DLL manquant après nettoyage StorageProtector

Jerome_J Messages postés 12 Statut Membre -  
 ^^Marie^^ -
Bonjour,

Mon pc a été infecté par storageprotector. J'ai suivi à la lettre les intructions données par jlpjlp dans une autre discussion et tout a bien été nettoyé. Merci beaucoup pour l'aide !!!!
Par contre, quand je redémarre le pc, il y a maintenant un message d'erreur me disant que le fichier suivant est introuvable:

C:\WINDOWS\System32\ixavjtdr.dll

J'ai fait une recherche sur le net et je n'ai aucun résultat. Que puis-je faire ?

Merci beaucoup pour votre aide !!!

Jerome
Configuration: Windows XP
Internet Explorer 6.0

24 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    re post l'hijack demander stp
    0
    1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
       
      slt pour infos

      smitfraudfix a été executé, je te laisse poursuivre

      bonne continuation
      0
  2. Jerome_J Messages postés 12 Statut Membre
     
    Voici le rapport :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:15:24, on 22/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\WINDOWS\vphc700.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
    C:\Program Files\Skype\Plugin Manager\skypePM.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Documents and Settings\Toto\Bureau\eden.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: {695a30a1-4252-cae9-2144-76688b1c6c5d} - {d5c6c1b8-8667-4412-9eac-25241a03a596} - C:\WINDOWS\system32\xqhopnfp.dll (file missing)
    O2 - BHO: (no name) - {EDD01B53-A0E2-4E91-9260-C7B620153C32} - C:\WINDOWS\system32\awtst.dll (file missing)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [d83154f4] rundll32.exe "C:\WINDOWS\system32\ixavjtdr.dll",b
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [DefenseNetSurfage] C:\Program Files\DefenseNetSurfage\GDC.exe
    O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: TrayMin710.exe.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  3. Utilisateur anonyme
     
    relance hijackthis do a scan systeme only coche la case devant ces ligne puis clic sur fix chequed

    O2 - BHO: {695a30a1-4252-cae9-2144-76688b1c6c5d} - {d5c6c1b8-8667-4412-9eac-25241a03a596} - C:\WINDOWS\system32\xqhopnfp.dll (file missing)
    O2 - BHO: (no name) - {EDD01B53-A0E2-4E91-9260-C7B620153C32} - C:\WINDOWS\system32\awtst.dll (file missing)
    O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
    0
  4. Utilisateur anonyme
     
    pardon j'avais oublie celle ci

    O4 - HKLM\..\Run: [d83154f4] rundll32.exe "C:\WINDOWS\system32\ixavjtdr.dll",b

    relance combofixcopie et colle le rapport ici
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Jerome_J Messages postés 12 Statut Membre
     
    J'ai fait comme indiqué, et c'est bon au démarrage du pc, plus de message d'erreur ! Merci beaucoup !

    voici le rapport de combofix:

    ComboFix 07-12-21.4 - Toto 2007-12-22 20:36:19.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.452 [GMT 1:00]
    Running from: C:\Documents and Settings\Toto\Local Settings\Temporary Internet Files\Content.IE5\T2DWLXS3\ComboFix[1].exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-22 to 2007-12-22 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-22 18:07 . 2007-12-22 18:14 <REP> d-------- C:\VundoFix Backups
    2007-12-22 17:39 . 2007-12-22 17:39 7,168 --a------ C:\WINDOWS\system32\windows
    2007-12-22 17:20 . 2007-12-22 17:20 <REP> d-------- C:\WINDOWS\system32\NtmsData
    2007-12-22 13:04 . 2007-12-22 13:04 244 --ah----- C:\sqmnoopt01.sqm
    2007-12-22 13:04 . 2007-12-22 13:04 232 --ah----- C:\sqmdata01.sqm
    2007-12-22 13:03 . 2007-12-22 13:03 244 --ah----- C:\sqmnoopt00.sqm
    2007-12-22 13:03 . 2007-12-22 13:03 232 --ah----- C:\sqmdata00.sqm
    2007-12-21 21:53 . 2007-12-22 16:40 941,130 ---hs---- C:\WINDOWS\system32\foemffuc.ini
    2007-12-20 19:40 . 2007-12-21 21:53 976,994 ---hs---- C:\WINDOWS\system32\ujdjjywk.ini
    2007-12-20 19:26 . 2007-12-20 19:26 <REP> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon
    2007-12-19 19:40 . 2007-12-20 17:58 979,040 ---hs---- C:\WINDOWS\system32\tjlbuehv.ini
    2007-12-19 19:34 . 2007-12-19 19:34 165,472 --a------ C:\WINDOWS\system32\bjgulnwb.dll
    2007-12-18 21:31 . 2007-12-22 16:41 <REP> d-------- C:\quarantine
    2007-12-18 20:26 . 2007-12-18 20:26 24,336 --a------ C:\WINDOWS\system32\tuvsqpn.dll
    2007-12-18 19:37 . 2007-12-19 19:37 989,312 ---hs---- C:\WINDOWS\system32\hdhshjng.ini
    2007-12-17 19:37 . 2007-12-18 18:40 969,867 ---hs---- C:\WINDOWS\system32\gdkjvjme.ini
    2007-12-16 12:25 . 2007-12-17 19:36 970,393 ---hs---- C:\WINDOWS\system32\dumlhehp.ini
    2007-12-15 09:58 . 2007-12-16 12:20 971,945 ---hs---- C:\WINDOWS\system32\akakmabb.ini
    2007-12-14 08:50 . 2007-12-15 09:52 953,103 ---hs---- C:\WINDOWS\system32\pcgpwqum.ini
    2007-12-13 20:44 . 2007-12-13 20:44 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
    2007-12-13 08:51 . 2007-12-14 08:47 929,527 ---hs---- C:\WINDOWS\system32\mjbmaruu.ini
    2007-12-08 14:13 . 2007-12-08 14:13 <REP> d-------- C:\WINDOWS\Sun
    2007-12-08 14:12 . 2007-12-08 14:12 <REP> d-------- C:\Program Files\Java
    2007-12-08 14:12 . 2007-12-08 14:12 <REP> d-------- C:\Program Files\Fichiers communs\Java
    2007-12-08 14:12 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
    2007-12-08 09:31 . 2007-12-08 09:31 <REP> d-------- C:\Documents and Settings\Toto\Contacts
    2007-12-08 09:26 . 2007-12-08 09:29 <REP> d-------- C:\Program Files\Windows Live
    2007-12-08 09:26 . 2007-12-08 09:29 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2007-12-08 09:26 . 2007-12-20 02:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2007-12-08 09:22 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
    2007-12-08 09:22 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
    2007-12-08 09:22 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
    2007-12-08 09:22 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
    2007-12-08 09:22 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
    2007-12-08 00:54 . 2007-12-13 20:37 <REP> d-------- C:\Documents and Settings\Toto\Application Data\AdobeUM

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-22 18:58 --------- d-----w C:\Documents and Settings\Toto\Application Data\Skype
    2007-12-14 09:24 --------- d-----w C:\Program Files\PokerAcademy2
    2007-11-04 11:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\PokerAcademy2
    2007-11-04 11:16 --------- d-----w C:\Documents and Settings\Toto\Application Data\PokerAcademy2
    2007-11-02 21:42 --------- d-----w C:\Program Files\Realtek
    2007-11-02 21:24 --------- d-----w C:\Program Files\Video Add-on
    2007-11-02 21:05 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
    2007-10-27 09:51 --------- d-----w C:\Documents and Settings\Toto\Application Data\ProtectionConue
    2007-10-27 09:45 --------- d-----w C:\Documents and Settings\Toto\Application Data\DefenseNetSurfage
    2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
    2007-09-02 13:24 19,560 ----a-w C:\Documents and Settings\Toto\Application Data\GDIPFONTCACHEV1.DAT
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-08-25 20:54]
    "DefenseNetSurfage"="C:\Program Files\DefenseNetSurfage\GDC.exe" []

