Trojan dropper Agent partout dans mon ordi !!

Résolu

Dick Maverick -
Dick Maverick - 1 juin 2008 à 16:20

Bonjour,

Depuis 3-4 jours maintenant, mon ordi est infecté de plusieurs Trojan Dropper Agent. J'ai tenté de les supprimer avec Ewidoo, Avast : mon ativirus, ainsi qu'avec A2 Anti Malware. Mais rien n'y fait ! Tous semblent tranquillement revenir même une fois supprimés par ces divers logiciels. Pourtant, j'ai fait les scans (complets) hors connections, voire en mode sans echec. En voyant le rapport d'Ewiddo (que je vais vs montrer ci dessous), il semblerait même que les Trojans se soient aggripés aux fichiers .exe des antivirus A2 et Avast et dans bien d'autres endroits encore. Meme sur le fichier .exe d'Msn il y est aussi. Ce qui expliquerait peut être l'étrange demande de blocage que maintenant mon pare feu réactualise toute les 5 min alors que Msn est déjà dans les "exceptions" à débloquer... Va savoir. Et comme si ce n'était pas assez, en supprimant tous les fichiers infectés selon Ewidoo et A2antimalware, j'ai perdu plein de fichier .exe, celui d'explorer entre autre, ayant pour conséquence que plus aucun n'icone n'apparaissait sur mon bureau, ni la barre bleu en dessous... Même ce problème résolu, reste toujours que beaucoup de mes logiciels ne se lancent plus maintenant ou seulement en recherchant le fichier .exe en passant par "parcourir" si il existent encore... Je n'arrive même plus à réinstaller Steam, Counter Strike Source et Hlf 2 à partir du Cd ! Il ne propose plus d'installer, mais que de " modifier l'installation" comme si les programmes étaient encore installés sur l'ordi alors que je me suis acharné à tous les supprimer pour pouvoir tout réinstaller !! Non mais dis donc, t'es TropJean !! (c'est nul, je sais, je sais...)

Bref, que du bonheur !

Silvousplait aidez moi à tuer tous ces Trojans, Oôô Vénérables Mâitres de l'Informatique !!

Voici le rapport Ewidoo :

__________________________________________________
ewido anti-spyware online scanner
https://www.avg.com/en-us/free-antivirus-download
__________________________________________________

Name: TrackingCookie.2o7
Path: C:\Documents and Settings\Samuel\Cookies\samuel@2o7[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\Samuel\Cookies\samuel@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: C:\Documents and Settings\Samuel\Cookies\samuel@bluestreak[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\Samuel\Cookies\samuel@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Documents and Settings\Samuel\Cookies\samuel@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Tacoda
Path: C:\Documents and Settings\Samuel\Cookies\samuel@tacoda[2].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: C:\Documents and Settings\Samuel\Cookies\samuel@weborama[2].txt
Risk: Medium

Name: Dropper.Agent.dgo
Path: [2424] C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Risk: High

Name: TrackingCookie.Doubleclick
Path: :mozilla.16:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.42:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.43:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.44:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.45:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.54:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.55:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.56:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.57:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: :mozilla.58:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: :mozilla.69:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Estat
Path: :mozilla.70:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.247realmedia
Path: :mozilla.75:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Intelli-tracker
Path: :mozilla.76:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Sitestat
Path: :mozilla.87:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Sitestat
Path: :mozilla.88:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Googleadservices
Path: :mozilla.93:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: :mozilla.114:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.122:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.123:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.124:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.125:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Overture
Path: :mozilla.126:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Questionmarket
Path: :mozilla.127:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Questionmarket
Path: :mozilla.128:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Questionmarket
Path: :mozilla.129:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Imrworldwide
Path: :mozilla.130:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Imrworldwide
Path: :mozilla.131:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.136:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.137:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.138:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: :mozilla.139:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Googleadservices
Path: :mozilla.142:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.158:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: :mozilla.163:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.174:C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt
Risk: Medium

Name: Dropper.Agent.dgo
Path: C:\Documents and Settings\Samuel\Local Settings\Temp\RCX224.tmp
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Documents and Settings\Samuel\Local Settings\Temp\RCX28B.tmp
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Documents and Settings\Samuel\Local Settings\Temp\RCXA2.tmp
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Documents and Settings\Samuel\Local Settings\Temp\RCXAF.tmp
Risk: High

Name: Not-A-Virus.Adware.PurityScan
Path: C:\Program Files\Fichiers communs\Yazzle1281OinUninstaller.exe
Risk: Low

Name: Dropper.Agent.dgo
Path: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
Risk: High

Name: Adware.Companion
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092795.exe
Risk: Medium

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092796.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092797.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092798.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092799.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092800.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092801.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092802.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092803.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP666\A0092804.exe
Risk: High

Name: Not-A-Virus.Adware.TTC
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP667\A0093008.exe
Risk: Low

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP667\A0093070.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP667\A0093071.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP667\A0093141.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP667\A0093161.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP669\A0093248.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP670\A0093407.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP670\A0093438.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP670\A0093448.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP670\A0093458.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP670\A0093486.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP670\A0093501.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP670\A0093508.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP670\A0093514.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0093558.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0093559.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0094085.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0094095.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0094097.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0094101.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0094118.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0094128.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0094140.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP671\A0094147.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0094157.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0094159.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0094160.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0094161.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0094174.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0094182.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095176.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095178.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095179.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095180.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095181.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095182.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095244.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095246.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095247.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095248.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095250.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095258.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095260.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095261.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095264.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095265.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP672\A0095268.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\WINDOWS\eHome\ehtray.exe.tmp
Risk: High

Name: Dropper.Agent.dgo
Path: C:\WINDOWS\system32\awvvs.exe
Risk: High

Name: Dropper.Agent.dgo
Path: C:\WINDOWS\system32\RCX12.tmp
Risk: High

Ah, au fait, j'ai Windows Xp et service pack 2 avec Avast edition familiale si ça peut vous aider....

Merci D'avance !

Afficher la suite

A voir également:

Trojan dropper Agent partout dans mon ordi !!
Ordi qui rame - Guide
Comment reinitialiser un ordi - Guide
Agent ransack - Télécharger - Divers Utilitaires
Mon ordi ne reconnait pas ma clé usb - Guide
Ordi scrabble - Télécharger - Jeux vidéo

81 réponses

Réponse 21 / 81

Dick Maverick

Ca y est ! J'ai fait un passage avec tous ces nouveaux logiciels et rien d'alarmants ne semble à signaler. J'ai juste vu que Hijack Retaliator proposait de "removed" les liens cassés : je me demandais si ça valait le coup, car j'ai vu que j'en avais beaucoup. A quoi ça servirait ?

