pc lent et infecté

Question

Bonsoir à tous, 

J'ai fait plusieurs scans de mon pc à l'aide de adaware, spybot, avg, smitfraud, ccleaner, etc... ouf! mais mon pc est encore infecté.  
Je vous présente donc mon log hijakthis en espérant que quelqu'un pourra m'aider à retrouver le sourire quand je me sers de mon pc :)  

En vous remerciant d'avance pour vos conseils et le temps que vous passerez sur mon cas.  Voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:11, on 2008-01-03
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [atunkbqj] rundll32.exe "C:\Program Files\atunkbqj\wxyjuxaz.dll",Init
O4 - HKLM\..\Run: [nuvohqpc] regsvr32 /u "C:\Documents and Settings\All Users\Application Data
uvohqpc.dll"
O4 - HKLM\..\Run: [SC2] C:\Program Files\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [7418adfb] rundll32.exe "C:\WINDOWS\System32
vutdrfj.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
pjpi150_04.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bytsktkk.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

Le sioux · Answer

Bonjour Vyse

Belle infection Vundo et cie, il y a du boulot, c'est parti :

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscure, demande des explications avant de commencer la désinfection 

1) Désinstallation programme néfaste

Démarrer / Paramètres /Panneau de config et dans Ajout/Suppression de programme , clique sur la ligne du programme a désinstaller SecCenter puis clique sur supprimer et suis les demandes de la boite de dialogue qui s'ouvrira afin d'amener la désinstallation a son terme.
Fais redémarrer ton PC si demandé et jette ensuite les dossiers respectifs dans C:\Program Files\SecCenter  <-- ce dossier

2) Télécharge 

*  Combofix.exe de sUBs sur ton Bureau

--> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

N'y touche pas pour le moment.

* VundoFix.exe par Atribune  -->  http://www.atribune.org/content/view/24/2/ sur ton Bureau.

3) VundoFix.exe par Atribune 

    * Double-clique sur VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur  OK

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

4)  Combofix.exe de sUBs

Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement

Double clique sur Combofix.exe
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan
Lorsque le scan sera terminé, un rapport apparaîtra.

5) Rapports :

Poste en réponse :

* Le rapport VundoFix  situé dans C:\vundofix.txt
* Le rapport de ComboFix qui se se trouve  là : C:\Combofix.txt+
* Un nouveau rapport HijackThis.

@ suivre

Vyse · Answer

Bonjour Le Sioux, 

J'ai tenté ce matin d'accéder mon panneau de configuration sans succès.  Je vais retenter en mode sans échec après le boulot.  Je te reviens avec tout ça un peu plus tard.  

Merci de ton temps
À plus tard

Vyse

Le sioux · Answer

Hello

Nous rétablirons ton accès au panneau de configuration ultérieurement

Va voir dans C:\Program Files\SecCenter  et cherche un uninstall afin de lancer la désinstallation de ce programme puis continu la manip.