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
    "nwiz"="nwiz.exe" [2006-08-16 08:35 C:\WINDOWS\system32\nwiz.exe]
    "SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]
    "ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 19:00]
    "McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 02:50]
    "Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 08:48]
    "phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 18:56]
    "NvMediaCenter"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 C:\WINDOWS\RTHDCPL.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlsf"="cmd.exe" [2004-08-19 15:09 C:\WINDOWS\system32\cmd.exe]
    "tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 14:52]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04]
    TrayMin710.exe.lnk - C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe [2007-09-02 10:34:59]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoRecentDocsMenu"= 1 (0x1)
    "NoSMHelp"= 1 (0x1)
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoDesktopCleanupWizard"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)
    "NoAutoUpdate"= 1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoRecentDocsMenu"= 1 (0x1)
    "NoSMHelp"= 1 (0x1)
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoDesktopCleanupWizard"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)
    "NoAutoUpdate"= 1 (0x1)

    R1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\system32\drivers\mvstdi5x.sys [2004-09-22 19:00]
    S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows [2007-12-22 17:39]
    S3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 13:21]

    *Newly Created Service* - ENTDRV51
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-22 20:37:10
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-22 20:37:35
    C:\ComboFix2.txt ... 2007-12-22 18:24

    Dernière petite chose :

    Mon icone de disque dur C: est un x rouge (au lieu d'un disque dur) ... il y a une solution à ce problème ?

    Merci d'avance.

    Jerome
    0
  7. Utilisateur anonyme
     
    je suis en train de regarder pour l'instant cherche et desinstal defenseNetSurfage !!! c'est une cochonerie ! je travail sur ton resultat combofix je te donnerais la suite demain !
    0
  8. Utilisateur anonyme
     
    bonjour as tu reussi a supprimer defenseNetSurfage ?
    0
  9. Jerome_J Messages postés 12 Statut Membre
     
    Bonjour,

    En fait, je ne sais pas trop ... il n'apparait plus dans mes registres, il n'est pas non plus dans les processus (ou alors sous un autre nom), mais la croix est toujours là !

    Hum ...

    Jerome
    0
  10. Utilisateur anonyme
     
    peu tu poster un nouvel hijackthis stp
    0
  11. Jerome_J Messages postés 12 Statut Membre
     
    Voici le rapport:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:15:29, on 23/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\WINDOWS\vphc700.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
    C:\Program Files\Skype\Plugin Manager\skypePM.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Documents and Settings\Toto\Bureau\eden.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: TrayMin710.exe.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  12. Utilisateur anonyme
     
    pardon j'ai etait un peu long , j'ai fait controler mon script par un grand marabou de ccm !!lol

    voici la procedure a executer

    1) Désinstallation programmes

    Démarrer / Paramètres /Panneau de config et dans Ajout/Suppression de programme , clique sur la ligne du programme a désinstaller

    Video Add-on

    puis clique sur supprimer et suis les demandes de la boite de dialogue qui s'ouvrira afin d'amener la désinstallation a son terme.

    Fais de même pour DefenseNetSurfage , si tu ne les trouve pas passe a l'étape suivantes

    Fais redémarrer ton PC si demander et jette ensuite les dossiers respectifs de ces 2 programmes dans C:\Program Files des programmes désinstallés.

    2) Suppression d'un service malveillant

    « Démarrer » / « Exécuter» / puis tape

    sc stop MSControlService valide par ok.

    « Démarrer » / « Exécuter» / puis tape

    sc delete MSControlService valide par ok.

