Analyse du log Hijackthis de mon pc

Résolu
EpikWiz Messages postés 64 Statut Membre -  
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjours a tous !
J'en appelle a votre sagesse. Mon PC est, a mon avis, très sale et engorgé. A ce que j'ai lu, je ne me trompe pas et dans une autre page de CCM, on recommande de soumettre le rapport de Hijackthis ici. Je ne m'essayerais pas seul de le désinfecter car la dernière fois que je me suis aventurer dans les méandres de mon pc, ca m'a couté 56 $ CAN...

Merci de me filler un coup de main. Je suis conscient que je ne suis pas le seul a vous implorer lol
EpikWiz

-------------------------------------------------------

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [NI.ERSV_0001_N91S1908] "c:\documents and settings\philippe\application data\errorsafefrspecialofferinstall[1].exe" -nag
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bw+0 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtoc

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème posé: un ordinateur apparemment très sale et engorgé fait apparaître de multiples processus système habituels et des éléments potentiellement indésirables, avec un rapport d'analyse détaillant les éléments suspects. Des conseils vers l'utilisation d'un rapport HijackThis comme base d'analyse et l'emploi prudent de ComboFix pour nettoyer les éléments indésirables, avec sauvegarde et création d'un point de restauration avant toute modification. En pratique, les logs montrent des entrées de démarrage et des services suspects, des redirections DNS et des modules tiers, nécessitant des suppressions prudentes et des vérifications complémentaires après chaque étape. D'autres éléments de l'analyse indiquent des éléments de configuration réseau et des commandes malveillantes susceptibles d'altérer la navigation et la sécurité, insistant sur une approche méthodique et répétée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonjour Epicwiz

    Ton rapport est incomplet, donc inexploitable, colle le dans son intégralité si tu veux pouvoir etre aidé ;-)

    Bonne journée.
    0
  2. EpikWiz Messages postés 64 Statut Membre 5
     
    Ah ok

    Voila le dernier log, j'ai tenté quelques choses manoeuvre que j'ai lu sur le site alors c'est normal qu'il soit différent...

    -------------------------------------------------------------

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:33:31, on 2007-12-05
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\HPZipm12.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Logitech\SetPoint\KEM.exe
    C:\WINDOWS\system32\UStorSrv.exe
    C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\MSN Messenger\msvs.exe
    C:\Program Files\MSN Messenger\msvs.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3} - C:\WINDOWS\system32\jkklk.dll
    O2 - BHO: (no name) - {20983C05-5D8C-4EE9-A377-50B687138E19} - C:\WINDOWS\system32\gebya.dll
    O2 - BHO: (no name) - {329E3DEE-D958-4C0E-93CF-FD145318493E} - C:\WINDOWS\system32\vtstr.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {FD2A7D3A-3DA1-4CA5-AD39-B4C3A72B567F} - C:\WINDOWS\system32\ljjihii.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    O4 - HKLM\..\Run: [NI.ERSV_0001_N91S1908] "c:\documents and settings\philippe\application data\errorsafefrspecialofferinstall[1].exe" -nag
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Uplo
    0
  3. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Manque les O23
    0
  4. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    J aurai besoin de ton rapport Hijackthis en entier, il manque les O23

    1) VundoFix.exe par Atribune

    Télécharge VundoFix.exe par Atribune http://www.atribune.org/content/view/24/2/ sur ton Bureau.

    * Double-clique sur VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    2)Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    N'y touche pas pour le moment.

    3) Lance HijackThis.

    Je te conseille d'enregistrer toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

    Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
    Clique sur Scan Only et coche les lignes suivantes :


    O4 - HKLM\..\Run: [NI.ERSV_0001_N91S1908] "c:\documents and settings\philippe\application data\errorsafefrspecialofferinstall[1].exe" -nag
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user'


    Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
    Clique sur Fix Checked puis clique sur OK
    Puis ferme HijackThis.

    4) OTMoveIt (de Old_Timer)

    Double clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :
    Paste List of Files/Folders to be moved.

    c:\documents and settings\philippe\application data\errorsafefrspecialofferinstall[1].exe

    Clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaîtra dans le cadre Results.
    Clique sur Exit pour fermer.

    Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.


    5) Rapports :

    --> Poste en reponse :

    * Le rapport de VundoFix situé dans C:\vundofix.txt
    * Le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
    * Un nouveau rapport hijackthis en entier

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. EpikWiz Messages postés 64 Statut Membre 5
     
    Voila les O23, je ne sais pas pourquoi ils n'ont pas été affiché hier, j'ai cpoy paster le contenu du log pourtant...