@+

Vyse · Answer

Re, Alors, j'ai récupéré mon accès à mon panneau de contrôle mais comme le programme SecCenter n'y figurait pas, je n'ai pas pu le désinstaller. J'ai quand même continué la manip. Voici donc les rapports: VundoFix V6.7.7 Checking Java version... Java version is 1.5.0.2 Old versions of java are exploitable and should be removed. Java version is 1.5.0.4 Old versions of java are exploitable and should be removed. Scan started at 17:58:50 2008-01-04 Listing files found while scanning.... VundoFix V6.7.7 Checking Java version... Java version is 1.5.0.2 Old versions of java are exploitable and should be removed. Java version is 1.5.0.4 Old versions of java are exploitable and should be removed. Scan started at 18:55:15 2008-01-04 Listing files found while scanning.... C:\WINDOWS\system32\bukteumi.dll C:\WINDOWS\System32 nnkjih.dll Beginning removal... Attempting to delete C:\WINDOWS\system32\bukteumi.dll C:\WINDOWS\system32\bukteumi.dll Has been deleted! Attempting to delete C:\WINDOWS\System32 nnkjih.dll C:\WINDOWS\System32 nnkjih.dll Has been deleted! Performing Repairs to the registry. Done! ComboFix 08-01-04.1 - Vyse 2008-01-04 19:17:02.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.33.1036.18.488 [GMT -5:00] Running from: C:\Documents and Settings\Vyse\Bureau\fix\ComboFix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\WinBudget C:\Program Files\WinBudget\bin\crap.1191380331.old C:\Program Files\WinBudget\bin\matrix.dll C:\WINDOWS\cookies.ini C:\WINDOWS\system32\cglbrhif.dll C:\WINDOWS\system32\cgtkxpdg.dll C:\WINDOWS\system32\ekckjdpr.dll C:\WINDOWS\system32\flpymjno.ini C:\WINDOWS\system32\guplfvvk.ini C:\WINDOWS\system32\hpvjfdds.ini C:\WINDOWS\system32\hxrixqqo.dll C:\WINDOWS\system32\jjtqtrtx.dll C:\WINDOWS\system32\kcgpnaqo.dll C:\WINDOWS\system32\koxyobxe.dll C:\WINDOWS\system32\kvvflpug.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mmeaqtxs.ini C:\WINDOWS\system32\onjmyplf.dll C:\WINDOWS\system32\pwsorapd.dll C:\WINDOWS\system32\sddfjvph.dll C:\WINDOWS\system32\sxtqaemm.dll C:\WINDOWS\system32 qemxtjr.dll C:\WINDOWS\system32 wwxx.ini C:\WINDOWS\system32 wwxx.ini2 C:\WINDOWS\system32 ysscggr.dll C:\WINDOWS\System32\xxwwt.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-05 to 2008-01-05 )))))))))))))))))))))))))))))))))))) . 2008-01-04 19:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-04 17:58 . 2008-01-04 17:58 d-------- C:\VundoFix Backups 2008-01-01 18:24 . 2008-01-02 18:24 1,031,458 ---hs---- C:\WINDOWS\system32\gwrbqrit.ini 2007-12-31 18:28 . 2007-12-31 19:00 1,031,139 ---hs---- C:\WINDOWS\system32\floseefi.ini 2007-12-29 18:26 . 2007-12-29 18:26 1,031,379 ---hs---- C:\WINDOWS\system32\csxjgjhe.ini 2007-12-28 18:23 . 2007-12-29 18:23 1,031,319 ---hs---- C:\WINDOWS\system32\eyqyocdi.ini 2007-12-28 01:22 . 2007-12-28 01:22 d-------- C:\Program Files\CCleaner 2007-12-28 01:01 . 2007-12-28 01:01 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-12-28 01:01 . 2007-05-30 07:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-28 00:50 . 2007-12-28 00:50 d-------- C:\Program Files\Trend Micro 2007-12-27 18:31 . 2007-12-28 00:48 2,082 --a------ C:\WINDOWS\system32 mp.reg 2007-12-27 18:30 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-12-27 18:30 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-12-27 18:30 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-12-27 18:21 . 2007-12-28 18:21 1,031,259 ---hs---- C:\WINDOWS\system32\jfrdtuvn.ini 2007-12-17 20:43 . 2007-12-17 20:43 80,448 --a------ C:\WINDOWS\system32\qvgsqocx.dll 2007-12-14 21:12 . 2007-12-14 21:12 80,448 --a------ C:\WINDOWS\system32\uraownfm.dll 2007-12-11 21:53 . 2007-12-11 21:54 80,448 --a------ C:\WINDOWS\system32\bofudgcw.dll 2007-12-10 16:59 . 2007-12-10 17:00 80,448 --a------ C:\WINDOWS\system32\elddvpny.dll 2007-12-10 12:57 . 2007-12-10 12:57 74,304 --a------ C:\WINDOWS\system32\gjldlife.exe 2007-12-05 23:13 . 2007-12-05 23:13 74,304 --a------ C:\WINDOWS\system32\bytsktkk.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-28 19:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-18 02:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip 2007-11-28 05:03 --------- d-----w C:\Program Files\Microsoft AntiSpyware 2007-11-28 05:02 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-11-28 05:02 --------- d-----w C:\Program Files\Digitalway 2007-11-28 04:02 --------- d-----w C:\Program Files\GSpot 2007-11-28 00:30 110,592 ----a-w C:\Documents and Settings\All Users\Application Data uvohqpc.dll 2007-11-28 00:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\WildTangent 2007-11-28 00:09 --------- d-----w C:\Program Files\WildGames 2007-11-27 23:58 --------- d-----w C:\Program Files\bfgclient 2007-11-27 23:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\BigFishGamesCache 2007-11-10 00:54 --------- d-----w C:\Program Files\QuickTime 2007-11-10 00:54 --------- d-----w C:\Program Files\iTunes 2007-11-10 00:54 --------- d-----w C:\Program Files\iPod 2007-11-10 00:47 --------- d-----w C:\Program Files\Apple Software Update 2007-11-10 00:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ------w 0 1601-01-01 00:00:00 C:\Documents and Settings\Vyse\Local Settings\Application Data\Microsoft\bak\ ----a-w 917,504 2005-10-11 14:35:18 C:\Program Files\ESET\bak od32kui.exe ----a-w 256,576 2006-10-30 14:36:36 C:\Program Files\iTunes\bak\iTunesHelper.exe ----a-w 267,048 2007-11-02 23:36:42 C:\Program Files\iTunes\iTunesHelper.exe ----a-w 473,928 2005-11-15 17:12:14 C:\Program Files\Microsoft AntiSpyware\bak\gcasServ.exe ----a-w 849,280 2007-02-05 20:52:12 C:\Program Files\Microsoft IntelliPoint\bak\ipoint.exe ----a-w 813,912 2006-11-21 22:08:58 C:\Program Files\Microsoft IntelliType Pro\bak\itype.exe ----a-w 282,624 2006-10-25 23:58:18 C:\Program Files\QuickTime\bak\qttask.exe ----a-w 286,720 2007-10-20 01:16:26 C:\Program Files\QuickTime\QTTask.exe ----a-w 13,312 2002-08-29 09:45:10 C:\WINDOWS\system32\bak\ctfmon.exe ----a-w 13,312 2002-08-29 09:45:10 C:\WINDOWS\system32\ctfmon.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1263D455-98F2-4979-B577-F4A51E9278F2}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18230788-9511-41D0-A89F-0DE5B05EE21B}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7722642D-C56A-55E4-6E7E-07D5462CC3EE}] C:\Program Files\Ikaatwjd\uktfrsei.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A0C6E8C0-DE58-48F7-87CE-BE10C28FAA24}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EE3B6E2C-1AB2-4518-B640-9BB3B8618FC5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F103E6B2-3CA4-411D-8973-27DF49CA7386}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:45 13312] "MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-11-15 16:18 1670144] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundFusion"="hercplgs.cpl" [2002-12-20 14:46 453120 C:\WINDOWS\system32\hercplgs.cpl] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-10-19 20:16 286720] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-02 18:36 267048] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 04:25 6731312] "7418adfb"="C:\WINDOWS\System32 vutdrfj.dll" [ ] "atunkbqj"="C:\Program Files\atunkbqj\wxyjuxaz.dll" [ ] "nuvohqpc"="regsvr32 /u C:\Documents and Settings\All Users\Application Data uvohqpc.dll" [ ] "SC2"="C:\Program Files\SecCenter\scprot4.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 04:45 13312] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\winmbj32] winmbj32.dll 2007-11-27 19:30 23040 C:\WINDOWS\system32\winmbj32.dll R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\System32\drivers\hercspud.sys [2003-01-10 08:21] R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\System32\drivers\hercwdm.sys [2003-01-10 08:21] R3 rtl8029;Pilote NT de carte Realtek PCI Ethernet à base RTL8029(AS);C:\WINDOWS\System32\DRIVERS\RTL8029.SYS [2001-08-17 19:12] S3 dwusbdnt;dwusbdnt;C:\WINDOWS\System32\DRIVERS\dwusbdnt.sys [2002-05-24 10:52] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-02 20:56:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-01-04 07:00:00 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job" - C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-04 19:25:52 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\winmbj32.dll . Completion time: 2008-01-04 19:27:47 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-05 00:27:44 . 2007-12-20 22:14:16 --- E O F --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:40:43, on 2008-01-04 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Eset od32krn.exe C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\MSMSGS.EXE C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7722642D-C56A-55E4-6E7E-07D5462CC3EE} - C:\Program Files\Ikaatwjd\uktfrsei.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [7418adfb] rundll32.exe "C:\WINDOWS\System32 vutdrfj.dll",b O4 - HKLM\..\Run: [atunkbqj] rundll32.exe "C:\Program Files\atunkbqj\wxyjuxaz.dll",Init O4 - HKLM\..\Run: [nuvohqpc] regsvr32 /u "C:\Documents and Settings\All Users\Application Data uvohqpc.dll" O4 - HKLM\..\Run: [SC2] C:\Program Files\SecCenter\scprot4.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin pjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin pjpi150_04.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab O20 - Winlogon Notify: winmbj32 - C:\WINDOWS\SYSTEM32\winmbj32.dll O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset od32krn.exe

