DLL manquant après nettoyage StorageProtector
Jerome_J
Messages postés
12
Statut
Membre
-
^^Marie^^ -
^^Marie^^ -
Bonjour,
Mon pc a été infecté par storageprotector. J'ai suivi à la lettre les intructions données par jlpjlp dans une autre discussion et tout a bien été nettoyé. Merci beaucoup pour l'aide !!!!
Par contre, quand je redémarre le pc, il y a maintenant un message d'erreur me disant que le fichier suivant est introuvable:
C:\WINDOWS\System32\ixavjtdr.dll
J'ai fait une recherche sur le net et je n'ai aucun résultat. Que puis-je faire ?
Merci beaucoup pour votre aide !!!
Jerome
Mon pc a été infecté par storageprotector. J'ai suivi à la lettre les intructions données par jlpjlp dans une autre discussion et tout a bien été nettoyé. Merci beaucoup pour l'aide !!!!
Par contre, quand je redémarre le pc, il y a maintenant un message d'erreur me disant que le fichier suivant est introuvable:
C:\WINDOWS\System32\ixavjtdr.dll
J'ai fait une recherche sur le net et je n'ai aucun résultat. Que puis-je faire ?
Merci beaucoup pour votre aide !!!
Jerome
Configuration: Windows XP Internet Explorer 6.0
24 réponses
- 1
- 2
Suivant
-
-
Voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:15:24, on 22/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Toto\Bureau\eden.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {695a30a1-4252-cae9-2144-76688b1c6c5d} - {d5c6c1b8-8667-4412-9eac-25241a03a596} - C:\WINDOWS\system32\xqhopnfp.dll (file missing)
O2 - BHO: (no name) - {EDD01B53-A0E2-4E91-9260-C7B620153C32} - C:\WINDOWS\system32\awtst.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [d83154f4] rundll32.exe "C:\WINDOWS\system32\ixavjtdr.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DefenseNetSurfage] C:\Program Files\DefenseNetSurfage\GDC.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TrayMin710.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-
relance hijackthis do a scan systeme only coche la case devant ces ligne puis clic sur fix chequed
O2 - BHO: {695a30a1-4252-cae9-2144-76688b1c6c5d} - {d5c6c1b8-8667-4412-9eac-25241a03a596} - C:\WINDOWS\system32\xqhopnfp.dll (file missing)
O2 - BHO: (no name) - {EDD01B53-A0E2-4E91-9260-C7B620153C32} - C:\WINDOWS\system32\awtst.dll (file missing)
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user') -
pardon j'avais oublie celle ci
O4 - HKLM\..\Run: [d83154f4] rundll32.exe "C:\WINDOWS\system32\ixavjtdr.dll",b
relance combofixcopie et colle le rapport ici -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
J'ai fait comme indiqué, et c'est bon au démarrage du pc, plus de message d'erreur ! Merci beaucoup !
voici le rapport de combofix:
ComboFix 07-12-21.4 - Toto 2007-12-22 20:36:19.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.452 [GMT 1:00]
Running from: C:\Documents and Settings\Toto\Local Settings\Temporary Internet Files\Content.IE5\T2DWLXS3\ComboFix[1].exe
.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-22 to 2007-12-22 ))))))))))))))))))))))))))))))))))))
.