    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
    O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
    0
  7. EpikWiz Messages postés 64 Statut Membre 5
     
    Merci pour tes réponses Le sioux. Vraiment apprécié
    0
  8. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir epikWiz

    Avec plaisir ;-)

    As tu fait ce que je t'ai demandé poste 5

    Il me faut maintenant :

    * Le rapport de VundoFix situé dans C:\vundofix.txt
    * Le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
    * Un nouveau rapport hijackthis en entier

    @ suivre
    0
  9. EpikWiz Messages postés 64 Statut Membre 5
     
    Voila pour le log de VundoFix

    VundoFix V6.7.0

    Checking Java version...

    Java version is 1.5.0.3
    Old versions of java are exploitable and should be removed.

    Scan started at 15:50:46 2007-12-06

    Listing files found while scanning....

    C:\WINDOWS\system32\awvvs.dll
    C:\windows\system32\bgpardds.ini
    C:\windows\system32\dkhqvaht.ini
    C:\windows\system32\fcjtspqr.ini
    C:\windows\system32\frfeavoj.dll
    C:\windows\system32\hsqhdjgu.ini
    C:\windows\system32\ihprerax.ini
    C:\windows\system32\jovaefrf.ini
    C:\WINDOWS\system32\ljjihii.dll
    C:\windows\system32\rqpstjcf.dll
    C:\windows\system32\sddrapgb.dll
    C:\WINDOWS\system32\svvwa.tmp
    C:\windows\system32\thavqhkd.dll
    C:\windows\system32\ugjdhqsh.dll
    C:\windows\system32\xarerphi.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\bgpardds.ini
    C:\windows\system32\bgpardds.ini Has been deleted!

    Attempting to delete C:\windows\system32\dkhqvaht.ini
    C:\windows\system32\dkhqvaht.ini Has been deleted!

    Attempting to delete C:\windows\system32\fcjtspqr.ini
    C:\windows\system32\fcjtspqr.ini Has been deleted!

    Attempting to delete C:\windows\system32\frfeavoj.dll
    C:\windows\system32\frfeavoj.dll Has been deleted!

    Attempting to delete C:\windows\system32\hsqhdjgu.ini
    C:\windows\system32\hsqhdjgu.ini Has been deleted!

    Attempting to delete C:\windows\system32\ihprerax.ini
    C:\windows\system32\ihprerax.ini Has been deleted!

    Attempting to delete C:\windows\system32\jovaefrf.ini
    C:\windows\system32\jovaefrf.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ljjihii.dll
    C:\WINDOWS\system32\ljjihii.dll Could not be deleted.

    Attempting to delete C:\windows\system32\rqpstjcf.dll
    C:\windows\system32\rqpstjcf.dll Has been deleted!

    Attempting to delete C:\windows\system32\sddrapgb.dll
    C:\windows\system32\sddrapgb.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\svvwa.tmp
    C:\WINDOWS\system32\svvwa.tmp Has been deleted!

    Attempting to delete C:\windows\system32\thavqhkd.dll
    C:\windows\system32\thavqhkd.dll Has been deleted!

    Attempting to delete C:\windows\system32\ugjdhqsh.dll
    C:\windows\system32\ugjdhqsh.dll Has been deleted!

    Attempting to delete C:\windows\system32\xarerphi.dll
    C:\windows\system32\xarerphi.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\ljjihii.dll
    C:\WINDOWS\system32\ljjihii.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.7.0

    Checking Java version...

    Java version is 1.5.0.3
    Old versions of java are exploitable and should be removed.

    Scan started at 11:36:56 2007-12-07

    Listing files found while scanning....

    C:\WINDOWS\system32\awvvs.dll

    Beginning removal...

    Performing Repairs to the registry.
    Done!

    --------------------------------------------------------------------------

    Je n'arrive pas a trouver le rapport de OTMoveit. Je l'ai relancé, j'ai recopier le chemin d'accès que tu m'as fourni au post 5 j'ai cliquer sur MoveIt, j'ai du rebooter et ...pas de log

    --------------------------------------------------------------------------

    Nouveau rapport HijackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:03:34, on 2007-12-07
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\Logitech\SetPoint\KEM.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
    C:\WINDOWS\system32\UStorSrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3} - C:\WINDOWS\system32\jkklk.dll (file missing)
    O2 - BHO: (no name) - {20983C05-5D8C-4EE9-A377-50B687138E19} - C:\WINDOWS\system32\gebya.dll (file missing)
    O2 - BHO: (no name) - {329E3DEE-D958-4C0E-93CF-FD145318493E} - C:\WINDOWS%
    0
  10. EpikWiz Messages postés 64 Statut Membre 5
     
