall\cfp.exe
G:\Program Files\MSN Messenger\MsnMsgr.Exe
G:\Program Files\Ditto\Ditto.exe
G:\Program Files\RocketDock\RocketDock.exe
G:\Program Files\Microsoft ActiveSync\wcescomm.exe
G:\Program Files\LClock\lclock.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\Logitech Profil Loader\LPLoader.exe
G:\Program Files\Logitech\SetPoint\SetPoint.exe
G:\PROGRA~1\MICROS~3\rapimgr.exe
F:\Program Files\Folding@Home\winFAH.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Program Files\UberIcon\UberIcon Manager.exe
G:\Program Files\YzShadow\YzShadow.exe
G:\WINDOWS\System32\svchost.exe
G:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
F:\Program Files\Folding@Home\FahCore_78.exe
G:\Program Files\MSN Messenger\usnsvc.exe
G:\Program Files\Trend Micro\HijackThis\test.exe
G:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - G:\Program Files\Fichiers communs\Justdo\Jd2002.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - F:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] G:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "G:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3200] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [Windows Defender] "F:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Sunkist2k] G:\Program Files\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe
O4 - HKLM\..\Run: [WinVNC] "F:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SpeedFan] G:\Program Files\SpeedFan\speedfan.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\Comodo\Firewall\cfp.exe" -s
O4 - HKCU\..\Run: [MsnMsgr] "G:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ditto] G:\Program Files\Ditto\Ditto.exe
O4 - HKCU\..\Run: [RocketDock] "G:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "G:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [LClock] G:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Buuf.CurXPTheme.lnk = ?
O4 - Startup: Folding@Home 5.03.lnk = ?
O4 - Startup: LClock.lnk = G:\Program Files\LClock\LClock.exe
O4 - Startup: UberIcon.lnk = G:\Program Files\UberIcon\UberIcon Manager.exe
O4 - Startup: YzShadow.lnk = G:\Program Files\YzShadow\YzShadow.exe
O4 - Global Startup: Logitech Profile Loader.lnk = F:\Program Files\Logitech Profil Loader\LPLoader.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Save Flash with Flash Catcher - res://G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL/FlashCatcher.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - G:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - F:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL
O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - G:\Program Files\Fichiers communs\Justdo\IECatcher.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O20 - AppInit_DLLs: G:\WINDOWS\system32\guard32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - G:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - G:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - G:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - G:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - G:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Program Files\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - F:\Program Files\UltraVNC\WinVNC.exe
0
Réponse 14 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 20:13
je viens de finir un scan avec spybot qui n'a rien trouvé
un autre est en cours par adaware.

je me retrouve dans la situation d'hier soir, et pourtant ce matin, en rallumant l'ordi, l'infection repartait...

reste t'il un autre code malicieux qui reste, non détecté, mais me réinfeste avec ces autres trojans ?
est ce une faille de sécurité dans mon système ? (mais je vois pas comment mieux protéger : suis derrière un routeur, antivirus actif, protection résidente tea timer de spybot et par windows defender, firewall comodo...)

dans tous les cas : merci beaucoup pour tes conseils et ta dispo cet après midi
0
Réponse 15 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 21:11
et bien l'a je dois dire que c'est propre nette et radical MDR
0
Réponse 16 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 21:47
http://www.worldlingo.com/...
http://www.worldlingo.com/...
http://www.worldlingo.com/...
sans commentaires
0
Réponse 17 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
1 déc. 2007 à 21:50
Merci pour l'aide mais, clairement, speedfan, je vois pas le problème, ultraVNC, c'est installé par moi depuis des lustres pour le controle des PC sur mon réseau local, et l'utilitaire nvidia...
0
Réponse 18 / 32
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
1 déc. 2007 à 21:58
ne fait pas attention au conseil de expert0
il ferait mieux de s'abstenir et de rester observateur
je me mets sur ton poste de combofix
je te donne réponse bientôt
@+
0
Réponse 19 / 32
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
1 déc. 2007 à 22:01
Salut,

C'est un gros troll qui squatte sur tous les topics. Il ne s'est même pas rendu compte qu'il avait répondu sur 3 topics d'une même personne.
FillPCA
0
Réponse 20 / 32
Spirzouf Messages postés 188 Date d'inscription mercredi 10 décembre 2003 Statut Membre Dernière intervention 27 novembre 2010 2
2 déc. 2007 à 16:46
Voici le rapport :

ComboFix 07-08-09.3 - "Cyril" 2007-12-02 16:31:43.3 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.1305 [GMT 1:00]
Command switches used :: G:\Documents and Settings\Cyril.XP-CORE2DUO\Bureau\CFScript.txt

FILE::
G:\WINDOWS\system32\uppifbvg.dll
G:\WINDOWS\system32\hilkkkkf.dll
G:\WINDOWS\system32\ivhvqkmf.dll
G:\WINDOWS\system32\plaotmqc.dll
G:\WINDOWS\system32\lioyvwey.dll
G:\WINDOWS\system32\ssqnnop.dll.vir
G:\WINDOWS\system32\drivers\cmdhlp.sys
G:\WINDOWS\system32\drivers\cmdGuard.sys