Sinon je te poste un dernier rapport Hijackthis comme prévu. Le voici :

Logfile of HijackThis v1.99.1
Scan saved at 14:15:22, on 05/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Samuel\LOCALS~1\Temp\Rar$EX00.984\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3EBE86BB-6E5C-47FF-AC56-4226E0A73D38} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D35B59A-5F47-48A5-9621-84DA465D0125} - \
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A74F3FC3-CC9A-4D4C-AFB5-B56F0CAA445D} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [Windows File Migration Wizard] HIMENSYST.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PKR Pal] "./\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [BHR] C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [Windows File Migration Wizard] HIMENSYST.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor .exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Registration Ghost Recon Advanced Warfighter.LNK = C:\Program Files\Ubisoft\Demo\Ghost Recon Advanced Warfighter Demo\Support\Register\RegistrationReminder.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: hgghggd - hgghggd.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: avp - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe" -r (file missing)
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe" "WUSB54GC.exe (file missing)

Encore Merci !

Réponse 22 / 81

Dick Maverick

Mince alors ! Cette nouvelle fait froid dans le dos !

Mais dites moi, qu'est ce que je risque au juste avec un Bot Bacdoor ? Ca fait sans doute perpète que je le traine à mon avis, et mon ordi ne semble pas en souffrir...Est ce risqué de continuer avec ? Que cherchent les gens qui sont derrière ca ?

Sinon pour la réinstallation du système, pas de problème. Je me demandais juste si il y avait des risques que ce virus ce grefe à mon disque dur externe qui contient beaucoup d'infos que je reprendrais à ma nouvelles installations (musiques, icone d'installation.exe, films de cul, etc...). Ce serait con de réinfecter mon DD interne celui -ci de nouveau vierge...

A priori, pas de problème pour la réinstallation. il va juste valloir que je liste tous les logiciels que j'ai sur l'ordi et que je récupère mes favoris dans mon DD externe (est ce que c'est risqué ?). Ca va être long à réinstaller tout ça, nom de dieu !

Merci encore à vous deux de votre attention !

Réponse 23 / 81

Dick Maverick

Avant de passer à l'étape du reformatage, je viens de faire un scan de mon DD externe pour vérifier si il sera possible d'en récupérer les données une fois le DD interne remis à neuf. Pouvez-vous me donner votre avis la dessus, je vous transmet le scan fait avec A-squared.

Le voici :

Version - a-squared Free 3.1
Dernière mise à jour: 05/01/2008 22:05:48

Réglages Scan:

Objets: Mémoire, Traces, Cookies, J:\
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 05/01/2008 22:07:18

c:\program files\webteh\bsplayer Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\doc Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\lang Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\plugins Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\sdk Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample_subtitles Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\delphi Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\delphi\sample Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\delphi\sample_subtitles Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\skins Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\skins\base Détecter: Trace.Directory.BSplayer
c:\documents and settings\samuel\menu démarrer\programmes\webteh Détecter: Trace.Directory.BSplayer
c:\program files\webteh\bsplayer\bplay.exe Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\bspfilters.sam Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\bsplay.exe Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\bsplayer.exe Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\bsplayer.exe.manifest Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\bsrendv2.dll Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\changes.txt Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\doc\cmdline.txt Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\doc\ini_files.html Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\plugins\oldskin.dll Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\bsp.h Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\bsp.pas Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\bspplg.h Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\bspplg.pas Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample\sample_plugin.def Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample\sample_plugin.dsp Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample\sample_plugin.dsw Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample\sampleplugin.c Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample_subtitles\sample_sub.c Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample_subtitles\sample_sub.def Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample_subtitles\sample_subtitles.dsp Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\c\sample_subtitles\sample_subtitles.dsw Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\delphi\sample\sample_plugin.dpr Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\sdk\plugins\delphi\sample_subtitles\sample_sub.dpr Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\skins\base\prevd.bmp Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\skins\base\rgn.dat Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\skins\base\rgnfs.dat Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\skins\base\skin.ini Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\skins\base\skinfs.ini Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\skins\bat lite.bsz Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\skins\mediabox v-1.bsz Détecter: Trace.File.BSplayer
c:\program files\webteh\bsplayer\skins\mediabox v-2.bsz Détecter: Trace.File.BSplayer
Value: HKEY_USERS\S-1-5-21-1123561945-1960408961-725345543-1004\Software\BST\bsplayerv1 --> AppPath Détecter: Trace.Registry.BSplayer
Value: HKEY_USERS\S-1-5-21-1123561945-1960408961-725345543-1004\Software\BST\bsplayerv1 --> AppVer Détecter: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BSPlayer1 --> DisplayName Détecter: Trace.Registry.BSplayer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BSPlayer1 --> UninstallString Détecter: Trace.Registry.BSplayer
C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt:47 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt:97 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt:98 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt:99 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt:100 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt:101 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Samuel\Application Data\Mozilla\Firefox\Profiles\ohp05mrm.default\cookies.txt:102 Détecter: Trace.TrackingCookie

Scanné

Fichiers: 18032
Traces: 353287
Cookies: 230
Processus: 43

Trouver

Fichiers: 0
Traces: 51
Cookies: 7
Processus: 0
Clés de Registre: 0

Fin du Scan: 05/01/2008 22:46:06
Temps du Scan: 0:38:48

Merci

Réponse 24 / 81

webwizard Messages postés 111 Statut Membre 1

Salut, bonjour,

Avec le téléchargement avec la "mule" et à force de t'aventurier dans le milieu rouge (films de Q), c'est comme dans la vie réelle. Tu mets pas de capote, t'es infecté. Sur l'ordinateur, tum mets pas les outils de protection, t'es infecté !!!

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 81

Dick Maverick

Très bien, je prend gravement note de tous ces conseils. Une chose est sûre, ça fout les j'tons tout ça ! Je vais donc totalement arrêter les téléchargements si c'est pour avoir en retour de tels ennuis et protéger davantage mon ordi qu'avec seulement un antivirus.

Il ya un an, pendant quelques mois, je naviguais avec pare feu mais sans antivirus. Ca doit être à ce moment là que j'ai chopé le botbackdoor. Entre temps, j'avais ajouté Avast. Depuis, mon ordinateur fonctionnant bien et le nettoyant et défragmentant assez régulièrement, je pensais être assez soigneux pour ne pas avoir été exposé. Je me suis horriblement trompé...

Une dernière question : une fois mon ordi reformater avec "eraser", imaginons qu'il soit encore infecté mais pas en ligne, mon ordinateur coure-t-il encore des risques quelquonques ? Je suppose que non. C'est un peu radical, mais comme j'ai bien peur qu'il soit profondément infecté, je me dit que c'est la meilleure solution.

...Eh bien voilà, que dire, si ce n'est encore Merci pour toutes ces mises en garde et bons conseils. A vous deux, Webwizard tout particulièrement, et également à toi "Le Psy" pour ta précieuse aide complémentaire.