2007-12-22 18:07 . 2007-12-22 18:14 <REP> d-------- C:\VundoFix Backups
2007-12-22 17:39 . 2007-12-22 17:39 7,168 --a------ C:\WINDOWS\system32\windows
2007-12-22 17:20 . 2007-12-22 17:20 <REP> d-------- C:\WINDOWS\system32\NtmsData
2007-12-22 13:04 . 2007-12-22 13:04 244 --ah----- C:\sqmnoopt01.sqm
2007-12-22 13:04 . 2007-12-22 13:04 232 --ah----- C:\sqmdata01.sqm
2007-12-22 13:03 . 2007-12-22 13:03 244 --ah----- C:\sqmnoopt00.sqm
2007-12-22 13:03 . 2007-12-22 13:03 232 --ah----- C:\sqmdata00.sqm
2007-12-21 21:53 . 2007-12-22 16:40 941,130 ---hs---- C:\WINDOWS\system32\foemffuc.ini
2007-12-20 19:40 . 2007-12-21 21:53 976,994 ---hs---- C:\WINDOWS\system32\ujdjjywk.ini
2007-12-20 19:26 . 2007-12-20 19:26 <REP> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon
2007-12-19 19:40 . 2007-12-20 17:58 979,040 ---hs---- C:\WINDOWS\system32\tjlbuehv.ini
2007-12-19 19:34 . 2007-12-19 19:34 165,472 --a------ C:\WINDOWS\system32\bjgulnwb.dll
2007-12-18 21:31 . 2007-12-22 16:41 <REP> d-------- C:\quarantine
2007-12-18 20:26 . 2007-12-18 20:26 24,336 --a------ C:\WINDOWS\system32\tuvsqpn.dll
2007-12-18 19:37 . 2007-12-19 19:37 989,312 ---hs---- C:\WINDOWS\system32\hdhshjng.ini
2007-12-17 19:37 . 2007-12-18 18:40 969,867 ---hs---- C:\WINDOWS\system32\gdkjvjme.ini
2007-12-16 12:25 . 2007-12-17 19:36 970,393 ---hs---- C:\WINDOWS\system32\dumlhehp.ini
2007-12-15 09:58 . 2007-12-16 12:20 971,945 ---hs---- C:\WINDOWS\system32\akakmabb.ini
2007-12-14 08:50 . 2007-12-15 09:52 953,103 ---hs---- C:\WINDOWS\system32\pcgpwqum.ini
2007-12-13 20:44 . 2007-12-13 20:44 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-12-13 08:51 . 2007-12-14 08:47 929,527 ---hs---- C:\WINDOWS\system32\mjbmaruu.ini
2007-12-08 14:13 . 2007-12-08 14:13 <REP> d-------- C:\WINDOWS\Sun
2007-12-08 14:12 . 2007-12-08 14:12 <REP> d-------- C:\Program Files\Java
2007-12-08 14:12 . 2007-12-08 14:12 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-12-08 14:12 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-08 09:31 . 2007-12-08 09:31 <REP> d-------- C:\Documents and Settings\Toto\Contacts
2007-12-08 09:26 . 2007-12-08 09:29 <REP> d-------- C:\Program Files\Windows Live
2007-12-08 09:26 . 2007-12-08 09:29 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-12-08 09:26 . 2007-12-20 02:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-12-08 09:22 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2007-12-08 09:22 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2007-12-08 09:22 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2007-12-08 09:22 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2007-12-08 09:22 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2007-12-08 00:54 . 2007-12-13 20:37 <REP> d-------- C:\Documents and Settings\Toto\Application Data\AdobeUM
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-22 18:58 --------- d-----w C:\Documents and Settings\Toto\Application Data\Skype
2007-12-14 09:24 --------- d-----w C:\Program Files\PokerAcademy2
2007-11-04 11:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\PokerAcademy2
2007-11-04 11:16 --------- d-----w C:\Documents and Settings\Toto\Application Data\PokerAcademy2
2007-11-02 21:42 --------- d-----w C:\Program Files\Realtek
2007-11-02 21:24 --------- d-----w C:\Program Files\Video Add-on
2007-11-02 21:05 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-10-27 09:51 --------- d-----w C:\Documents and Settings\Toto\Application Data\ProtectionConue
2007-10-27 09:45 --------- d-----w C:\Documents and Settings\Toto\Application Data\DefenseNetSurfage
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-09-02 13:24 19,560 ----a-w C:\Documents and Settings\Toto\Application Data\GDIPFONTCACHEV1.DAT
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-08-25 20:54]
"DefenseNetSurfage"="C:\Program Files\DefenseNetSurfage\GDC.exe" []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-08-16 08:35 C:\WINDOWS\system32\nwiz.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 19:00]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 02:50]
"Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 08:48]
"phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 18:56]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 C:\WINDOWS\RTHDCPL.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="cmd.exe" [2004-08-19 15:09 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 14:52]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04]
TrayMin710.exe.lnk - C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe [2007-09-02 10:34:59]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
R1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\system32\drivers\mvstdi5x.sys [2004-09-22 19:00]
S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows [2007-12-22 17:39]
S3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 13:21]
*Newly Created Service* - ENTDRV51
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-22 20:37:10
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-12-22 20:37:35
C:\ComboFix2.txt ... 2007-12-22 18:24
Dernière petite chose :
Mon icone de disque dur C: est un x rouge (au lieu d'un disque dur) ... il y a une solution à ce problème ?