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


G:\WINDOWS\system32\drivers\cmdGuard.sys
G:\WINDOWS\system32\drivers\cmdhlp.sys
G:\WINDOWS\system32\hilkkkkf.dll
G:\WINDOWS\system32\ivhvqkmf.dll
G:\WINDOWS\system32\lioyvwey.dll
G:\WINDOWS\system32\plaotmqc.dll
G:\WINDOWS\system32\ssqnnop.dll.vir
G:\WINDOWS\system32\uppifbvg.dll


((((((((((((((((((((((((( Files Created from 2007-11-02 to 2007-12-02 )))))))))))))))))))))))))))))))


2007-12-01 15:46 <REP> d-------- G:\.Trash-ubuntu
2007-12-01 15:03 <REP> d-------- G:\VundoFix Backups
2007-12-01 13:55 <REP> d-------- G:\Program Files\Trend Micro
2007-11-30 22:59 <REP> d-------- G:\WINDOWS\system32\fr-fr
2007-11-29 11:00 145,984 --a------ G:\WINDOWS\system32\abhwuozx.dll.vir
2007-11-28 19:15 <REP> d-------- G:\Program Files\The Phrogram Company
2007-11-27 22:52 <REP> d-------- G:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Lavasoft
2007-11-27 22:47 268,662 --ahs---- G:\WINDOWS\system32\hjkmp.ini2
2007-11-27 22:32 51,200 --a------ G:\WINDOWS\NirCmd.exe
2007-11-22 21:36 139,008 --a------ G:\WINDOWS\system32\guard32.dll
2007-11-12 19:33 <REP> d-------- G:\WINDOWS\SxsCaPendDel
2007-11-10 18:13 <REP> d-------- G:\DOCUME~1\Sandrine\APPLIC~1\Thunderbird
2007-11-10 18:12 <REP> d-------- G:\DOCUME~1\Sandrine\APPLIC~1\Comodo
2007-11-09 09:54 25,280 --a------ G:\WINDOWS\system32\drivers\hamachi.sys
2007-11-09 09:54 <REP> d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Hamachi
2007-11-07 16:01 <REP> d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Megaupload
2007-11-04 12:04 <REP> d-------- G:\Program Files\DivX
2007-11-04 12:00 <REP> d-------- G:\DOCUME~1\CYRIL~1.XP-\dwhelper


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-12-02 16:31 --------- d-------- G:\Program Files\Mozilla Thunderbird
2007-12-02 16:30 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Ditto
2007-12-02 16:20 --------- d-------- G:\Program Files\SpeedFan
2007-12-01 20:26 --------- d-------- G:\Program Files\Windows Live Safety Center
2007-11-30 09:13 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\OpenOffice.org2
2007-11-30 09:00 --------- d-------- G:\Program Files\SwitchSniffer
2007-11-28 22:07 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Azureus
2007-11-27 22:53 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Lavasoft
2007-11-27 22:51 --------- d-------- G:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-26 00:04 --------- d-------- G:\Program Files\LClock
2007-11-22 21:36 --------- d-------- G:\DOCUME~1\CYRIL~1.XP-\APPLIC~1\Comodo
2007-11-19 14:07 5642 --a------ G:\WINDOWS\mozver.dat
2007-11-07 16:00 --------- d--h----- G:\Program Files\InstallShield Installation Information
2007-10-29 08:32 83716 --a------ G:\WINDOWS\system32\perfc00C.dat
2007-10-29 08:32 504458 --a--c--- G:\WINDOWS\system32\perfh00C.dat
2007-10-28 10:59 --------- d-------- G:\Program Files\Fichiers communs\Justdo
2007-10-25 17:56 8510976 --a--c--- G:\WINDOWS\system32\dllcache\shell32.dll
2007-10-20 01:56 200704 --a------ G:\WINDOWS\system32\ssldivx.dll
2007-10-20 01:56 1044480 --a------ G:\WINDOWS\system32\libdivx.dll
2007-10-05 21:37 --------- d-------- G:\Program Files\Skyline
2007-10-03 20:38 409600 --a------ G:\WINDOWS\system32\wrap_oal.dll
2007-10-03 20:38 114688 --a------ G:\WINDOWS\system32\OpenAL32.dll
2007-10-03 20:38 --------- d-------- G:\Program Files\OpenAL
2007-10-02 14:49 --------- d-------- G:\Program Files\ASUS
2007-09-14 20:54 46080 --a--c--- G:\WINDOWS\system32\dllcache\ftp.exe
2007-09-14 20:54 46080 --a------ G:\WINDOWS\system32\ftp.exe
2007-09-06 11:09 801144 --a------ G:\WINDOWS\system32\aswBoot.exe
2007-09-06 11:00 95608 --a------ G:\WINDOWS\system32\AVASTSS.scr
2006-06-23 07:48 32768 -ra------ G:\WINDOWS\inf\UpdateUSB.exe
2001-05-24 11:59 162304 --a------ G:\Program Files\UNWISE.EXE