    Ca a d'l'air que le post a été coupé. Je te redonne le rapport the Hijackthis

    Nouveau rapport HijackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:03:34, on 2007-12-07
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\Logitech\SetPoint\KEM.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
    C:\WINDOWS\system32\UStorSrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3} - C:\WINDOWS\system32\jkklk.dll (file missing)
    O2 - BHO: (no name) - {20983C05-5D8C-4EE9-A377-50B687138E19} - C:\WINDOWS\system32\gebya.dll (file missing)
    O2 - BHO: (no name) - {329E3DEE-D958-4C0E-93CF-FD145318493E} - C:\WINDOWS\system32\vtstr.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
    O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2284A6E8-C61A-42A6-BBBD-36E70
    0
  11. EpikWiz Messages postés 64 Statut Membre 5
     
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2284A6E8-C61A-42A6-BBBD-36E70B1CDF62}: NameServer = 85.255.116.74,85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\..\{95373FD0-1CF8-470F-A51C-64A432095044}: NameServer = 85.255.116.74,85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9E531582-FC24-47C6-A2B4-0121A9726167}: NameServer = 85.255.116.74,85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D1E88733-377D-441C-88D4-8B48B8ABCE47}: NameServer = 85.255.116.74,85.255.112.189
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
    O18 - Protocol: bw+0 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
    O18 - Protocol: bw+0s - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
    O18 - Protocol: offline-8876480 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
    O20 - AppInit_DLLs:
    O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
    O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
    0
  12. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir EpikWizz

    Tu es infecté par Vundo, on finira de s'occupper de lui : il y a plus urgent --> redirection vers l ukraine

    http://www.dnsstuff.com/tools/whois.ch?ip=85.255.112.189

    On attaque :

    Je te conseille d'enregistrer la procédure qui suit en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscur, demande des explications avant de commencer la désinfection


    1) FixWareout de LonnyRJones


    * Télécharge FixWareout de LonnyRJones d'un de ces deux sites sur le bureau:

    http://download.bleepingcomputer.com/lonny/Fixwareout.exe
    http://downloads.subratam.org/Fixwareout.exe

    * Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    * Le fix va commencer, suis les messages à l'écran.
    * Il te sera demandé de redémarrer ton ordinateur, fais le.
    Ton système mettra un peu plus de temps au démarrage, c'est normal.
    * Sauvegarde sur ton Bureau le contenu du rapport qui va s'afficher à l'écran (report.txt) afin de le retrouver facilement plus tard.

    2) Lance HijackThis.

    Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

    Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
    Clique sur Scan Only et coche les lignes suivantes :

    O17 - HKLM\System\CCS\Services\Tcpip\..\{2284A6E8-C61A-42A6-BBBD-36E70B1CDF62}: NameServer = 85.255.116.74,85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\..\{95373FD0-1CF8-470F-A51C-64A432095044}: NameServer = 85.255.116.74,85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9E531582-FC24-47C6-A2B4-0121A9726167}: NameServer = 85.255.116.74,85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D1E88733-377D-441C-88D4-8B48B8ABCE47}: NameServer = 85.255.116.74,85.255.112.189
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
    O18 - Protocol: bw+0 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
    O18 - Protocol: bw+0s - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
    O18 - Protocol: offline-8876480 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll


    Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
    Clique sur Fix Checked puis clique sur OK
    Puis ferme hijackthis.

    3) Rapports

    Fais redémarrer ton PC et poste en réponse :

    * Un nouveau rapport HijackThis
    * Le rapport du FixwareOut que tu as sauvegardé sur ton Bureau

    @ suivre
    0
  13. EpikWiz Messages postés 64 Statut Membre 5
     
    Bonjour Le sioux. J'ai executer tout ce que tu m'a demander et voici les rapport

    ___________________________
    Fixwareout
    ___________________________

    Username "Philippe" - 2007-12-08 17:38:57 [Fixwareout edited 9/01/2007]

    ~~~~~ Prerun check
    HKLM\SOFTWARE\~\Winlogon\ "System"="kdhwd.exe"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    "nameserver"="85.255.116.74 85.255.112.189" <Value cleared.
    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{2284A6E8-C61A-42A6-BBBD-36E70B1CDF62}
    "nameserver"="85.255.116.74,85.255.112.189" <Value cleared.
    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{95373FD0-1CF8-470F-A51C-64A432095044}
    "nameserver"="85.255.116.74,85.255.112.189" <Value cleared.
    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{9E531582-FC24-47C6-A2B4-0121A9726167}
    "nameserver"="85.255.116.74,85.255.112.189" <Value cleared.
    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D1E88733-377D-441C-88D4-8B48B8ABCE47}
    "nameserver"="85.255.116.74,85.255.112.189" <Value cleared.
    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{95373FD0-1CF8-470F-A51C-64A432095044}
    "DhcpNameServer"="85.255.116.74,85.255.112.189" <Value cleared.
    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{9E531582-FC24-47C6-A2B4-0121A9726167}
    "DhcpNameServer"="85.255.116.74,85.255.112.189" <Value cleared.

    Cache de résolution DNS vidé.