Merci d'avance.
Jerome -
je suis en train de regarder pour l'instant cherche et desinstal defenseNetSurfage !!! c'est une cochonerie ! je travail sur ton resultat combofix je te donnerais la suite demain !
-
-
Bonjour,
En fait, je ne sais pas trop ... il n'apparait plus dans mes registres, il n'est pas non plus dans les processus (ou alors sous un autre nom), mais la croix est toujours là !
Hum ...
Jerome -
-
Voici le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:15:29, on 23/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Toto\Bureau\eden.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TrayMin710.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-
pardon j'ai etait un peu long , j'ai fait controler mon script par un grand marabou de ccm !!lol
voici la procedure a executer
1) Désinstallation programmes
Démarrer / Paramètres /Panneau de config et dans Ajout/Suppression de programme , clique sur la ligne du programme a désinstaller
Video Add-on
puis clique sur supprimer et suis les demandes de la boite de dialogue qui s'ouvrira afin d'amener la désinstallation a son terme.
Fais de même pour DefenseNetSurfage , si tu ne les trouve pas passe a l'étape suivantes
Fais redémarrer ton PC si demander et jette ensuite les dossiers respectifs de ces 2 programmes dans C:\Program Files des programmes désinstallés.
2) Suppression d'un service malveillant
« Démarrer » / « Exécuter» / puis tape
sc stop MSControlService valide par ok.
« Démarrer » / « Exécuter» / puis tape
sc delete MSControlService valide par ok.
3) ComboFix avec CFScript :
* Sélectionne le texte suivant (en gras) dans son intégralité :
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DefenseNetSurfage"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService]
File::
C:\sqmnoopt01.sqm
C:\sqmdata01.sqm
C:\sqmnoopt00.sqm
C:\sqmdata00.sqm
C:\WINDOWS\system32\foemffuc.ini
"C:\WINDOWS\system32\ujdjjywk.ini
C:\WINDOWS\system32\tjlbuehv.ini
C:\WINDOWS\system32\bjgulnwb.dll
C:\WINDOWS\system32\tuvsqpn.dll
C:\WINDOWS\system32\hdhshjng.ini
C:\WINDOWS\system32\gdkjvjme.ini
C:\WINDOWS\system32\dumlhehp.ini
C:\WINDOWS\system32\akakmabb.ini
C:\WINDOWS\system32\pcgpwqum.ini
C:\WINDOWS\system32\mjbmaruu.ini
C:\Documents and Settings\Toto\Bureau\eden.exe
C:\WINDOWS\system32\windows
Folder::
"C:\Program Files\Video Add-on"
C:\Program Files\DefenseNetSurfage
C:\WINDOWS\system32\windows
* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)
* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
-
Bonsoir !
Merci beaucoup de me consacrer autant de temps !
J'ai suivi ce qu'il fallait faire. Mais pas l'étape 1, car les programmes n'apparaissaient pas dans la liste.
Voici le rapport Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:19, on 23/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Philips\Philips SPC710NC Webcam\TrayMin710.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Documents and Settings\Toto\Bureau\eden.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TrayMin710.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-
haaaa !! il fallait tout selectionner !!
bon pour l'instant relance hijackthis do a scan systeme only puis fix c'est lignes
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
04 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
Inconnu
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
Inconnu
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: TrayMin710.exe.lnk = ? -
alors on continu
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINDOWS\system32\pcgpwqum.ini
C:\WINDOWS\system32\akakmabb.ini
C:\WINDOWS\system32\dumlhehp.ini
C:\WINDOWS\system32\gdkjvjme.ini
C:\WINDOWS\system32\hdhshjng.ini
C:\WINDOWS\system32\tuvsqpn.dll
C:\WINDOWS\system32\bjgulnwb.dll
C:\WINDOWS\system32\tjlbuehv.ini
C:\WINDOWS\system32\ujdjjywk.ini
C:\WINDOWS\system32\foemffuc.ini
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. -
Voici le rapport de OTMoveIt:
C:\WINDOWS\system32\pcgpwqum.ini moved successfully.