    3) ComboFix avec CFScript :

    * Sélectionne le texte suivant (en gras) dans son intégralité :

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DefenseNetSurfage"=-
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService]

    File::
    C:\sqmnoopt01.sqm
    C:\sqmdata01.sqm
    C:\sqmnoopt00.sqm
    C:\sqmdata00.sqm
    C:\WINDOWS\system32\foemffuc.ini
    "C:\WINDOWS\system32\ujdjjywk.ini
    C:\WINDOWS\system32\tjlbuehv.ini
    C:\WINDOWS\system32\bjgulnwb.dll
    C:\WINDOWS\system32\tuvsqpn.dll
    C:\WINDOWS\system32\hdhshjng.ini
    C:\WINDOWS\system32\gdkjvjme.ini
    C:\WINDOWS\system32\dumlhehp.ini
    C:\WINDOWS\system32\akakmabb.ini
    C:\WINDOWS\system32\pcgpwqum.ini
    C:\WINDOWS\system32\mjbmaruu.ini
    C:\Documents and Settings\Toto\Bureau\eden.exe
    C:\WINDOWS\system32\windows

    Folder::
    "C:\Program Files\Video Add-on"
    C:\Program Files\DefenseNetSurfage
    C:\WINDOWS\system32\windows

    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt

    Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  13. Jerome_J Messages postés 12 Statut Membre
     
    Bonsoir !

    Merci beaucoup de me consacrer autant de temps !
    J'ai suivi ce qu'il fallait faire. Mais pas l'étape 1, car les programmes n'apparaissaient pas dans la liste.

    Voici le rapport Hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:42:19, on 23/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\WINDOWS\vphc700.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Skype\Plugin Manager\skypePM.exe
    C:\Documents and Settings\Toto\Bureau\eden.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: TrayMin710.exe.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  14. Utilisateur anonyme
     
    haaaa !! il fallait tout selectionner !!

    bon pour l'instant relance hijackthis do a scan systeme only puis fix c'est lignes

    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
    04 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
    Inconnu
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
    Inconnu
    O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
    O4 - Global Startup: TrayMin710.exe.lnk = ?
    0
  15. Utilisateur anonyme
     
    alors on continu

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\WINDOWS\system32\pcgpwqum.ini
    C:\WINDOWS\system32\akakmabb.ini
    C:\WINDOWS\system32\dumlhehp.ini
    C:\WINDOWS\system32\gdkjvjme.ini
    C:\WINDOWS\system32\hdhshjng.ini
    C:\WINDOWS\system32\tuvsqpn.dll
    C:\WINDOWS\system32\bjgulnwb.dll
    C:\WINDOWS\system32\tjlbuehv.ini
    C:\WINDOWS\system32\ujdjjywk.ini
    C:\WINDOWS\system32\foemffuc.ini

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    0
  16. Jerome_J Messages postés 12 Statut Membre
     
    Voici le rapport de OTMoveIt:

    C:\WINDOWS\system32\pcgpwqum.ini moved successfully.
    C:\WINDOWS\system32\akakmabb.ini moved successfully.
    C:\WINDOWS\system32\dumlhehp.ini moved successfully.
    C:\WINDOWS\system32\gdkjvjme.ini moved successfully.
    C:\WINDOWS\system32\hdhshjng.ini moved successfully.
    DllUnregisterServer procedure not found in C:\WINDOWS\system32\tuvsqpn.dll
    C:\WINDOWS\system32\tuvsqpn.dll NOT unregistered.
    C:\WINDOWS\system32\tuvsqpn.dll moved successfully.
    C:\WINDOWS\system32\bjgulnwb.dll unregistered successfully.
    C:\WINDOWS\system32\bjgulnwb.dll moved successfully.
    C:\WINDOWS\system32\tjlbuehv.ini moved successfully.
    C:\WINDOWS\system32\ujdjjywk.ini moved successfully.
    C:\WINDOWS\system32\foemffuc.ini moved successfully.

    Created on 12/23/2007 23:35:24

    Apparemment, un dll n'a pas été trouvé ou bougé ...

    Jerome
    0
  17. Utilisateur anonyme
     
    poste un nouvel hijackthis stp
    0
  18. Jerome_J Messages postés 12 Statut Membre
     
    Bonjour,

    Voici le nouvel Hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 09:27:15, on 24/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\WINDOWS\vphc700.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Toto\Bureau\eden.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  19. Utilisateur anonyme
     
    bonjour il faudrais que tu relance combofix stp ( c'est histoire de controler que tout sois parti ) passe de bonnes fetes
    0
  20. Jerome_J
     
    Joyeux Noel à toutes et à tous !