Je m'en vais dès demain faire ce reformatage, le temps de lister tous les logiciels à récupérer après coup...

D'avance, nonne continuation à vous deux. Sincèrement.

Réponse 26 / 81

Dick Maverick

Merci aux nouveaux venus pour ces autres conseils. Et merci à toi encore Webwizard qui nous quitte donc pour ce dossier. Sincèrement.

A titre d'exercice informatique, je vais tout de même tenter la solution proposée par le sioux. Par sécurité, je reformaterais tout de même par la suite, mais je crois que suivre ce nouveau conseil, ne peut que m'en apprendre davantage sur les moyens d'éradication de ces vilaines bêbêtes dans nos ordis. En plus de ceux que tu m'as appris Webwizard. D'ailleurs, encore merci pour ton tutorial "mieux vaut prévoir que guérir!" sur la sécurité que je viens de m'imprimer et que j'appliquerais soigneusement lorsque mon DD sera de nouveaux vierge.

En attendant donc le reformatage, je vais suivre tes conseils "Le Sioux". Hormis la guérison de mon DDinterne que j'espère réussir avec toi, la priorité serait en fait, de s'assurer que mon DDexterne ne soit pas infecté par le botBackdoor. Car c'est surtout de lui que j'aurai besoin après mon reformatage. Je viens de le scanner avec A-squared et avast, rien ne semble à signaler, à part quelques cookies "machinBSplayer" déjà éliminés par ces logiciels (D'ailleurs, est-il mieux de "mettre en quarantaine" ou de "supprimer"?).

Evidemment, pour commencer, Je vais déjà me faire une lecture sérieuse de tous les liens vers lesquels tu me rediriges et je te redonnerai de mes nouvelles au plus vite.

Je te repost un Scan Hitjackthis tout frais pour que tu en ais un aperçu plus immédiat (sans avoir à remonter en haut de page). Au fait, dit il quelque chose sur mon DD externe ? Car on ne peut pas scanner par zone avec Hitjackthis...

Le voici :

Logfile of HijackThis v1.99.1
Scan saved at 17:51:34, on 06/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr .exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Ahead\nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Samuel\LOCALS~1\Temp\Rar$EX00.735\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3EBE86BB-6E5C-47FF-AC56-4226E0A73D38} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D35B59A-5F47-48A5-9621-84DA465D0125} - \
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A74F3FC3-CC9A-4D4C-AFB5-B56F0CAA445D} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [BHR] C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr .exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Registration Ghost Recon Advanced Warfighter.LNK = C:\Program Files\Ubisoft\Demo\Ghost Recon Advanced Warfighter Demo\Support\Register\RegistrationReminder.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: hgghggd - hgghggd.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: avp - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe" -r (file missing)
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe" "WUSB54GC.exe (file missing)

Merci de ton aide.

Réponse 27 / 81

Dick Maverick

Bon bon bon. Ca y est ! J'ai fait les trois scans : avec vundofix, combofix et hitjackthis.
Je suis tout de même surpris de voir que vundofix ne détecte absolument rien !

Je te transmets tout ci dessous :

VUNDO :

VundoFix V6.5.4

Checking Java version...

Scan started at 15:54:34 07/01/2008

Listing files found while scanning....

No infected files were found.

VundoFix V6.5.4

Checking Java version...

Scan started at 15:59:39 07/01/2008

Listing files found while scanning....

No infected files were found.

COMBO :

ComboFix 08-01-04.1 - Samuel 2008-01-07 17:07:59.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.620 [GMT 1:00]
Running from: C:\Documents and Settings\Samuel\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Fichiers communs\Yazzle1281OinAdmin.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\stera.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_RDRIV
-------\rdriv

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-07 to 2008-01-07 ))))))))))))))))))))))))))))))))))))
.

2008-01-07 16:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 15:54 . 2008-01-07 15:54 <REP> d-------- C:\VundoFix Backups
2008-01-07 04:14 . 2008-01-07 05:10 <REP> d-------- C:\Program Files\Zoom Player
2008-01-05 05:40 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-05 05:40 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-05 05:40 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-05 05:40 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-05 05:40 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-05 05:40 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-05 05:40 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-05 01:58 . 2008-01-05 01:58 <REP> d-------- C:\Program Files\Lavasoft
2008-01-05 01:58 . 2008-01-05 01:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-05 01:57 . 2008-01-05 01:57 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-01-05 01:56 . 2008-01-05 01:56 <REP> d-------- C:\Program Files\IObit
2008-01-04 20:38 . 2008-01-04 20:38 <REP> d-------- C:\Program Files\MSXML 6.0
2008-01-04 19:47 . 2008-01-04 19:47 <REP> d-------- C:\Program Files\MSBuild
2008-01-04 19:41 . 2008-01-04 19:41 <REP> d-------- C:\WINDOWS\system32\XPSViewer
2008-01-04 19:41 . 2008-01-04 19:41 <REP> d-------- C:\Program Files\Reference Assemblies
2008-01-04 19:40 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-04 19:40 . 2008-01-04 19:49 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-01-04 19:28 . 2008-01-04 19:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-04 18:53 . 2008-01-04 18:53 <REP> d-------- C:\Program Files\Zamaan's Software
2008-01-04 18:53 . 2000-05-22 17:00 203,976 --a------ C:\WINDOWS\system32\richtx32.ocx
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\SHOUTcast Source
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\RealMedia
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\DScaler5
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\DS-MP3 Source
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\CD Audio Reader Filter
2008-01-03 18:23 . 2003-12-26 01:13 212,992 --a------ C:\WINDOWS\system32\YExBar.ocx
2008-01-03 18:23 . 1998-06-24 11:55 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX
2008-01-03 18:23 . 1998-05-05 17:35 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2008-01-03 18:23 . 2003-04-18 17:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-01-03 18:23 . 1998-07-06 18:55 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2008-01-03 18:23 . 1998-05-05 17:35 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2008-01-03 18:22 . 2008-01-03 18:22 <REP> d-------- C:\Program Files\YooApplications
2008-01-02 20:32 . 2008-01-05 22:46 <REP> d-------- C:\Program Files\a-squared Free
2008-01-02 01:02 . 2008-01-05 05:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-01-02 01:02 . 2008-01-05 05:30 8,641,056 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-02 01:02 . 2008-01-05 05:30 339,232 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-02 01:02 . 2008-01-05 05:30 116,804 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-02 01:02 . 2008-01-05 05:30 32,876 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-02 01:01 . 2008-01-02 01:01 <REP> d-------- C:\kav
2008-01-01 17:29 . 2008-01-01 17:29 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-12-30 04:39 . 2007-07-09 14:19 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-12-30 04:34 . 2008-01-02 21:39 <REP> d-------- C:\Program Files\Windows Live
2007-12-30 04:34 . 2007-12-30 04:38 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-12-30 04:33 . 2008-01-05 21:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-12-30 04:12 . 2007-06-13 15:22 1,037,312 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-12-30 04:12 . 2007-06-13 15:22 1,037,312 --a------ C:\WINDOWS\explorer.exe
2007-12-29 17:29 . 2007-12-30 03:34 <REP> d-------- C:\Program Files\a-squared Anti-Malware
2007-12-29 17:20 . 2007-12-30 17:44 <REP> d-------- C:\Program Files\Yahoo!
2007-12-29 17:20 . 2007-12-29 17:21 <REP> d-------- C:\Program Files\CCleaner
2007-12-29 02:54 . 2007-12-29 02:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-29 02:29 . 2007-12-29 02:52 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-28 13:31 . 2007-12-29 02:01 155,648 --a------ C:\WINDOWS\system32\NeroCheck .exe
2007-12-28 04:16 . 2008-01-02 11:26 98,725 --ahs---- C:\WINDOWS\system32\svvwa.ini2
2007-12-28 04:16 . 2008-01-02 11:24 98,725 --ahs---- C:\WINDOWS\system32\svvwa.ini
2007-12-28 04:07 . 2007-12-28 04:07 <REP> d-------- C:\WINDOWS\system32\wdr
2007-12-28 04:07 . 2007-12-29 19:35 <REP> d-------- C:\WINDOWS\system32\ey2
2007-12-28 04:05 . 2007-12-28 04:07 <REP> d-------- C:\WINDOWS\system32\rf1
2007-12-28 04:05 . 2007-12-28 04:05 <REP> d-------- C:\WINDOWS\system32\ardCo01
2007-12-28 04:05 . 2007-12-28 04:05 <REP> d-------- C:\TEMP\cEeer12