Le sioux · Answer

Bonjour Vyse

Excuse mon retard, je n'ai pas pu passer avant ...
(Je suis un peu perplexe devant la partie AWF avec \bak  du rapport ComboFix)

Ton PC est bien infecté, on continue le nettoyage :

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscure, demande des explications avant de commencer la désinfection 

ComboFix avec CFScript : 

*  Sélectionne le texte suivant (en gras)  dans son intégralité :

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18230788-9511-41D0-A89F-0DE5B05EE21B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7722642D-C56A-55E4-6E7E-07D5462CC3EE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A0C6E8C0-DE58-48F7-87CE-BE10C28FAA24}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EE3B6E2C-1AB2-4518-B640-9BB3B8618FC5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F103E6B2-3CA4-411D-8973-27DF49CA7386}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\winmbj32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"7418adfb"=-
"atunkbqj"=-
"nuvohqpc"=-
"SC2"=-

File::
C:\WINDOWS\system32\winmbj32.dll
C:\WINDOWS\system32\gwrbqrit.ini
C:\WINDOWS\system32\floseefi.ini
C:\WINDOWS\system32\csxjgjhe.ini
C:\WINDOWS\system32\eyqyocdi.ini
C:\WINDOWS\system32\jfrdtuvn.ini
C:\WINDOWS\system32\qvgsqocx.dll
C:\WINDOWS\system32\uraownfm.dll
C:\WINDOWS\system32\bofudgcw.dll
C:\WINDOWS\system32\elddvpny.dll
C:\WINDOWS\system32\gjldlife.exe
C:\WINDOWS\system32\bytsktkk.exe
C:\Documents and Settings\All Users\Application Data
uvohqpc.dll
C:\WINDOWS\System32
vutdrfj.dll
C:\Program Files\atunkbqj\wxyjuxaz.dll
C:\Program Files\SecCenter\scprot4.exe
C:\Program Files\Ikaatwjd\uktfrsei.dll

Folder::
C:\Program Files\atunkbqj
C:\Program Files\SecCenter
C:\Program Files\Ikaatwjd

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé. 