    Voici le rapport de Combofix:

    ComboFix 07-12-21.4 - Toto 2007-12-25 11:42:17.6 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.495 [GMT 1:00]
    Running from: C:\Documents and Settings\Toto\Bureau\ComboFix.exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-25 to 2007-12-25 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-23 17:20 . 2007-12-23 17:20 244 --ah----- C:\sqmnoopt06.sqm
    2007-12-23 17:20 . 2007-12-23 17:20 232 --ah----- C:\sqmdata06.sqm
    2007-12-23 01:43 . 2007-12-23 01:43 244 --ah----- C:\sqmnoopt05.sqm
    2007-12-23 01:43 . 2007-12-23 01:43 232 --ah----- C:\sqmdata05.sqm
    2007-12-23 01:33 . 2007-12-23 01:33 244 --ah----- C:\sqmnoopt04.sqm
    2007-12-23 01:33 . 2007-12-23 01:33 244 --ah----- C:\sqmnoopt03.sqm
    2007-12-23 01:33 . 2007-12-23 01:33 232 --ah----- C:\sqmdata04.sqm
    2007-12-23 01:33 . 2007-12-23 01:33 232 --ah----- C:\sqmdata03.sqm
    2007-12-23 01:32 . 2007-12-23 01:32 244 --ah----- C:\sqmnoopt02.sqm
    2007-12-23 01:32 . 2007-12-23 01:32 232 --ah----- C:\sqmdata02.sqm
    2007-12-22 22:31 . 2007-12-24 03:16 273 --a------ C:\WINDOWS\autogk.ini
    2007-12-22 21:32 . 2007-12-22 21:32 <REP> d-------- C:\Program Files\XviD
    2007-12-22 21:31 . 2007-12-22 21:31 <REP> d-------- C:\Program Files\Gabest
    2007-12-22 21:31 . 2007-12-22 21:31 <REP> d-------- C:\Program Files\AviSynth 2.5
    2007-12-22 21:31 . 2007-12-22 21:32 <REP> d-------- C:\Program Files\AutoGK
    2007-12-22 20:57 . 2007-12-22 20:57 <REP> d-------- C:\Program Files\DVD Decrypter
    2007-12-22 18:07 . 2007-12-22 18:14 <REP> d-------- C:\VundoFix Backups
    2007-12-22 17:39 . 2007-12-22 17:39 7,168 --a------ C:\WINDOWS\system32\windows
    2007-12-22 17:20 . 2007-12-22 17:20 <REP> d-------- C:\WINDOWS\system32\NtmsData
    2007-12-22 13:04 . 2007-12-22 13:04 244 --ah----- C:\sqmnoopt01.sqm
    2007-12-22 13:04 . 2007-12-22 13:04 232 --ah----- C:\sqmdata01.sqm
    2007-12-22 13:03 . 2007-12-22 13:03 244 --ah----- C:\sqmnoopt00.sqm
    2007-12-22 13:03 . 2007-12-22 13:03 232 --ah----- C:\sqmdata00.sqm
    2007-12-20 19:26 . 2007-12-20 19:26 <REP> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon
    2007-12-18 21:31 . 2007-12-22 16:41 <REP> d-------- C:\quarantine
    2007-12-13 20:44 . 2007-12-13 20:44 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
    2007-12-13 08:51 . 2007-12-14 08:47 929,527 ---hs---- C:\WINDOWS\system32\mjbmaruu.ini
    2007-12-08 14:13 . 2007-12-08 14:13 <REP> d-------- C:\WINDOWS\Sun
    2007-12-08 14:12 . 2007-12-08 14:12 <REP> d-------- C:\Program Files\Java
    2007-12-08 14:12 . 2007-12-08 14:12 <REP> d-------- C:\Program Files\Fichiers communs\Java
    2007-12-08 14:12 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
    2007-12-08 09:31 . 2007-12-08 09:31 <REP> d-------- C:\Documents and Settings\Toto\Contacts
    2007-12-08 09:26 . 2007-12-08 09:29 <REP> d-------- C:\Program Files\Windows Live
    2007-12-08 09:26 . 2007-12-08 09:29 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2007-12-08 09:26 . 2007-12-20 02:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2007-12-08 09:22 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
    2007-12-08 09:22 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
    2007-12-08 09:22 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
    2007-12-08 09:22 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
    2007-12-08 09:22 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
    2007-12-08 00:54 . 2007-12-13 20:37 <REP> d-------- C:\Documents and Settings\Toto\Application Data\AdobeUM