    System was rebooted successfully.

    ~~~~~ Postrun check
    HKLM\SOFTWARE\~\Winlogon\ "system"=""
    ....
    ....
    ~~~~~ Misc files.
    ....
    ~~~~~ Checking for older varients.
    ....
    ~~~~~ Other
    C:\WINDOWS\Temp\kdhwd.ren 75792 2007-06-13

    ~~~~~ Current runs (hklm hkcu "run" Keys Only)
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
    "SoundMan"="SOUNDMAN.EXE"
    "SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
    "AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PowerBar"=""
    "LDM"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"
    "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater]
    ....
    Hosts file was reset, If you use a custom hosts file please replace it...
    ~~~~~ End report ~~~~~
    0
  14. EpikWiz Messages postés 64 Statut Membre 5
     
    ________________________________
    Hijackthis
    Un seul hic: Lors du scan, il n'y avait pas de O17 dans le log. J'ai coché les O18(qui étaient tous là), mais aucun O17...
    ________________________________

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:50:28, on 2007-12-08
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\UStorSrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Logitech\SetPoint\KEM.exe
    C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3} - C:\WINDOWS\system32\jkklk.dll (file missing)
    O2 - BHO: (no name) - {20983C05-5D8C-4EE9-A377-50B687138E19} - C:\WINDOWS\system32\gebya.dll (file missing)
    O2 - BHO: (no name) - {329E3DEE-D958-4C0E-93CF-FD145318493E} - C:\WINDOWS\system32\vtstr.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
    O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary
    0
  15. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir epikWizz

    Il te faut bien lire en intégralité ce que je te demande ... je t ai demandé :

    Fais redémarrer ton PC et poste en réponse :

    * Un nouveau rapport HijackThis
    * Le rapport du FixwareOut que tu as sauvegardé sur ton Bureau

    Il me manque donc le rapport d'HijackThis en entier

    Poste le donc que l'on puisse continuer.

    @ +
    0
  16. EpikWiz Messages postés 64 Statut Membre 5
     
    (suite du rapport de Hijackthis:

    O20 - AppInit_DLLs:
    O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
    O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
    0
  17. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir epikWizz

    On continu ;-)

    Télécharge combofix.exe de sUBs sur ton Bureau.

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Double clique combofix.exe.
    * Tape sur la touche 1 (Yes) pour démarrer le scan.
    * Lorsque le scan sera terminé, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    ( Note : Le rapport se trouve également ici : C:\Combofix.txt )

    @ suivre
    0
  18. EpikWiz Messages postés 64 Statut Membre 5
     
    Voici le rapport de Combofix
    _______________________________________________

    ComboFix 07-12-09.1 - Philippe 2007-12-10 19:34:40.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.506 [GMT -5:00]
    Running from: C:\Documents and Settings\Philippe\Mes documents\program utile mais futile\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Program Files\dobe~1
    C:\Program Files\Fichiers communs\{286A7~1
    C:\Program Files\icroso~1.net
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\icroso~1
    C:\WINDOWS\smante~1
    C:\WINDOWS\system32\appatc~1
    C:\WINDOWS\system32\crosof~1.net
    C:\WINDOWS\system32\curity~1
    C:\WINDOWS\system32\fnts~1
    C:\WINDOWS\system32\icroso~1.net
    C:\WINDOWS\system32\mantec~1
    C:\WINDOWS\system32\pppatc~1
    C:\WINDOWS\system32\pppatc~2
    C:\WINDOWS\system32\rasqervy.dll
    C:\WINDOWS\system32\sdfinacs.dll
    C:\WINDOWS\system32\sembly~1
    C:\WINDOWS\system32\sks~1
    C:\WINDOWS\system32\smante~1
    C:\WINDOWS\system32\smbols~1
    C:\WINDOWS\system32\wnsinticomsv.exe
    C:\WINDOWS\system32\wnsxs~1
    C:\WINDOWS\system32\wuasirvy.dll
    C:\WINDOWS\system32\ymbols~1
    C:\WINDOWS\system32\ystem3~1
    C:\WINDOWS\Temp\4868021784.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_DOMAINSERVICE