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 00:56 --------- d-----w C:\Program Files\Webteh
2008-01-06 06:35 --------- d-----w C:\Program Files\eMule
2008-01-03 23:08 --------- d-----w C:\Documents and Settings\Samuel\Application Data\Azureus
2008-01-02 20:47 --------- d-----w C:\Program Files\Microsoft Works
2008-01-02 20:47 --------- d-----w C:\Program Files\Java Web Start
2008-01-02 20:47 --------- d-----w C:\Program Files\DivX
2008-01-02 20:47 --------- d-----w C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor
2008-01-02 19:04 --------- d-----w C:\Program Files\Sony
2008-01-02 19:02 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-01-02 02:14 65,430 ----a-w C:\Documents and Settings\Samuel\Application Data\wklnhst.dat
2008-01-02 00:02 --------- d-----w C:\Program Files\Kaspersky Lab
2007-12-31 01:16 --------- d-----w C:\Program Files\PKR
2007-12-30 03:39 --------- d-----w C:\Program Files\MSN Messenger
2007-12-29 18:36 --------- d-----w C:\Program Files\Titan Poker
2007-12-29 14:38 --------- d-----w C:\Program Files\QuickTime
2007-12-29 12:48 --------- d-----w C:\Program Files\iTunes
2007-12-22 23:42 --------- d-----w C:\Program Files\Azureus
2007-12-22 23:11 --------- d-----w C:\Program Files\Full Tilt Poker
2007-12-21 03:25 --------- d-----w C:\Program Files\TimeAdjuster
2007-12-03 19:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-26 23:52 --------- d--h--r C:\Documents and Settings\Samuel\Application Data\SecuROM
2007-11-22 06:00 --------- d-----w C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 11:57 --------- d-----w C:\Program Files\Fichiers communs\muvee Technologies
2007-11-10 11:54 --------- d-----w C:\Program Files\OLYMPUS
2007-05-07 14:12 1 ----a-w C:\Documents and Settings\Samuel\SI.bin
2006-07-30 13:06 56 --sh--r C:\WINDOWS\system32\361C6B05CF.sys
2006-07-30 13:06 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
[code]<pre>
----a-w 335,872 2007-12-29 01:01:28 C:\ATI-CPanel\atiptaxx .exe
----a-w 90,112 2007-12-29 01:01:28 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart .exe
----a-w 409,600 2007-12-29 01:01:21 C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN .EXE
----a-w 180,269 2007-12-29 02:04:01 C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe
----a-w 356,352 2007-12-29 01:01:16 C:\Program Files\FSC\Wireless Wheel Mouse\MOUSE32A .EXE
----a-w 68,856 2007-12-28 12:32:33 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
----a-w 267,064 2007-12-29 12:36:20 C:\Program Files\iTunes\iTunesHelper .exe
----a-w 218,376 2008-01-02 00:49:33 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe
----a-w 5,674,352 2007-12-29 12:36:51 C:\Program Files\MSN Messenger\msnmsgr .exe
----a-w 53,248 2007-12-29 12:36:22 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask .exe
----a-w 135,168 2007-12-29 12:36:20 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mm_tray .exe
----a-w 167,936 2007-12-29 12:36:12 C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd .exe
----a-w 49,152 2007-12-29 12:36:16 C:\Program Files\ScanSoft\OmniPageSE\opware32 .exe
----a-w 5,724,184 2008-01-02 00:50:31 C:\Program Files\Windows Live\Messenger\msnmsgr .exe
----a-w 5,724,184 2008-01-01 21:02:59 C:\Program Files\Windows Live\Messenger\msnmsgr .exe
----a-w 50,176 2007-12-31 18:14:10 C:\WINDOWS\eHome\ehtray .exe
----a-w 155,648 2007-12-29 01:01:18 C:\WINDOWS\system32\NeroCheck .exe
</pre>[/code]

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3EBE86BB-6E5C-47FF-AC56-4226E0A73D38}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D35B59A-5F47-48A5-9621-84DA465D0125}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr .exe" [2008-01-01 22:02 5724184]
"@"="" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-20 00:09 50176]
"BHR"="C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe" [2006-10-24 22:14 9375744]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghggd]
hgghggd.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2001-12-20 07:02]
R2 Belkin 54g Wireless USB Network Adapter Service;Belkin 54g Wireless USB Network Adapter;C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe [2004-03-29 16:08]
R2 CX23880;Conexant 23880 Video Capture;C:\WINDOWS\system32\drivers\cx88vid.sys [2003-09-12 17:54]
R2 CX88ENC;Conexant 2388x MPEG Encoder;C:\WINDOWS\system32\drivers\cx88enc.sys [2003-09-12 17:54]
R2 CX88XBAR;Conexant 2388x Crossbar;C:\WINDOWS\system32\drivers\CX88XBAR.sys [2003-09-12 17:55]
R2 CXTUNE;Conexant 2388x Tuner;C:\WINDOWS\system32\drivers\CX88TUNE.sys [2003-09-12 17:54]
R2 nhksrv;Netropa NHK Server;C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe [2001-08-06 04:41]
S2 avp ;avp ;"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe" [2008-01-02 01:49]
S3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2003-04-18 13:45]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys [2004-07-14 01:52]