-->  Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

( Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

Le sioux · Answer

Re

Une fois que tu auras fait la manip au dessus dans message précédent ,le 5 , fais ce qui suit :

Télécharge FindAWF.exe de Noahdfear sur ton Bureau.

http://noahdfear.geekstogo.com/FindAWF.exe

- Double-clique FindAWF.exe

- Un fichier texte sera produit et s'affichera à l'écran (awf.txt)

- Copie/colle le contenu du fichier dans ta prochaine réponse.

@suivre.

Vyse22 · Answer

Rebonjour, Excuse moi de mon retard aussi et merci de continuer à m'aider. Alors voici les rapports ComboFix, Hijackthis et FindAWF. J'avoue que là je suis pas mal perdue, j'espère que tu t'y retrouvera. Je précise aussi que depuis la dernière manip, à l'occasion, mon écran ne reçoit plus de signal (Je dois alors rebooter). À date c'est arrivé à 2-3 reprises. Qu'est-ce que tu en penses? ComboFix 08-01-04.1 - Vyse 2008-01-06 17:50:04.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.33.1036.18.491 [GMT -5:00] Running from: C:\Documents and Settings\Vyse\Bureau\fix\ComboFix.exe Command switches used :: C:\Documents and Settings\Vyse\Bureau\CFScript.txt * Created a new restore point FILE C:\Documents and Settings\All Users\Application Data uvohqpc.dll C:\Program Files\atunkbqj\wxyjuxaz.dll C:\Program Files\Ikaatwjd\uktfrsei.dll C:\Program Files\SecCenter\scprot4.exe C:\WINDOWS\system32\bofudgcw.dll C:\WINDOWS\system32\bytsktkk.exe C:\WINDOWS\system32\csxjgjhe.ini C:\WINDOWS\system32\elddvpny.dll C:\WINDOWS\system32\eyqyocdi.ini C:\WINDOWS\system32\floseefi.ini C:\WINDOWS\system32\gjldlife.exe C:\WINDOWS\system32\gwrbqrit.ini C:\WINDOWS\system32\jfrdtuvn.ini C:\WINDOWS\System32 vutdrfj.dll C:\WINDOWS\system32\qvgsqocx.dll C:\WINDOWS\system32\uraownfm.dll C:\WINDOWS\system32\winmbj32.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data uvohqpc.dll C:\WINDOWS\system32\bofudgcw.dll C:\WINDOWS\system32\bytsktkk.exe C:\WINDOWS\system32\csxjgjhe.ini C:\WINDOWS\system32\elddvpny.dll C:\WINDOWS\system32\eyqyocdi.ini C:\WINDOWS\system32\floseefi.ini C:\WINDOWS\system32\gjldlife.exe C:\WINDOWS\system32\gwrbqrit.ini C:\WINDOWS\system32\jfrdtuvn.ini C:\WINDOWS\system32\qvgsqocx.dll C:\WINDOWS\system32\uraownfm.dll C:\WINDOWS\system32\winmbj32.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\poof ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 )))))))))))))))))))))))))))))))))))) . 2008-01-06 13:50 . 2008-01-06 13:50 d-------- C:\WINDOWS\LogFiles 2008-01-04 19:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-04 17:58 . 2008-01-04 17:58 d-------- C:\VundoFix Backups 2007-12-28 01:22 . 2007-12-28 01:22 d-------- C:\Program Files\CCleaner 2007-12-28 01:01 . 2007-12-28 01:01 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-12-28 01:01 . 2007-05-30 07:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-28 00:50 . 2007-12-28 00:50 d-------- C:\Program Files\Trend Micro 2007-12-27 18:31 . 2007-12-28 00:48 2,082 --a------ C:\WINDOWS\system32 mp.reg 2007-12-27 18:30 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-12-27 18:30 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-12-27 18:30 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-28 19:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-18 02:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip 2007-11-28 05:03 --------- d-----w C:\Program Files\Microsoft AntiSpyware 2007-11-28 05:02 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-11-28 05:02 --------- d-----w C:\Program Files\Digitalway 2007-11-28 04:02 --------- d-----w C:\Program Files\GSpot 2007-11-28 00:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\WildTangent 2007-11-28 00:09 --------- d-----w C:\Program Files\WildGames 2007-11-27 23:58 --------- d-----w C:\Program Files\bfgclient 2007-11-27 23:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\BigFishGamesCache 2007-11-10 00:54 --------- d-----w C:\Program Files\QuickTime 2007-11-10 00:54 --------- d-----w C:\Program Files\iTunes 2007-11-10 00:54 --------- d-----w C:\Program Files\iPod 2007-11-10 00:47 --------- d-----w C:\Program Files\Apple Software Update 2007-11-10 00:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple . ((((((((((((((((((((((((((((( snapshot@2008-01-04_19.27.10.06 ))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ------w 0 1601-01-01 00:00:00 C:\Documents and Settings\Vyse\Local Settings\Application Data\Microsoft\bak\ ----a-w 917,504 2005-10-11 14:35:18 C:\Program Files\ESET\bak od32kui.exe ----a-w 256,576 2006-10-30 14:36:36 C:\Program Files\iTunes\bak\iTunesHelper.exe ----a-w 267,048 2007-11-02 23:36:42 C:\Program Files\iTunes\iTunesHelper.exe ----a-w 473,928 2005-11-15 17:12:14 C:\Program Files\Microsoft AntiSpyware\bak\gcasServ.exe ----a-w 849,280 2007-02-05 20:52:12 C:\Program Files\Microsoft IntelliPoint\bak\ipoint.exe ----a-w 813,912 2006-11-21 22:08:58 C:\Program Files\Microsoft IntelliType Pro\bak\itype.exe ----a-w 282,624 2006-10-25 23:58:18 C:\Program Files\QuickTime\bak\qttask.exe ----a-w 286,720 2007-10-20 01:16:26 C:\Program Files\QuickTime\QTTask.exe ----a-w 13,312 2002-08-29 09:45:10 C:\WINDOWS\system32\bak\ctfmon.exe ----a-w 13,312 2002-08-29 09:45:10 C:\WINDOWS\system32\ctfmon.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7722642D-C56A-55E4-6E7E-07D5462CC3EE}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:45 13312] "MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-11-15 16:18 1670144] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundFusion"="hercplgs.cpl" [2002-12-20 14:46 453120 C:\WINDOWS\system32\hercplgs.cpl] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 20:16 286720] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-02 18:36 267048] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 04:25 6731312] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 04:45 13312] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\winmbj32] R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\System32\drivers\hercspud.sys [2003-01-10 08:21] R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\System32\drivers\hercwdm.sys [2003-01-10 08:21] R3 rtl8029;Pilote NT de carte Realtek PCI Ethernet à base RTL8029(AS);C:\WINDOWS\System32\DRIVERS\RTL8029.SYS [2001-08-17 19:12] S3 dwusbdnt;dwusbdnt;C:\WINDOWS\System32\DRIVERS\dwusbdnt.sys [2002-05-24 10:52] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-02 20:56:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-01-05 07:00:00 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job" - C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-06 17:56:22 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-01-06 17:57:57 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-06 22:57:48 ComboFix2.txt 2008-01-05 00:27:48 . 2007-12-20 22:14:16 --- E O F --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:13:09, on 2008-01-06 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Eset od32krn.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\MSMSGS.EXE C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\WINDOWS\system32 otepad.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin pjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin pjpi150_04.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset od32krn.exe