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-11 to 2007-12-11 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-10 09:33 . 2007-12-10 09:33 <REP> d-------- C:\Program Files\Microsoft Works
    2007-12-05 21:02 . 2007-12-10 19:28 5 --a------ C:\WINDOWS\system32\sdfixwcs.dll
    2007-12-05 20:07 . 2007-12-10 07:06 17,920 --a------ C:\WINDOWS\msacm32.drv
    2007-12-04 22:43 . 2007-12-04 22:43 286,961 ---hs---- C:\WINDOWS\system32\klkkj.bak1
    2007-12-04 22:42 . 2007-12-04 23:55 287,788 ---hs---- C:\WINDOWS\system32\klkkj.ini
    2007-12-04 20:15 . 2007-12-04 20:15 287,004 ---hs---- C:\WINDOWS\system32\rtstv.bak1
    2007-12-04 20:14 . 2007-12-04 20:36 291,919 ---hs---- C:\WINDOWS\system32\rtstv.ini
    2007-12-04 19:12 . 2007-12-04 19:12 286,961 ---hs---- C:\WINDOWS\system32\pqtwa.bak1
    2007-12-04 19:11 . 2007-12-04 19:17 287,377 ---hs---- C:\WINDOWS\system32\pqtwa.ini
    2007-12-04 18:11 . 2007-12-04 18:11 287,270 ---hs---- C:\WINDOWS\system32\vyadd.bak2
    2007-12-04 17:37 . 2007-12-04 17:37 286,961 ---hs---- C:\WINDOWS\system32\vyadd.bak1
    2007-12-04 17:36 . 2007-12-04 18:14 287,704 ---hs---- C:\WINDOWS\system32\vyadd.ini
    2007-12-04 15:35 . 2007-12-04 15:35 287,000 ---hs---- C:\WINDOWS\system32\mmllm.bak2
    2007-12-04 13:29 . 2007-12-04 15:42 287,697 ---hs---- C:\WINDOWS\system32\mmllm.ini
    2007-12-03 23:30 . 2007-12-03 23:30 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-03 23:09 . 2007-12-03 23:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
    2007-12-03 23:09 . 2007-12-03 23:11 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
    2007-12-03 23:08 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
    2007-12-03 23:07 . 2007-12-04 18:15 <REP> d-------- C:\WINDOWS\Internet Logs
    2007-12-02 15:17 . 2007-12-04 15:45 7,671 ---hs---- C:\WINDOWS\system32\mlkkj.bak2
    2007-12-02 10:45 . 2007-12-02 10:45 286,960 ---hs---- C:\WINDOWS\system32\mlkkj.bak1
    2007-12-02 10:45 . 2007-12-04 18:10 6,624 ---hs---- C:\WINDOWS\system32\mlkkj.ini
    2007-12-01 21:54 . 2007-12-01 21:54 288,439 ---hs---- C:\WINDOWS\system32\wvvwa.bak2
    2007-12-01 21:44 . 2007-12-02 00:50 288,207 ---hs---- C:\WINDOWS\system32\wvvwa.ini
    2007-12-01 21:44 . 2007-12-01 21:44 287,000 ---hs---- C:\WINDOWS\system32\wvvwa.bak1
    2007-12-01 17:56 . 2007-12-01 20:08 12,634 ---hs---- C:\WINDOWS\system32\ututv.bak2
    2007-11-29 08:45 . 2007-11-29 12:05 288,299 ---hs---- C:\WINDOWS\system32\bbeeg.ini
    2007-11-29 08:45 . 2007-11-29 08:45 288,028 ---hs---- C:\WINDOWS\system32\bbeeg.bak1
    2007-11-29 07:30 . 2007-12-05 07:34 7,887 ---hs---- C:\WINDOWS\system32\rttss.bak2
    2007-11-28 23:28 . 2007-12-03 23:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2007-11-28 23:28 . 2007-11-28 23:28 1,409 --a------ C:\WINDOWS\QTFont.for
    2007-11-28 21:40 . 2007-11-28 21:40 288,902 ---hs---- C:\WINDOWS\system32\rqtss.ini
    2007-11-28 21:08 . 2007-11-28 21:16 288,832 ---hs---- C:\WINDOWS\system32\rqtss.ini2
    2007-11-27 17:05 . 2007-11-27 16:00 308,159 --ahs---- C:\WINDOWS\system32\rstwa.ini
    2007-11-27 16:00 . 2007-11-29 22:57 308,219 ---hs---- C:\WINDOWS\system32\rstwa.ini2
    2007-11-27 15:25 . 2007-11-27 16:00 308,159 ---hs---- C:\WINDOWS\system32\rstwa.tmp
    2007-11-27 06:46 . 2007-11-27 06:46 <REP> d-------- C:\Program Files\PowerQuest
    2007-11-26 21:39 . 2007-11-28 21:50 22,765 ---hs---- C:\WINDOWS\system32\rstwa.bak2
    2007-11-26 21:37 . 2007-11-26 21:37 6,473 ---hs---- C:\WINDOWS\system32\rstwa.bak1
    2007-11-20 16:06 . 2007-11-20 20:23 289,822 ---hs---- C:\WINDOWS\system32\qrutv.bak2
    2007-11-20 15:04 . 2007-11-20 15:04 289,681 ---hs---- C:\WINDOWS\system32\qtvwa.bak2
    2007-11-19 22:29 . 2007-11-20 15:23 290,340 ---hs---- C:\WINDOWS\system32\qtvwa.ini
    2007-11-19 22:29 . 2007-11-19 22:29 288,626 ---hs---- C:\WINDOWS\system32\qtvwa.bak1
    2007-11-19 12:09 . 2007-11-19 13:00 292,144 ---hs---- C:\WINDOWS\system32\qstwa.tmp
    2007-11-19 10:56 . 2007-11-20 22:32 303,299 ---hs---- C:\WINDOWS\system32\qrutv.ini
    2007-11-19 10
    0
  19. EpikWiz Messages postés 64 Statut Membre 5
     