*Newly Created Service* - GTNDIS5
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 21:25:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-01-07 16:03:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 17:15:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-07 17:17:32 - machine was rebooted [Samuel]
ComboFix-quarantined-files.txt 2008-01-07 16:17:29
.
2008-01-07 00:00:46 --- E O F ---

HIJACKTHIS :

Logfile of HijackThis v1.99.1
Scan saved at 17:31:33, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Program Files\Windows Live\Messenger\msnmsgr .exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Samuel\LOCALS~1\Temp\Rar$EX00.797\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3EBE86BB-6E5C-47FF-AC56-4226E0A73D38} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D35B59A-5F47-48A5-9621-84DA465D0125} - \
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [BHR] C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr .exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Registration Ghost Recon Advanced Warfighter.LNK = C:\Program Files\Ubisoft\Demo\Ghost Recon Advanced Warfighter Demo\Support\Register\RegistrationReminder.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: hgghggd - hgghggd.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: avp - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe" -r (file missing)
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe" "WUSB54GC.exe (file missing)

Voili,voilou !

Bonne chance ! Et merci encore !

Réponse 28 / 81

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Re

Ok, bien joué, on continu :

1) Désactivation d'un service néfaste

Démarrer / exécuter tapes services.msc

Navigue jusqu au Service: avp

Clique droit sur la ligne du service en question avp puis arrêter
Clique droit a nouveau puis propriétés et a type de Démarrage mettre sur désactivé puis valider par appliquer et ok

Désactive le résident de Spybot pour l'exécution de ComboFix

via clique droit dans la barre des taches , décoche Protection d résident et clique sur quitter résident de SpyBot S&D

2) ComboFix avec CFScript :

* Sélectionne le texte suivant (en gras) dans son intégralité :

RENV::
----a-w 335,872 2007-12-29 01:01:28 C:\ATI-CPanel\atiptaxx .exe
----a-w 90,112 2007-12-29 01:01:28 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart .exe
----a-w 409,600 2007-12-29 01:01:21 C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN .EXE
----a-w 180,269 2007-12-29 02:04:01 C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe
----a-w 356,352 2007-12-29 01:01:16 C:\Program Files\FSC\Wireless Wheel Mouse\MOUSE32A .EXE
----a-w 68,856 2007-12-28 12:32:33 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
----a-w 267,064 2007-12-29 12:36:20 C:\Program Files\iTunes\iTunesHelper .exe
----a-w 218,376 2008-01-02 00:49:33 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe
----a-w 5,674,352 2007-12-29 12:36:51 C:\Program Files\MSN Messenger\msnmsgr .exe
----a-w 53,248 2007-12-29 12:36:22 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask .exe
----a-w 135,168 2007-12-29 12:36:20 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mm_tray .exe
----a-w 167,936 2007-12-29 12:36:12 C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd .exe
----a-w 49,152 2007-12-29 12:36:16 C:\Program Files\ScanSoft\OmniPageSE\opware32 .exe
----a-w 5,724,184 2008-01-02 00:50:31 C:\Program Files\Windows Live\Messenger\msnmsgr .exe
----a-w 5,724,184 2008-01-01 21:02:59 C:\Program Files\Windows Live\Messenger\msnmsgr .exe
----a-w 50,176 2007-12-31 18:14:10 C:\WINDOWS\eHome\ehtray .exe
----a-w 155,648 2007-12-29 01:01:18 C:\WINDOWS\system32\NeroCheck .exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3EBE86BB-6E5C-47FF-AC56-4226E0A73D38}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D35B59A-5F47-48A5-9621-84DA465D0125}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghggd]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-

File::
C:\WINDOWS\system32\svvwa.ini2
C:\WINDOWS\system32\svvwa.ini
C:\WINDOWS\system32\361C6B05CF.sys

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

Réponse 29 / 81

Dick Maverick

Re,

Voili,voilou, j'ai bien suivit ce que tu m'as dit de faire et je te poste donc les deux nouveaux rapports, combofix et hijackthis.

Les voici :

1) COMBOFIX

ComboFix 08-01-04.1 - Samuel 2008-01-08 6:56:04.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.603 [GMT 1:00]
Running from: C:\Documents and Settings\Samuel\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Samuel\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\system32\361C6B05CF.sys
C:\WINDOWS\system32\svvwa.ini
C:\WINDOWS\system32\svvwa.ini2
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\361C6B05CF.sys
C:\WINDOWS\system32\svvwa.ini
C:\WINDOWS\system32\svvwa.ini2

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-08 to 2008-01-08 ))))))))))))))))))))))))))))))))))))
.