C:\WINDOWS\system32\akakmabb.ini moved successfully.
C:\WINDOWS\system32\dumlhehp.ini moved successfully.
C:\WINDOWS\system32\gdkjvjme.ini moved successfully.
C:\WINDOWS\system32\hdhshjng.ini moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\tuvsqpn.dll
C:\WINDOWS\system32\tuvsqpn.dll NOT unregistered.
C:\WINDOWS\system32\tuvsqpn.dll moved successfully.
C:\WINDOWS\system32\bjgulnwb.dll unregistered successfully.
C:\WINDOWS\system32\bjgulnwb.dll moved successfully.
C:\WINDOWS\system32\tjlbuehv.ini moved successfully.
C:\WINDOWS\system32\ujdjjywk.ini moved successfully.
C:\WINDOWS\system32\foemffuc.ini moved successfully.
Created on 12/23/2007 23:35:24
Apparemment, un dll n'a pas été trouvé ou bougé ...
Jerome -
-
Bonjour,
Voici le nouvel Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:27:15, on 24/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Toto\Bureau\eden.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-
bonjour il faudrais que tu relance combofix stp ( c'est histoire de controler que tout sois parti ) passe de bonnes fetes
-
Joyeux Noel à toutes et à tous !
Voici le rapport de Combofix:
ComboFix 07-12-21.4 - Toto 2007-12-25 11:42:17.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.495 [GMT 1:00]
Running from: C:\Documents and Settings\Toto\Bureau\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-25 to 2007-12-25 ))))))))))))))))))))))))))))))))))))
.
2007-12-23 17:20 . 2007-12-23 17:20 244 --ah----- C:\sqmnoopt06.sqm
2007-12-23 17:20 . 2007-12-23 17:20 232 --ah----- C:\sqmdata06.sqm
2007-12-23 01:43 . 2007-12-23 01:43 244 --ah----- C:\sqmnoopt05.sqm
2007-12-23 01:43 . 2007-12-23 01:43 232 --ah----- C:\sqmdata05.sqm
2007-12-23 01:33 . 2007-12-23 01:33 244 --ah----- C:\sqmnoopt04.sqm
2007-12-23 01:33 . 2007-12-23 01:33 244 --ah----- C:\sqmnoopt03.sqm
2007-12-23 01:33 . 2007-12-23 01:33 232 --ah----- C:\sqmdata04.sqm
2007-12-23 01:33 . 2007-12-23 01:33 232 --ah----- C:\sqmdata03.sqm
2007-12-23 01:32 . 2007-12-23 01:32 244 --ah----- C:\sqmnoopt02.sqm
2007-12-23 01:32 . 2007-12-23 01:32 232 --ah----- C:\sqmdata02.sqm
2007-12-22 22:31 . 2007-12-24 03:16 273 --a------ C:\WINDOWS\autogk.ini
2007-12-22 21:32 . 2007-12-22 21:32 <REP> d-------- C:\Program Files\XviD
2007-12-22 21:31 . 2007-12-22 21:31 <REP> d-------- C:\Program Files\Gabest
2007-12-22 21:31 . 2007-12-22 21:31 <REP> d-------- C:\Program Files\AviSynth 2.5
2007-12-22 21:31 . 2007-12-22 21:32 <REP> d-------- C:\Program Files\AutoGK
2007-12-22 20:57 . 2007-12-22 20:57 <REP> d-------- C:\Program Files\DVD Decrypter
2007-12-22 18:07 . 2007-12-22 18:14 <REP> d-------- C:\VundoFix Backups
2007-12-22 17:39 . 2007-12-22 17:39 7,168 --a------ C:\WINDOWS\system32\windows
2007-12-22 17:20 . 2007-12-22 17:20 <REP> d-------- C:\WINDOWS\system32\NtmsData
2007-12-22 13:04 . 2007-12-22 13:04 244 --ah----- C:\sqmnoopt01.sqm
2007-12-22 13:04 . 2007-12-22 13:04 232 --ah----- C:\sqmdata01.sqm
2007-12-22 13:03 . 2007-12-22 13:03 244 --ah----- C:\sqmnoopt00.sqm
2007-12-22 13:03 . 2007-12-22 13:03 232 --ah----- C:\sqmdata00.sqm
2007-12-20 19:26 . 2007-12-20 19:26 <REP> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon
2007-12-18 21:31 . 2007-12-22 16:41 <REP> d-------- C:\quarantine
2007-12-13 20:44 . 2007-12-13 20:44 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-12-13 08:51 . 2007-12-14 08:47 929,527 ---hs---- C:\WINDOWS\system32\mjbmaruu.ini
2007-12-08 14:13 . 2007-12-08 14:13 <REP> d-------- C:\WINDOWS\Sun
2007-12-08 14:12 . 2007-12-08 14:12 <REP> d-------- C:\Program Files\Java
2007-12-08 14:12 . 2007-12-08 14:12 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-12-08 14:12 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-08 09:31 . 2007-12-08 09:31 <REP> d-------- C:\Documents and Settings\Toto\Contacts