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"nwiz"="nwiz.exe" [2007-04-19 12:26 G:\WINDOWS\system32\nwiz.exe]
"SoundMAXPnP"="G:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 11:07]
"SoundMAX"="G:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 09:19]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 12:03 G:\WINDOWS\KHALMNPR.Exe]
"EPSON Stylus CX3200"="G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2002-07-01 03:05]
"Windows Defender"="F:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 18:20]
"Sunkist2k"="G:\Program Files\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe" [2005-06-29 19:10]
"WinVNC"="F:\Program Files\UltraVNC\WinVNC.exe" [2006-07-17 15:44]
"SpeedFan"="G:\Program Files\SpeedFan\speedfan.exe" [2006-10-12 17:33]
"NvMediaCenter"="G:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 12:26]
"NvCplDaemon"="G:\WINDOWS\system32\NvCpl.dll" [2007-04-19 12:26]
"SunJavaUpdateSched"="G:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"COMODO Firewall Pro"="G:\Program Files\Comodo\Firewall\cfp.exe" [2007-11-22 21:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="G:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"Ditto"="G:\Program Files\Ditto\Ditto.exe" [2006-08-04 12:20]
"RocketDock"="G:\Program Files\RocketDock\RocketDock.exe" [2006-08-16 07:00]
"H/PC Connection Agent"="G:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:45]
"LClock"="G:\Program Files\LClock\lclock.exe" [2004-09-19 19:27]
"SpybotSD TeaTimer"="F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"= G:\WINDOWS\system32\guard32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 G:\WINDOWS\system32\pmkjh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Picasa Media Detector"=F:\Program Files\Picasa2\PicasaMediaDetector.exe
"NvCplDaemon"=RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
"DAEMON Tools"="F:\Program Files\DAEMON Tools\daemon.exe" -lang 1036

R0 Inspect;COMODO Firewall Pro Firewall Driver;G:\WINDOWS\system32\DRIVERS\inspect.sys
R0 speedfan;speedfan;G:\WINDOWS\system32\speedfan.sys
R1 AsIO;AsIO;G:\WINDOWS\system32\drivers\AsIO.sys
R1 vcdrom;Virtual CD-ROM Device Driver;\??\F:\Program Files\Microsoft Virtual CD\VCdRom.sys
R2 LBeepKE;LBeepKE;G:\WINDOWS\system32\Drivers\LBeepKE.sys
R2 vnccom;vnccom;G:\WINDOWS\system32\Drivers\vnccom.SYS
R3 L8042Kbd;Logitech SetPoint Keyboard Driver;G:\WINDOWS\system32\DRIVERS\L8042Kbd.sys
R3 L8042mou;SetPoint PS/2 Mouse Filter Driver;G:\WINDOWS\system32\DRIVERS\L8042mou.Sys
R3 LMouKE;SetPoint Mouse Filter Driver;G:\WINDOWS\system32\DRIVERS\LMouKE.Sys
R3 MTsensor;ATK0110 ACPI UTILITY;G:\WINDOWS\system32\DRIVERS\ASACPI.sys
R3 ovt519;VGA USB Camera;G:\WINDOWS\system32\Drivers\ov519vid.sys
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver;G:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
R3 SenFiltService;SenFilt Service;G:\WINDOWS\system32\drivers\Senfilt.sys
R3 vncdrv;vncdrv;G:\WINDOWS\system32\DRIVERS\vncdrv.sys
S1 cmdGuard;COMODO Firewall Pro Sandbox Driver;G:\WINDOWS\system32\DRIVERS\cmdguard.sys
S1 cmdHlp;COMODO Firewall Pro Helper Driver;G:\WINDOWS\system32\DRIVERS\cmdhlp.sys
S2 MobiCap;fix8 Virtual Webcam, WDM Video Capture;G:\WINDOWS\system32\DRIVERS\MobiCap.sys
S3 GMSIPCI;GMSIPCI;\??\D:\INSTALL\GMSIPCI.SYS
S3 idsvc;Windows CardSpace;"G:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"
S3 SunkFilt;Alcor Micro Corp Reader;\??\G:\WINDOWS\System32\Drivers\sunkfilt.sys
S3 usb_rndisx;USB RNDIS Adapter;G:\WINDOWS\system32\DRIVERS\usb8023x.sys
S4 Boonty Games;Boonty Games;"G:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service;"G:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"


Contents of the 'Scheduled Tasks' folder
2007-12-02 15:38:34 G:\WINDOWS\Tasks\MP Scheduled Scan.job - F:\Program Files\Windows Defender\MpCmdRun.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-02 16:41:00
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-12-02 16:42:52 - machine was rebooted
G:\ComboFix-quarantined-files.txt ... 2007-12-02 16:42
G:\ComboFix2.txt ... 2007-12-01 21:11

--- E O F ---
0

Discussions similaires

Solution à un rebus
LisaPp -
Utilisateur anonyme -

1 réponse
Jeu Messenger, mot entre amis
Reine -
bendrop -

3 réponses
Emuler Linux sous Windows
Edoc -
Zap -

29 réponses
Jeu mots entre amis
Stepalex -
BEBERT85 -

4 réponses
The Island - Castaway Deluxe
nadine7373 -
titoine -

34 réponses