2008-01-07 16:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 15:54 . 2008-01-07 15:54 <REP> d-------- C:\VundoFix Backups
2008-01-07 04:14 . 2008-01-08 06:51 <REP> d-------- C:\Program Files\Zoom Player
2008-01-05 05:40 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-05 05:40 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-05 05:40 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-05 05:40 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-05 05:40 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-05 05:40 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-05 05:40 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-05 01:58 . 2008-01-05 01:58 <REP> d-------- C:\Program Files\Lavasoft
2008-01-05 01:58 . 2008-01-05 01:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-05 01:57 . 2008-01-05 01:57 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-01-05 01:56 . 2008-01-05 01:56 <REP> d-------- C:\Program Files\IObit
2008-01-04 20:38 . 2008-01-04 20:38 <REP> d-------- C:\Program Files\MSXML 6.0
2008-01-04 19:47 . 2008-01-04 19:47 <REP> d-------- C:\Program Files\MSBuild
2008-01-04 19:41 . 2008-01-04 19:41 <REP> d-------- C:\WINDOWS\system32\XPSViewer
2008-01-04 19:41 . 2008-01-04 19:41 <REP> d-------- C:\Program Files\Reference Assemblies
2008-01-04 19:40 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-04 19:40 . 2008-01-04 19:49 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-01-04 19:28 . 2008-01-04 19:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-04 18:53 . 2008-01-04 18:53 <REP> d-------- C:\Program Files\Zamaan's Software
2008-01-04 18:53 . 2000-05-22 17:00 203,976 --a------ C:\WINDOWS\system32\richtx32.ocx
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\SHOUTcast Source
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\RealMedia
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\DScaler5
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\DS-MP3 Source
2008-01-04 03:43 . 2008-01-04 03:43 <REP> d-------- C:\Program Files\CD Audio Reader Filter
2008-01-03 18:23 . 2003-12-26 01:13 212,992 --a------ C:\WINDOWS\system32\YExBar.ocx
2008-01-03 18:23 . 1998-06-24 11:55 164,144 --a------ C:\WINDOWS\system32\COMCT232.OCX
2008-01-03 18:23 . 1998-05-05 17:35 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2008-01-03 18:23 . 2003-04-18 17:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-01-03 18:23 . 1998-07-06 18:55 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2008-01-03 18:23 . 1998-05-05 17:35 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2008-01-03 18:22 . 2008-01-03 18:22 <REP> d-------- C:\Program Files\YooApplications
2008-01-02 20:32 . 2008-01-05 22:46 <REP> d-------- C:\Program Files\a-squared Free
2008-01-02 01:02 . 2008-01-05 05:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-01-02 01:02 . 2008-01-05 05:30 8,641,056 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-02 01:02 . 2008-01-05 05:30 339,232 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-02 01:02 . 2008-01-05 05:30 116,804 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-02 01:02 . 2008-01-05 05:30 32,876 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-02 01:01 . 2008-01-02 01:01 <REP> d-------- C:\kav
2008-01-01 17:29 . 2008-01-01 17:29 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-12-30 04:39 . 2007-07-09 14:19 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-12-30 04:34 . 2008-01-02 21:39 <REP> d-------- C:\Program Files\Windows Live
2007-12-30 04:34 . 2007-12-30 04:38 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-12-30 04:33 . 2008-01-05 21:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-12-30 04:12 . 2007-06-13 15:22 1,037,312 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-12-30 04:12 . 2007-06-13 15:22 1,037,312 --a------ C:\WINDOWS\explorer.exe
2007-12-29 17:29 . 2007-12-30 03:34 <REP> d-------- C:\Program Files\a-squared Anti-Malware
2007-12-29 17:20 . 2007-12-30 17:44 <REP> d-------- C:\Program Files\Yahoo!
2007-12-29 17:20 . 2007-12-29 17:21 <REP> d-------- C:\Program Files\CCleaner
2007-12-29 02:54 . 2007-12-29 02:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-29 02:29 . 2007-12-29 02:52 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-28 13:31 . 2007-12-29 02:01 155,648 --a------ C:\WINDOWS\system32\NeroCheck .exe
2007-12-28 04:07 . 2007-12-28 04:07 <REP> d-------- C:\WINDOWS\system32\wdr
2007-12-28 04:07 . 2007-12-29 19:35 <REP> d-------- C:\WINDOWS\system32\ey2
2007-12-28 04:05 . 2007-12-28 04:07 <REP> d-------- C:\WINDOWS\system32\rf1
2007-12-28 04:05 . 2007-12-28 04:05 <REP> d-------- C:\WINDOWS\system32\ardCo01
2007-12-28 04:05 . 2007-12-28 04:05 <REP> d-------- C:\TEMP\cEeer12

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 00:56 --------- d-----w C:\Program Files\Webteh
2008-01-06 06:35 --------- d-----w C:\Program Files\eMule
2008-01-03 23:08 --------- d-----w C:\Documents and Settings\Samuel\Application Data\Azureus
2008-01-02 20:47 --------- d-----w C:\Program Files\Microsoft Works
2008-01-02 20:47 --------- d-----w C:\Program Files\Java Web Start
2008-01-02 20:47 --------- d-----w C:\Program Files\DivX
2008-01-02 20:47 --------- d-----w C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor
2008-01-02 19:04 --------- d-----w C:\Program Files\Sony
2008-01-02 19:02 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-01-02 02:14 65,430 ----a-w C:\Documents and Settings\Samuel\Application Data\wklnhst.dat
2008-01-02 00:02 --------- d-----w C:\Program Files\Kaspersky Lab
2007-12-31 01:16 --------- d-----w C:\Program Files\PKR
2007-12-30 03:39 --------- d-----w C:\Program Files\MSN Messenger
2007-12-29 18:36 --------- d-----w C:\Program Files\Titan Poker
2007-12-29 14:38 --------- d-----w C:\Program Files\QuickTime
2007-12-29 12:48 --------- d-----w C:\Program Files\iTunes
2007-12-22 23:42 --------- d-----w C:\Program Files\Azureus
2007-12-22 23:11 --------- d-----w C:\Program Files\Full Tilt Poker
2007-12-21 03:25 --------- d-----w C:\Program Files\TimeAdjuster
2007-12-03 19:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-26 23:52 --------- d--h--r C:\Documents and Settings\Samuel\Application Data\SecuROM
2007-11-22 06:00 --------- d-----w C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 11:57 --------- d-----w C:\Program Files\Fichiers communs\muvee Technologies
2007-11-10 11:54 --------- d-----w C:\Program Files\OLYMPUS
2007-05-07 14:12 1 ----a-w C:\Documents and Settings\Samuel\SI.bin
2006-07-30 13:06 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
[code]<pre>
------w 90,112 2007-12-29 01:01:28 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart .exe
----a-w 409,600 2007-12-29 01:01:21 C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN .EXE
----a-w 180,269 2007-12-29 02:04:01 C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe
----a-w 356,352 2007-12-29 01:01:16 C:\Program Files\FSC\Wireless Wheel Mouse\MOUSE32A .EXE
----a-w 68,856 2007-12-28 12:32:33 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
----a-w 267,064 2007-12-29 12:36:20 C:\Program Files\iTunes\iTunesHelper .exe
----a-w 218,376 2008-01-02 00:49:33 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe
----a-w 5,674,352 2007-12-29 12:36:51 C:\Program Files\MSN Messenger\msnmsgr .exe
----a-w 53,248 2007-12-29 12:36:22 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask .exe
----a-w 135,168 2007-12-29 12:36:20 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mm_tray .exe
----a-w 167,936 2007-12-29 12:36:12 C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd .exe
----a-w 49,152 2007-12-29 12:36:16 C:\Program Files\ScanSoft\OmniPageSE\opware32 .exe
----a-w 5,724,184 2008-01-02 00:50:31 C:\Program Files\Windows Live\Messenger\msnmsgr .exe
----a-w 5,724,184 2008-01-01 21:02:59 C:\Program Files\Windows Live\Messenger\msnmsgr .exe
----a-w 50,176 2007-12-31 18:14:10 C:\WINDOWS\eHome\ehtray .exe
----a-w 155,648 2007-12-29 01:01:18 C:\WINDOWS\system32\NeroCheck .exe
</pre>[/code]