Le sioux · Answer

Bonsoir Vyse

je vais regarder ses rapports de plus pret.

Un certain ménage a été fait, mais il reste du travail ce qui explique peut etre cela :

Je précise aussi que depuis la dernière manip, à l'occasion, mon écran ne reçoit plus de signal (Je dois alors rebooter). À date c'est arrivé à 2-3 reprises.

Au passage, que veux tu dire par "mon écran ne reçoit plus de signal "  ? stp 

Je repasse te donner la conduite a tenir par la suite.

@ suivre donc ;)

Le sioux · Answer

Bonsoir Vyse

J'attendais confirmation pour te faire exécuter la suite.  Merci a Igor 51

C'est reparti :

FindAWF option 2

Double-clique sur l'icône FindAWF sur ton Bureau. 

Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparaît, rassure tes protections et autorise le programme à s'exécuter.

Comme indiqué par l'outil, presse sur une touche pour continuer.

Choisis l'option suivante : Press 2 then Enter to restore files from bak folders.

Appuie sur une touche pour poursuivre.

Un fichier texte s'ouvre appelé : files.txt

Clique en dessous de la ligne et colle la totalité de ce qui suit (en gras) :


"C:\Program Files\ESET\bak
od32kui.exe"
"C:\Program Files\iTunes\bak\iTunesHelper.exe"
"C:\Program Files\Microsoft IntelliType Pro\bak\itype.exe"
"C:\Program Files\Microsoft AntiSpyware\bak\gcasServ.exe"
"C:\Program Files\Microsoft IntelliPoint\bak\ipoint.exe"
"C:\Program Files\QuickTime\bak\qttask.exe"
"C:\Documents and Settings\Vyse\Local Settings\Application Data\Microsoft\bak\MSHWLog.txt"


Ensuite, ferme le fichier files.txt et clique sur Yes pour sauvegarder les changements.

Laisse l'outils travailler, sois patient, il va commencer automatiquement un nouveau scan et ouvrira un nouveau rapport.

--> Poste en réponse ce nouveau rapport FindAWF ainsi qu'un nouveau log HijackThis.

@ suivre.