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-23 21:48 --------- d-----w C:\Documents and Settings\Toto\Application Data\Skype
    2007-12-14 09:24 --------- d-----w C:\Program Files\PokerAcademy2
    2007-11-04 11:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\PokerAcademy2
    2007-11-04 11:16 --------- d-----w C:\Documents and Settings\Toto\Application Data\PokerAcademy2
    2007-11-02 21:42 --------- d-----w C:\Program Files\Realtek
    2007-11-02 21:05 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
    2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
    2007-09-02 13:24 19,560 ----a-w C:\Documents and Settings\Toto\Application Data\GDIPFONTCACHEV1.DAT
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-22_18.23.37.59 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2004-09-01 14:49:56 284,672 ----a-w C:\WINDOWS\system32\avisynth.dll
    + 2004-02-23 13:41:30 719,872 ----a-w C:\WINDOWS\system32\devil.dll
    + 2002-10-15 22:54:04 153,088 ----a-w C:\WINDOWS\system32\unrar.dll
    + 2002-12-11 08:19:32 368,640 ----a-w C:\WINDOWS\system32\vobsub.dll
    + 2004-09-05 07:58:04 679,936 ----a-w C:\WINDOWS\system32\xvidcore.dll
    + 2004-09-05 07:59:50 155,648 ----a-w C:\WINDOWS\system32\xvidvfw.dll
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
    "nwiz"="nwiz.exe" [2006-08-16 08:35 C:\WINDOWS\system32\nwiz.exe]
    "SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]
    "ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 19:00]
    "McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 02:50]
    "Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 08:48]
    "phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 18:56]
    "NvMediaCenter"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 C:\WINDOWS\RTHDCPL.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 14:52]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoRecentDocsMenu"= 1 (0x1)
    "NoSMHelp"= 1 (0x1)
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoDesktopCleanupWizard"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)
    "NoAutoUpdate"= 1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoRecentDocsMenu"= 1 (0x1)
    "NoSMHelp"= 1 (0x1)
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoDesktopCleanupWizard"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)
    "NoAutoUpdate"= 1 (0x1)

    R1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\system32\drivers\mvstdi5x.sys [2004-09-22 19:00]
    R3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 13:21]

    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-25 11:44:27
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-25 11:44:52
    C:\ComboFix2.txt ... 2007-12-24 16:56
    C:\ComboFix3.txt ... 2007-12-23 21:39

    Quelque chose d'anormal ?
    Je ne sais pas si ça a quelque chose à voir avec ce problème de croix, mais quand je lance Yahoo Anti-spy, il détecte un élément nommé "Bifrost" qui est classé en tant que Backdoor ! Est-ce que c'est en rapport avec mon problème actuel ?
    Je le supprime tout le temps mais il réapparait au bout d'un certain temps ...

    Jerome
    0
  21. Utilisateur anonyme
     
    bonjour tu n'as pas de pare feu , je n'avais pas fait attentioninstal zone alarm il est simple d'utilisation et il assure le minimum de securitée (pare feu window = zero ) avant d'instaler zone alarm desactive le bouclier resident de avast !! d'ailleur vue ton infectiontu comprend qu'il faut changer ton anti virus car avast a ete pris pour cible !! je te conseil antivir mais on verra plus tard je regarde combo et te tien au jus !

    http://www.commentcamarche.net/telecharger/telechargement 157 zonealarm
    0
  • 1
  • 2