    2007-11-19 10:56 . 2007-11-19 10:56 288,626 ---hs---- C:\WINDOWS\system32\qrutv.bak1
    2007-11-18 21:06 . 2007-11-20 07:55 289,189 ---hs---- C:\WINDOWS\system32\edeeg.bak2
    2007-11-18 18:25 . 2007-11-18 18:25 6,473 ---hs---- C:\WINDOWS\system32\edeeg.bak1
    2007-11-18 18:24 . 2007-11-20 08:05 289,421 ---hs---- C:\WINDOWS\system32\edeeg.ini
    2007-11-16 23:49 . 2007-11-26 17:22 <REP> d-------- C:\Downloads
    2007-11-16 23:49 . 2007-11-16 23:54 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\uTorrent
    2007-11-16 05:33 . 2007-11-16 05:33 289,176 ---hs---- C:\WINDOWS\system32\rttss.bak1
    2007-11-16 05:33 . 2007-12-05 07:42 6,571 ---hs---- C:\WINDOWS\system32\rttss.ini
    2007-11-13 07:38 . 2007-11-14 07:38 669,053 ---hs---- C:\WINDOWS\system32\datenacj.ini
    2007-11-13 06:27 . 2007-11-13 07:05 662,247 ---hs---- C:\WINDOWS\system32\qllohuje.ini
    2007-11-12 23:41 . 2007-11-13 06:24 620,345 ---hs---- C:\WINDOWS\system32\hmhohiiw.ini
    2007-11-12 22:51 . 2007-11-12 22:51 590,356 ---hs---- C:\WINDOWS\system32\phctnyor.ini
    2007-11-12 10:20 . 2007-11-12 10:20 6,473 ---hs---- C:\WINDOWS\system32\onnmp.bak1
    2007-11-12 10:19 . 2007-11-13 06:24 7,285 ---hs---- C:\WINDOWS\system32\onnmp.ini
    2007-11-12 07:26 . 2007-11-12 12:01 582,986 ---hs---- C:\WINDOWS\system32\nnsgbcyj.ini
    2007-11-12 07:25 . 2007-11-14 07:35 487,405 ---hs---- C:\WINDOWS\system32\aybeg.bak2
    2007-11-11 16:32 . 2007-11-12 07:19 584,476 ---hs---- C:\WINDOWS\system32\lorcweoc.ini
    2007-11-11 12:32 . 2007-11-11 15:37 584,476 ---hs---- C:\WINDOWS\system32\kiuqfhmc.ini
    2007-11-11 10:11 . 2007-11-11 12:32 289,559 ---hs---- C:\WINDOWS\system32\rqtwa.bak2
    2007-11-11 09:38 . 2007-11-11 09:38 584,536 ---hs---- C:\WINDOWS\system32\voaicfmu.ini
    2007-11-11 08:11 . 2007-11-11 09:37 584,476 ---hs---- C:\WINDOWS\system32\uyhnaypn.ini
    2007-11-11 08:05 . 2007-11-11 08:05 289,185 ---hs---- C:\WINDOWS\system32\rqtwa.bak1
    2007-11-11 08:04 . 2007-11-13 06:24 290,058 ---hs---- C:\WINDOWS\system32\rqtwa.ini