Vyse22 · Answer

Rebonjour, voilà les rapports AWF et Hijackthis. Pour ce qui est du problème avec mon écran, c'est qu'il s'éteignait comme si mon pc ne détectais plus le périphérique. J'avais ensuite un message d'erreur de windows au redémarrage me disant que j'avais eut un problème avec le périphérique en question. Mais le problème semble avoir été passager... tout va bien de ce côté depuis quelques jours. J'attends la suite. Merci :) Find AWF report by noahdfear ©2006 Version 1.40 Option 2 run successfully bak folders found ~~~~~~~~~~~ Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\ESET\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2005-10-11 09:35 917ÿ504 nod32kui.exe 1 fichier(s) 917ÿ504 octets 2 R‚p(s) 1ÿ534ÿ947ÿ328 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\ITUNES\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-10-30 09:36 256ÿ576 iTunesHelper.exe 1 fichier(s) 256ÿ576 octets 2 R‚p(s) 1ÿ534ÿ947ÿ328 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MI558C~1\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-11-21 17:08 813ÿ912 itype.exe 1 fichier(s) 813ÿ912 octets 2 R‚p(s) 1ÿ534ÿ943ÿ232 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MICROS~2\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2005-11-15 12:12 473ÿ928 gcasServ.exe 1 fichier(s) 473ÿ928 octets 2 R‚p(s) 1ÿ534ÿ943ÿ232 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MICROS~4\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2007-02-05 15:52 849ÿ280 ipoint.exe 1 fichier(s) 849ÿ280 octets 2 R‚p(s) 1ÿ534ÿ943ÿ232 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-10-25 18:58 282ÿ624 qttask.exe 1 fichier(s) 282ÿ624 octets 2 R‚p(s) 1ÿ534ÿ943ÿ232 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\WINDOWS\SYSTEM32\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2002-08-29 04:45 13ÿ312 ctfmon.exe 1 fichier(s) 13ÿ312 octets 2 R‚p(s) 1ÿ534ÿ943ÿ232 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\DOCUME~1\VYSE~1\LOCALS~1\APPLIC~1\MICROS~1\BAK 2007-09-19 17:00 . 2007-09-19 17:00 .. 2007-09-19 17:00 73 MSHWLog.txt 1 fichier(s) 73 octets 2 R‚p(s) 1ÿ534ÿ943ÿ232 octets libres Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 917504 2005-10-11 "C:\Program Files\ESET\bak od32kui.exe" 267048 2007-11-02 "C:\Program Files\iTunes\iTunesHelper.exe" 256576 2006-10-30 "C:\Program Files\iTunes\bak\iTunesHelper.exe" 102400 2007-11-09 "C:\WINDOWS\Installer\{E3FEE4E7-4488-4A3F-A6BD-13745936EADB}\iTunesIco.exe" 116008 2007-11-02 "C:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.5.0.20\iTunesSetupAdmin.exe" 813912 2006-11-21 "C:\Program Files\Microsoft IntelliType Pro\bak\itype.exe" 473928 2005-11-15 "C:\Program Files\Microsoft AntiSpyware\bak\gcasServ.exe" 849280 2007-02-05 "C:\Program Files\Microsoft IntelliPoint\bak\ipoint.exe" 286720 2007-10-19 "C:\Program Files\QuickTime\QTTask.exe" 282624 2006-10-25 "C:\Program Files\QuickTime\bak\qttask.exe" 13312 2002-08-29 "C:\WINDOWS\system32\ctfmon.exe" 13312 2002-08-29 "C:\WINDOWS\system32\bak\ctfmon.exe" 15360 2004-08-19 "C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ctfmon.exe" 73 2007-09-19 "C:\Documents and Settings\VYSE\Local Settings\Application Data\Microsoft\bak\MSHWLog.txt" end of report Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:23:29, on 2008-01-08 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Eset od32krn.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\MSMSGS.EXE C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\wuauclt.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\WINDOWS\system32 otepad.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin pjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin pjpi150_04.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset od32krn.exe

Le sioux · Answer

Bonsoir Vyse

Bien joué, on continu.

Désactive le résident de Spybot via click droit dans la barre des taches , décoche Protection d résident  et clique sur  quitter résident de SpyBot S&D


Regarde ici "comment fixer/corriger des lignes via HijackThis " 

http://pageperso.aol.fr/balltrap34/demohijack.htm

1) Lance HijackThis.

Je te conseille d'enregistrer  toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/bingame/popcaploader_v10.cab 

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

Clique sur Fix Checked puis clique sur OK
Puis ferme HijackThis.

Si certaines lignes sont absentes, signale les en fin de procédure

Fais redémarrer ton PC

2) FindAWF option 2

Double-clique sur l'icône FindAWF sur ton Bureau.

Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparaît, rassure tes protections et autorise le programme à s'exécuter.

Comme indiqué par l'outil, presse sur une touche pour continuer.

Choisis l'option suivante : Press 2 then Enter to restore files from bak folders.

Appuie sur une touche pour poursuivre.

Un fichier texte s'ouvre appelé : files.txt

Clique en dessous de la ligne et colle la totalité de ce qui suit (en gras) :

"C:\Program Files\iTunes\bak\iTunesHelper.exe"
"C:\Program Files\QuickTime\bak\qttask.exe"

Ensuite, ferme le fichier files.txt et clique sur Yes pour sauvegarder les changements.

Laisse l'outil travailler, sois patient, il va commencer automatiquement un nouveau scan et ouvrira un nouveau rapport.

--> Poste en réponse ce nouveau rapport FindAWF ainsi qu'un nouveau log HijackThis.

@ suivre.