((((((((((((((((((((((((((((( snapshot@2008-01-07_17.17.14.75 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-07-14 23:49:16 258,048 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_aspnet_isapi.dll
+ 2004-07-14 22:32:22 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_CORPerfMonExt.dll
+ 2004-07-14 22:24:30 282,624 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_fusion.dll
+ 2004-07-14 22:25:06 315,392 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_mscorjit.dll
+ 2004-07-15 12:29:02 2,138,112 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_mscorlib.dll
+ 2003-02-20 17:09:18 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_mscorsn.dll
+ 2004-07-14 22:26:52 2,510,848 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_mscorsvr.dll
+ 2004-07-14 22:28:34 2,502,656 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_mscorwks.dll
+ 2003-02-21 02:42:22 348,160 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_msvcr71.dll
+ 2004-07-14 22:34:50 94,208 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SHADOW3036\_PerfCounter.dll
+ 2008-01-08 06:02:04 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4d0.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D35B59A-5F47-48A5-9621-84DA465D0125}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr .exe" [2008-01-01 22:02 5724184]
"@"="" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-20 00:09 50176]
"BHR"="C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe" [2006-10-24 22:14 9375744]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghggd]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2001-12-20 07:02]
R2 Belkin 54g Wireless USB Network Adapter Service;Belkin 54g Wireless USB Network Adapter;C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe [2004-03-29 16:08]
R2 CX23880;Conexant 23880 Video Capture;C:\WINDOWS\system32\drivers\cx88vid.sys [2003-09-12 17:54]
R2 CX88ENC;Conexant 2388x MPEG Encoder;C:\WINDOWS\system32\drivers\cx88enc.sys [2003-09-12 17:54]
R2 CX88XBAR;Conexant 2388x Crossbar;C:\WINDOWS\system32\drivers\CX88XBAR.sys [2003-09-12 17:55]
R2 CXTUNE;Conexant 2388x Tuner;C:\WINDOWS\system32\drivers\CX88TUNE.sys [2003-09-12 17:54]
R2 nhksrv;Netropa NHK Server;C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe [2001-08-06 04:41]
S3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2003-04-18 13:45]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\system32\DRIVERS\usbiad.sys [2004-07-14 01:52]
S4 avp ;avp ;"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe" [2008-01-02 01:49]

*Newly Created Service* - GTNDIS5
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 21:25:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-01-08 06:03:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 07:02:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-08 7:05:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-08 06:05:20
ComboFix2.txt 2008-01-07 16:17:32
.
2008-01-08 00:00:54 --- E O F ---

2) HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 07:10:35, on 08/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Samuel\LOCALS~1\Temp\Rar$EX00.562\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [BHR] C:\Program Files\Zamaan's Software\Browser Hijack Retaliator 4.5\BHR.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Registration Ghost Recon Advanced Warfighter.LNK = C:\Program Files\Ubisoft\Demo\Ghost Recon Advanced Warfighter Demo\Support\Register\RegistrationReminder.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: WUSB54GCSVC - Unknown owner - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe" "WUSB54GC.exe (file missing)

Les choses semblent elles s'améliorer ?...

Encore Merci pour ton aide si rapide ! Et puis bien du courage pour analyser tout ça !

Réponse 30 / 81

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Hello

Tres bien

*Lance HijackThis.

Ferme toutes les autres fenêtres, tous les autres programmes .Pas de connexion Internet.

Clique surOpen the Misc Tools section puis clique sur Delete an NT service colle avp dans la fenêtre qui vient de s'ouvrir confirme la suppression par ok, , a la question posée "are you sure .." confirme a nouveau.

Ferme HijackThis.

* Navigue jusqu'a C:\Program Files\Kaspersky Lab et supprime ce dossier Kaspersky Lab puis vide ta poubelle.

* On va vérifier ce que cela donne ( il reste encore des traces dans Windows LiveMessenger )

* Rends toi sur ESET Online Scanner Link http://www.eset.com/onlinescan/
* Coche la case YES, I accept the Terms Of Use
* Clicque sur le bouton Start
* Clique maintenat sur Install button
* Clicque a nouveau sur Start

Les mises a jours du scan en ligne vont se faire.
* Ne coche pas Remove found threats
* Clique sur Scan button

Le scan va démarrer, sois patient.

* Quand le scan sera terminé, clique sur Details tab

* Copie colle en réponse le contenu de C:\Program Files\EsetOnlineScanner\log.txt back

@ suivre.

Réponse 31 / 81

Dick Maverick

J'ai juste un petit problème. Sur le bureau, je n'ai aucune icone de Kaspersky à faire glisser dans la fenêtre "Delete an NT service" (Sans doute parce que je crois avoir déjà désinstallé Kaspersky à partir "d'ajout/suppression d'un programme"). J'ai essayé de faire glisser celle intitulée "avp .exe" à partir du fichier C:/ProgramFiles/ Kapersky Lab/..., mais le symbole sens interdit m'indique que faire glisser les icones est une manuipulation impossible dans cette fenêtre. J'ai donc tenté de copier/coller le nom "avp .exe" dans cette fenêtre mais le message "avp .exe was not found in the registry. Make sure you entered the short name of the service., vbExclamation" apparait lorsque je le fais.

Je pense pouvoir effacer tout le fichier "Kaspersky Lab" en mettant tout son contenu à la corbeille, donc sans passer d'abord par l'utilitaire de hijackthis, mais est-ce bien prudent que de ne pas respecter l'ordre des consignes que tu m'as donné ??

Si ça n'as pas d'importance,je zappe la première étape et passe donc directement à celle ci "Navigue jusqu'a C:\Program Files\Kaspersky Lab et supprime ce dossier Kaspersky Lab puis vide ta poubelle". Et bien évidemment, j'enchainerai avec la suite de ton petit tutorial...

J'attends de tes nouvelles...

Encore Merci !

Réponse 32 / 81

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonsoir

Je voulais que tu colles avp dans la fenêtre en question ,je n'ai jamais parlé d'icône sur ton Bureau ( cela voulait dire écrit si tu préfères)

Cette manœuvre est destinée a supprimer le service avp anciennement de Kaspersky qui a été patché par ton malware .

@ suivre

Réponse 33 / 81

Dick Maverick

Oui, oui, vu que je n'arrivais pas à glisser l'icône dans la fenêtre, t'inquiète pas, dans le doute j'avais quand même également tenté d'y écrire le nom du chemin d'accès du fichier avp et "avp" tout court. C'est justement à ce moment là que le message que je t'ai précédement écrit apparaissait à l'écran. Le problème restait donc d'actualité. J'utilise l'imparfait, car je viens de trouver la solution. En fait, en allant dans C:/ProgramFiles/KasperskyLab/... j'ai trouvé le fichier "avp .exe" et j'ai remarqué qu'il y avait un espace entre le "avp" et le ".exe". Dans la fenêtre de l'utilitaire de Hijackthis, il ne fallait donc pas taper simplement "avp" ou "avp.exe"comme je l'avais aussi essayé, mais plus précisément "avp+espace".

C'est toujours bon à signaler. On ne sait jamais, c'est une info dont tu pourrais avoir besoin pour les prochaines personnes que tu aideras...