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-11 00:28 --------- d-----w C:\Documents and Settings\Philippe\Application Data\AVG7
    2007-12-10 22:19 --------- d-----w C:\Program Files\Warcraft III
    2007-12-10 17:26 3,932,160 ----a-w C:\Documents and Settings\!(Marilyne)!\ntuser.dat
    2007-12-10 17:09 --------- d-----w C:\Documents and Settings\!(Marilyne)!\Application Data\AVG7
    2007-12-10 14:27 --------- d-s---w C:\Documents and Settings\!(Marilyne)!\Application Data\Microsoft
    2007-12-09 17:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
    2007-12-08 03:47 --------- d--h--w C:\Documents and Settings\Philippe\Application Data\LimeWire
    2007-12-04 17:40 291,004 --sh--w C:\WINDOWS\system32\bcbeg.bak2
    2007-12-03 15:37 290,898 --sh--w C:\WINDOWS\system32\orqss.bak2
    2007-12-03 00:46 289,359 --sh--w C:\WINDOWS\system32\abeeg.bak2
    2007-12-01 18:23 --------- d--h--w C:\Program Files\LimeWire
    2007-11-27 12:24 --------- d-----w C:\Documents and Settings\Philippe\Application Data\Azureus
    2007-11-27 00:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-11-22 20:32 13,067 --sh--w C:\WINDOWS\system32\llkkj.bak2
    2007-11-20 20:13 --------- d-----w C:\Program Files\Java
    2007-11-11 00:48 290,229 --sh--w C:\WINDOWS\system32\yycdd.bak2
    2007-11-09 15:25 289,185 --sh--w C:\WINDOWS\system32\ututv.bak1
    2007-11-09 13:07 289,225 --sh--w C:\WINDOWS\system32\gjkmp.bak1
    2007-11-09 05:30 289,185 --sh--w C:\WINDOWS\system32\ycbeg.bak2
    2007-11-09 00:36 289,185 --sh--w C:\WINDOWS\system32\aybeg.bak1
    2007-11-08 23:16 289,831 --sh--w C:\WINDOWS\system32\stvwa.bak2
    2007-11-08 12:00 287,768 --sh--w C:\WINDOWS\system32\yycdd.bak1
    2007-11-08 02:59 287,768 --sh--w C:\WINDOWS\system32\yccdd.bak2
    2007-11-07 19:08 287,275 --sh--w C:\WINDOWS\system32\nqtwa.bak2
    2007-11-07 14:46 284,802 --sh--w C:\WINDOWS\system32\nqtwa.bak1
    2007-11-07 12:23 284,802 --sh--w C:\WINDOWS\system32\abeeg.bak1
    2007-11-07 01:57 284,842 --sh--w C:\WINDOWS\system32\bcbeg.bak1
    2007-11-06 21:38 284,802 --sh--w C:\WINDOWS\system32\stvwa.bak1
    2007-11-06 17:10 284,842 --sh--w C:\WINDOWS\system32\ttutv.bak1
    2007-11-05 20:35 75,328 ----a-w C:\WINDOWS\system32\imqbjahq.exe
    2007-11-05 12:17 75,328 ----a-w C:\WINDOWS\system32\nxmrmcxs.exe
    2007-11-04 23:58 75,328 ----a-w C:\WINDOWS\system32\monciqyy.exe
    2007-11-04 13:03 75,328 ----a-w C:\WINDOWS\system32\awmsyydl.exe
    2007-11-03 15:27 6,473 --sh--w C:\WINDOWS\system32\srutv.bak2
    2007-11-03 14:35 75,328 ----a-w C:\WINDOWS\system32\mabncaji.exe
    2007-11-03 12:55 6,473 --sh--w C:\WINDOWS\system32\srutv.bak1
    2007-10-15 02:04 579,235 --sh--w C:\WINDOWS\system32\nqtss.bak2
    2007-10-14 22:28 75,328 ----a-w C:\WINDOWS\system32\rmpnrcon.exe
    2007-10-14 13:04 75,328 ----a-w C:\WINDOWS\system32\imkigssu.exe
    2007-10-14 01:54 75,328 ----a-w C:\WINDOWS\system32\ahgsjabu.exe
    2007-10-14 01:54 573,358 --sh--w C:\WINDOWS\system32\nqtss.bak1
    2007-10-14 01:00 578,691 --sh--w C:\WINDOWS\system32\orqss.ini2
    2007-10-13 21:57 573,358 --sh--w C:\WINDOWS\system32\orqss.bak1
    2007-10-13 10:08 573,358 --sh--w C:\WINDOWS\system32\ddeeg.bak1
    2007-10-13 04:05 573,398 --sh--w C:\WINDOWS\system32\srqss.bak1
    2007-10-12 22:37 75,328 ----a-w C:\WINDOWS\system32\shwuqvna.exe
    2007-10-12 02:33 576,155 --sh--w C:\WINDOWS\system32\llkkj.bak1
    2007-10-11 11:49 75,328 ----a-w C:\WINDOWS\system32\rdakxxmv.exe
    2007-10-10 23:59 75,328 ----a-w C:\WINDOWS\system32\vpbxjmfa.exe
    2007-10-10 00:38 75,328 ----a-w C:\WINDO
    0
  20. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir EpikWiz

    Fais un effort pour me mettre les rapports en entier stp, sinon, je ne peux pas les exploiter, reposte le rapport de ComboFix dans son intégralité stp.

    J'y vois déjà un paquet de ménage a faire ...