Vyse22 · Answer

Bonsoir le Sioux Alors voilà. Merci Find AWF report by noahdfear ©2006 Version 1.40 Option 2 run successfully bak folders found ~~~~~~~~~~~ Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\ESET\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2005-10-11 09:35 917ÿ504 nod32kui.exe 1 fichier(s) 917ÿ504 octets 2 R‚p(s) 540ÿ065ÿ792 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\ITUNES\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-10-30 09:36 256ÿ576 iTunesHelper.exe 1 fichier(s) 256ÿ576 octets 2 R‚p(s) 540ÿ065ÿ792 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MI558C~1\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-11-21 17:08 813ÿ912 itype.exe 1 fichier(s) 813ÿ912 octets 2 R‚p(s) 540ÿ061ÿ696 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MICROS~2\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2005-11-15 12:12 473ÿ928 gcasServ.exe 1 fichier(s) 473ÿ928 octets 2 R‚p(s) 540ÿ061ÿ696 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MICROS~4\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2007-02-05 15:52 849ÿ280 ipoint.exe 1 fichier(s) 849ÿ280 octets 2 R‚p(s) 540ÿ061ÿ696 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-10-25 18:58 282ÿ624 qttask.exe 1 fichier(s) 282ÿ624 octets 2 R‚p(s) 540ÿ061ÿ696 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\WINDOWS\SYSTEM32\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2002-08-29 04:45 13ÿ312 ctfmon.exe 1 fichier(s) 13ÿ312 octets 2 R‚p(s) 540ÿ061ÿ696 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\DOCUME~1\VYSE~1\LOCALS~1\APPLIC~1\MICROS~1\BAK 2007-09-19 17:00 . 2007-09-19 17:00 .. 2007-09-19 17:00 73 MSHWLog.txt 1 fichier(s) 73 octets 2 R‚p(s) 540ÿ061ÿ696 octets libres Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 917504 2005-10-11 "C:\Program Files\ESET\bak od32kui.exe" 256576 2006-10-30 "C:\Program Files\iTunes\iTunesHelper.exe" 256576 2006-10-30 "C:\Program Files\iTunes\bak\iTunesHelper.exe" 102400 2007-11-09 "C:\WINDOWS\Installer\{E3FEE4E7-4488-4A3F-A6BD-13745936EADB}\iTunesIco.exe" 116008 2007-11-02 "C:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.5.0.20\iTunesSetupAdmin.exe" 813912 2006-11-21 "C:\Program Files\Microsoft IntelliType Pro\bak\itype.exe" 473928 2005-11-15 "C:\Program Files\Microsoft AntiSpyware\bak\gcasServ.exe" 849280 2007-02-05 "C:\Program Files\Microsoft IntelliPoint\bak\ipoint.exe" 282624 2006-10-25 "C:\Program Files\QuickTime\qttask.exe" 282624 2006-10-25 "C:\Program Files\QuickTime\bak\qttask.exe" 13312 2002-08-29 "C:\WINDOWS\system32\ctfmon.exe" 13312 2002-08-29 "C:\WINDOWS\system32\bak\ctfmon.exe" 15360 2004-08-19 "C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ctfmon.exe" 73 2007-09-19 "C:\Documents and Settings\VYSE\Local Settings\Application Data\Microsoft\bak\MSHWLog.txt" Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:08:57, on 2008-01-09 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Eset od32krn.exe C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin pjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin pjpi150_04.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset od32krn.exe

Le sioux · Answer

Bonsoir Vyse

Ok, on continu ;)

Peux tu regarder en faisant Démarrer / Exécuter et en tapant msconfig   puis dans l'onglet Démarrage, s'il y a moyen de recocher Nod32, ton antivirus qui semble désactivé . 

Puis :

Double-clique sur l'icône FindAWF. 

Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.

Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 3 then Enter to remove bak folders

Un fichier texte s'ouvre appelé : folders.txt

Clique après la ligne et colle la liste de dossiers qui suit :

C:\Program Files\ESET\bak
C:\Program Files\iTunes\bak
C:\Program Files\Microsoft IntelliType Pro\bak
C:\Program Files\Microsoft AntiSpyware\bak
C:\Program Files\Microsoft IntelliPoint\bak
C:\Program Files\QuickTime\bak
C:\WINDOWS\system32\bak
C:\Documents and Settings\VYSE\Local Settings\Application Data\Microsoft\bak

Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements. 

Laisse travailler l'outils, il lancera automatiquement un nouveau scan et un nouveau rapport sera généré.

--> Poste dans ta prochaine réponse ce nouveau rapport FindAWF.

@ suivre.