2007-12-08 09:26 . 2007-12-08 09:29 <REP> d-------- C:\Program Files\Windows Live
2007-12-08 09:26 . 2007-12-08 09:29 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-12-08 09:26 . 2007-12-20 02:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-12-08 09:22 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2007-12-08 09:22 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2007-12-08 09:22 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2007-12-08 09:22 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2007-12-08 09:22 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2007-12-08 00:54 . 2007-12-13 20:37 <REP> d-------- C:\Documents and Settings\Toto\Application Data\AdobeUM
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-23 21:48 --------- d-----w C:\Documents and Settings\Toto\Application Data\Skype
2007-12-14 09:24 --------- d-----w C:\Program Files\PokerAcademy2
2007-11-04 11:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\PokerAcademy2
2007-11-04 11:16 --------- d-----w C:\Documents and Settings\Toto\Application Data\PokerAcademy2
2007-11-02 21:42 --------- d-----w C:\Program Files\Realtek
2007-11-02 21:05 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-09-02 13:24 19,560 ----a-w C:\Documents and Settings\Toto\Application Data\GDIPFONTCACHEV1.DAT
.
((((((((((((((((((((((((((((( snapshot@2007-12-22_18.23.37.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-09-01 14:49:56 284,672 ----a-w C:\WINDOWS\system32\avisynth.dll
+ 2004-02-23 13:41:30 719,872 ----a-w C:\WINDOWS\system32\devil.dll
+ 2002-10-15 22:54:04 153,088 ----a-w C:\WINDOWS\system32\unrar.dll
+ 2002-12-11 08:19:32 368,640 ----a-w C:\WINDOWS\system32\vobsub.dll
+ 2004-09-05 07:58:04 679,936 ----a-w C:\WINDOWS\system32\xvidcore.dll
+ 2004-09-05 07:59:50 155,648 ----a-w C:\WINDOWS\system32\xvidvfw.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-08-16 08:35 C:\WINDOWS\system32\nwiz.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 19:00]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 02:50]
"Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 08:48]
"phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 18:56]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 C:\WINDOWS\RTHDCPL.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 14:52]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
R1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\system32\drivers\mvstdi5x.sys [2004-09-22 19:00]
R3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 13:21]
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-25 11:44:27
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-12-25 11:44:52
C:\ComboFix2.txt ... 2007-12-24 16:56
C:\ComboFix3.txt ... 2007-12-23 21:39
Quelque chose d'anormal ?
Je ne sais pas si ça a quelque chose à voir avec ce problème de croix, mais quand je lance Yahoo Anti-spy, il détecte un élément nommé "Bifrost" qui est classé en tant que Backdoor ! Est-ce que c'est en rapport avec mon problème actuel ?
Je le supprime tout le temps mais il réapparait au bout d'un certain temps ...
Jerome -
bonjour tu n'as pas de pare feu , je n'avais pas fait attentioninstal zone alarm il est simple d'utilisation et il assure le minimum de securitée (pare feu window = zero ) avant d'instaler zone alarm desactive le bouclier resident de avast !! d'ailleur vue ton infectiontu comprend qu'il faut changer ton anti virus car avast a ete pris pour cible !! je te conseil antivir mais on verra plus tard je regarde combo et te tien au jus !
http://www.commentcamarche.net/telecharger/telechargement 157 zonealarm
- 1
- 2
Suivant