    @ +
    0
  21. EpikWiz Messages postés 64 Statut Membre 5
     
    2007-10-09 19:18 75,328 ----a-w C:\WINDOWS\system32\rgqtejml.exe
    2007-10-09 12:57 617,501 --sh--w C:\WINDOWS\system32\ybeeg.bak2
    2007-10-09 02:54 8,794 --sh--w C:\WINDOWS\system32\ybeeg.ini2
    2007-10-09 00:37 75,328 ----a-w C:\WINDOWS\system32\iftwxakj.exe
    2007-10-08 23:04 6,473 --sh--w C:\WINDOWS\system32\ybeeg.bak1
    2007-10-08 12:23 75,328 ----a-w C:\WINDOWS\system32\fnfcgsnf.exe
    2007-10-08 12:16 75,328 ----a-w C:\WINDOWS\system32\bqsosyky.exe
    2007-10-08 00:13 75,328 ----a-w C:\WINDOWS\system32\ylmnrcte.exe
    2007-10-08 00:13 711,829 --sh--w C:\WINDOWS\system32\orutv.bak1
    2007-10-07 12:48 75,328 ----a-w C:\WINDOWS\system32\qluiqonn.exe
    2007-10-06 20:00 75,328 ----a-w C:\WINDOWS\system32\gdvtdlqw.exe
    2007-10-06 19:43 75,328 ----a-w C:\WINDOWS\system32\lqeoxcay.exe
    2007-10-06 12:01 75,328 ----a-w C:\WINDOWS\system32\aojvsrbo.exe
    2007-10-06 12:01 712,689 --sh--w C:\WINDOWS\system32\mnnmp.bak2
    2007-10-06 11:42 75,328 ----a-w C:\WINDOWS\system32\iviixrfp.exe
    2007-10-05 12:19 75,328 ----a-w C:\WINDOWS\system32\crpylthf.exe
    2007-10-05 11:24 75,328 ----a-w C:\WINDOWS\system32\tumikccf.exe
    2007-10-05 04:02 712,954 --sh--w C:\WINDOWS\system32\mnnmp.bak1
    2007-10-03 11:36 75,328 ----a-w C:\WINDOWS\system32\pmcpqthv.exe
    2007-10-03 11:20 75,328 ----a-w C:\WINDOWS\system32\iukkkvan.exe
    2007-10-03 02:07 75,328 ----a-w C:\WINDOWS\system32\xaxeypea.exe
    2007-10-02 15:25 75,328 ----a-w C:\WINDOWS\system32\rhcrfnoi.exe
    2007-10-02 11:23 75,328 ----a-w C:\WINDOWS\system32\chcokluk.exe
    2007-10-02 02:45 6,473 --sh--w C:\WINDOWS\system32\ihkmp.bak1
    2007-10-01 13:44 75,328 ----a-w C:\WINDOWS\system32\leunpcfu.exe
    2007-10-01 13:19 75,328 ----a-w C:\WINDOWS\system32\dbvxbmgp.exe
    2007-10-01 00:26 75,328 ----a-w C:\WINDOWS\system32\opcyoyeg.exe
    2007-09-30 18:03 964,459 --sh--w C:\WINDOWS\system32\yccdd.ini2
    2007-09-30 13:25 75,328 ----a-w C:\WINDOWS\system32\lkpynlmu.exe
    2007-09-30 12:58 75,328 ----a-w C:\WINDOWS\system32\qtncisdx.exe
    2007-09-30 00:00 75,328 ----a-w C:\WINDOWS\system32\xlngbmhh.exe
    2007-09-29 17:59 6,488 --sh--w C:\WINDOWS\system32\yccdd.bak1
    2007-09-28 19:14 960,609 --sh--w C:\WINDOWS\system32\rtutv.bak1
    2007-09-28 16:08 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
    2007-09-28 16:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
    2007-09-28 16:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
    2007-09-28 16:07 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
    2007-09-28 16:07 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
    2007-09-28 16:05 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
    2007-09-28 16:05 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
    2007-09-28 16:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
    2007-09-28 16:05 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
    2007-09-28 16:05 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
    2007-09-28 16:05 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
    2007-09-28 16:05 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
    2007-09-28 16:05 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
    2007-09-28 16:05 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
    2007-09-28 16:05 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
    2007-09-28 16:05 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
    2007-09-28 16:05 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
    2007-08-27 11:11 6,507 --sh--w C:\WINDOWS\system32\jjkkj.bak1
    2007-08-09 15:45 1,060,601 --sh--w C:\WINDOWS\system32\jjkkj.bak2
    2007-08-05 19:54 1,043,884 --sh--w C:\WINDOWS\system32\jjkkj.ini2
    2007-07-25 12:58 1,044,281 --sh--w C:\WINDOWS\system32\qqtss.bak1
    2007-07-26 12:59 1,051,747 --sh--w C:\WINDOWS\system32\qqtss.bak2
    2007-07-26 16:24 1,046,441 --sh--w C:\WINDOWS\system32\qqtss.ini2
    0
  • 1
  • 2
  • 3