Je vais donc poursuivre ce que tu m'as demandé de faire. A plus !

Réponse 34 / 81

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonsoir Dick Maverick

Merci pour cette info ;)

@ suivre.

Réponse 35 / 81

Dick Maverick

Ca y est ! J'ai effacé le fichier avp avec l'utilitaire de Hijackthis et j'ai jeté le dossier KasperskyLab à la poubelle. Poubelle que je n'ai pas oublié de vider, avec en prime un redémarrage après cela. Le scan De ESET est également finit ! Résultats : 2 menaces trouvées !

Voici le rapport :

# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=2775 (20080108)
# vers_arch_module=1.060 (20071228)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=64d834dec5204b4685ccef8da5e384d5
# end=finished
# remove_checked=false
# unwanted_checked=false
# utc_time=2008-01-09 02:27:20
# local_time=2008-01-09 03:27:20 (+0100, Paris, Madrid)
# country="France"
# osver=5.1.2600 NT Service Pack 2
# scanned=248648
# found=2
# scan_time=3389
C:\QooBox\Quarantine\C\Program Files\Fichiers communs\Yazzle1281OinAdmin.exe.vir a variant of Win32/TrojanDownloader.PurityScan trojan FF8FB4B45F333F2C982CF0704904857D
C:\WINDOWS\system32\ardCo01\ardCo011065.exe a variant of Win32/TrojanDownloader.VB.AW trojan FC039BBA134C9362CFC0E8F45D623F51

Coriace ce Trojan !! Nom de nom !!

En attente de nouvelles instructions...Le Sioux, à vous !

Réponse 36 / 81

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Re

Ouaips, c'est bien . La QooBox c'est les back up de ComboFix qu'il faudra pensera jeter aussi, pour l'autre détection, fait ce qui suit :

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\ardCo01\ardCo011065.exe

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression.
si c'est le cas accepte par Yes.

--> Poste le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

Dis moi aussi comment se porte ton PC ?

@ suivre

Réponse 37 / 81

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Re

Une fois la manip du poste 45 faite :

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce a OTMoveIt de Old_Timer :

Lance OTMoveIt et clique sur le bouton CLEANUP
(ceci supprime toutes les traces des logiciels que nous avons utilisé qui traitent des infections spécifiques et qui sont mis à jour régulièrement, ainsi que OTMoveIt lui même)

Supprime aussi C:\QooBox et ComboFix sur ton Bureau si cela n'a pas été déjà fait par la manœuvre "clean up" d'OTMoveIt, puis vide ta poubelle.

Puis

Fais un scan en ligne chez Panda :

Avant n'oublie pas de brancher ton disque dur externe pour le scanner aussi.

* Tuto en image https://forum.pcastuces.com/sujet.asp?f=25&s=3902#haut à la lettre T

* Fais un scan antivirus en ligne Panda (avec Internet Explorer. Désactive ton antivirus pendant le scan)
ici --> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan

Et copie colle le résultat ici

@ +

Réponse 38 / 81

Dick Maverick

Re,

Ca yest ! J'ai fait tout ce que tu m'as demandé. Sauf que, comme étrangement je ne pouvais pas lancer l'analyse pour le PANDAscan (Sur la page "Select a device to scan", rien ne se passe lorsque je clic sur l'icone "Disques locaux". Une petite mention "Erreur sur la page" figure en bas de la fenêtre), j'ai donc du passé par le lien "clickActivescan" dans cette même fenêtre. Le lien proposait d'installer PANDAscan sur mon bureau. Ce que j'ai fait. Un icône "Pandaactivescan" est ensuite apparu sur mon bureau et il menait à cette adresse :

http://www.infectedornot.com/france/</code>. 



Je remarque que le scan ne s'appelle plus "Pandaactivescan" mais "Pandatotalscan". Bref, je ne sais pas si il y a une différence, mais quoiqu'il en soit j'ai fait ce long scan (mode complet, avec le DDexterne d'ailleurs) et voici son rapport :





;***********************************************************************************************************************************************************************************

ANALYSIS: 2008-01-09 18:11:23

PROTECTIONS: 2

MALWARE: 5

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description                                  Version                       Active    Updated

;===================================================================================================================================================================================

avast! antivirus 4.7.1098 [VPS 080108-0]     4.7.1098                      No        Yes

Kaspersky Internet Security                  7.0.0.125                     No        Yes

;===================================================================================================================================================================================

MALWARE

Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

;===================================================================================================================================================================================

00145731  Cookie/Tribalfusion                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Samuel\Cookies\samuel@tribalfusion[1].txt

00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Samuel\Cookies\samuel@xiti[1].txt

01262593  Application/NirCmd.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP1\A0000017.exe

01262593  Application/NirCmd.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP1\A0000031.exe

01262593  Application/NirCmd.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP2\A0000065.exe

01262593  Application/NirCmd.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP2\A0000079.exe

01262593  Application/NirCmd.A               HackTools           No        0         No             No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP5\A0000559.exe[nircmd.cfexe]

01262593  Application/NirCmd.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP2\A0000189.exe

01262593  Application/NirCmd.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP3\A0000281.exe

01262593  Application/NirCmd.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP4\A0000373.exe

01262593  Application/NirCmd.A               HackTools           No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP5\A0000555.exe

01262593  Application/NirCmd.A               HackTools           No        0         No             No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP5\A0000559.exe[nircmd.exe]

02642510  Adware/PurityScan                  Adware              No        0         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP2\A0000080.exe

02887793  Trj/Downloader.RSV                 Virus/Trojan        No        1         Yes            No           C:\System Volume Information\_restore{97C5DEEA-CC3D-4550-826F-54880A25A099}\RP5\A0000568.exe

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================







Au fait, dois-je appliquer la demande de désinfection que propose le scan en fin d'analyse ? Ou avais tu simplement besoin du rapport ?





PS : Si tu sens que le Trojan est trop difficile à éradiquer, n'hésite pas à me le dire, je suis toujours ouvert au reformatage.







Encore Merci !

Réponse 39 / 81

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Re

Non, ne t'inquietes pas on en voit le bout, oublie le formatage ;-)

Nous n'avons ici que des cookies et des traces dans la restauration que nous désactiverons / réactiverons bientôt en fin de nettoyage, supprimant ainsi ces menaces, ce qui créera un point de resto sain .

@+

Réponse 40 / 81

Dick Maverick

Ok, merci de l'info, c'est rassurant. Je te laisse analyser tout ça alors. Prends ton temps...

Discussions similaires

qu'est ce qu'un "trojan agent/gen" ? svp

QuickShare c'est quoi ce truc

Trojan dropper Agent partout dans mon ordi !!

81 réponses

Votre réponse

Discussions similaires

Newsletters