Vyse22 · Answer

Rebonsoir, Voilà le rapport AWF. Je ne sais pas si mon ordinateur est encore infecté mais je dois dire que au moins je n'ai plus de pop up et il roule beaucoup plus rapidement maintenant. Grâce à toi Merci. Alors j'attends la suite. @+ Find AWF report by noahdfear ©2006 Version 1.40 Option 3 run successfully bak folders found ~~~~~~~~~~~ Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\ESET\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2005-10-11 09:35 917ÿ504 nod32kui.exe 1 fichier(s) 917ÿ504 octets 2 R‚p(s) 569ÿ806ÿ848 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\ITUNES\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-10-30 09:36 256ÿ576 iTunesHelper.exe 1 fichier(s) 256ÿ576 octets 2 R‚p(s) 569ÿ806ÿ848 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MI558C~1\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-11-21 17:08 813ÿ912 itype.exe 1 fichier(s) 813ÿ912 octets 2 R‚p(s) 569ÿ802ÿ752 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MICROS~2\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2005-11-15 12:12 473ÿ928 gcasServ.exe 1 fichier(s) 473ÿ928 octets 2 R‚p(s) 569ÿ802ÿ752 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\MICROS~4\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2007-02-05 15:52 849ÿ280 ipoint.exe 1 fichier(s) 849ÿ280 octets 2 R‚p(s) 569ÿ802ÿ752 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2006-10-25 18:58 282ÿ624 qttask.exe 1 fichier(s) 282ÿ624 octets 2 R‚p(s) 569ÿ802ÿ752 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\WINDOWS\SYSTEM32\BAK 2007-04-02 19:21 . 2007-04-02 19:21 .. 2002-08-29 04:45 13ÿ312 ctfmon.exe 1 fichier(s) 13ÿ312 octets 2 R‚p(s) 569ÿ802ÿ752 octets libres Le volume dans le lecteur C s'appelle Programmes Le num‚ro de s‚rie du volume est 7418-AD54 R‚pertoire de C:\DOCUME~1\VYSE~1\LOCALS~1\APPLIC~1\MICROS~1\BAK 2007-09-19 17:00 . 2007-09-19 17:00 .. 2007-09-19 17:00 73 MSHWLog.txt 1 fichier(s) 73 octets 2 R‚p(s) 569ÿ802ÿ752 octets libres Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 917504 2005-10-11 "C:\Program Files\ESET\bak od32kui.exe" 256576 2006-10-30 "C:\Program Files\iTunes\iTunesHelper.exe" 256576 2006-10-30 "C:\Program Files\iTunes\bak\iTunesHelper.exe" 102400 2007-11-09 "C:\WINDOWS\Installer\{E3FEE4E7-4488-4A3F-A6BD-13745936EADB}\iTunesIco.exe" 116008 2007-11-02 "C:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.5.0.20\iTunesSetupAdmin.exe" 813912 2006-11-21 "C:\Program Files\Microsoft IntelliType Pro\bak\itype.exe" 473928 2005-11-15 "C:\Program Files\Microsoft AntiSpyware\bak\gcasServ.exe" 849280 2007-02-05 "C:\Program Files\Microsoft IntelliPoint\bak\ipoint.exe" 282624 2006-10-25 "C:\Program Files\QuickTime\qttask.exe" 282624 2006-10-25 "C:\Program Files\QuickTime\bak\qttask.exe" 13312 2002-08-29 "C:\WINDOWS\system32\ctfmon.exe" 13312 2002-08-29 "C:\WINDOWS\system32\bak\ctfmon.exe" 15360 2004-08-19 "C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ctfmon.exe" 73 2007-09-19 "C:\Documents and Settings\VYSE\Local Settings\Application Data\Microsoft\bak\MSHWLog.txt" end of report

Vyse22 · Answer

Oups j'oubliais.  Pour ce qui est de Nod32 (qui quand à moi m'est presque inutile étant donné qu'il voit rien)... j'ai installer AVG qui a été jusqu'ici beaucoup plus efficace que Nod32.  Je vais quand même tenter de le réactiver.  

À+

Vyse22 · Answer

Je viens de vérifier... et il est coché, inconu mais coché.

Le sioux · Answer

Bonsoir Vyse

En effet tu as AVG mais c'est AVG Antispyware, ce n'est pas un antivirus.

Nod32 parait inactif sur ton PC, si tu veux changer d'antivirus, je te conseillerai plutot Antivir , mais il faudra désinstaller Nod32 avant.

Si tu veux que je t'explique comment faire ce changement d'antivirus, dis moi.

@ suivre.

Vyse22 · Answer

Re

Est-ce que ça ce pourrait que ma clé soit expirée pour Nod32?

Le sioux · Answer

Hello

 Est-ce que ça ce pourrait que ma clé soit expirée pour Nod32?  --> possible , a voir avec eux ...

@ suivre

Le sioux · Answer

Bonsoir Vyse

On va voir si l'on peut faire quelmque chose pour Nod32 :
Merci a Sham-Rock 

FindAWF option 2

Double-clique sur l'icône FindAWF sur ton Bureau.

Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparaît, rassure tes protections et autorise le programme à s'exécuter.

Comme indiqué par l'outil, presse sur une touche pour continuer.

Choisis l'option suivante : Press 2 then Enter to restore files from bak folders.

Appuie sur une touche pour poursuivre.

Un fichier texte s'ouvre appelé : files.txt

Clique en dessous de la ligne et colle la totalité de ce qui suit (en gras) :

"C:\Program Files\ESET\bak
od32kui.exe"

Ensuite, ferme le fichier files.txt et clique sur Yes pour sauvegarder les changements.

Laisse l'outil travailler, sois patient, il va commencer automatiquement un nouveau scan et ouvrira un nouveau rapport.

--> Poste en réponse ce nouveau rapport FindAWF ainsi qu'un nouveau log HijackThis.

@ suivre.

Le sioux · Answer

Re

Oublie mon poste précédent (20)  et fais ce qui suit stp :

S'il subsiste un files.txt sur ton Bureau, supprime le et vide ta poubelle.

FindAWF option 2

Double-clique sur l'icône FindAWF sur ton Bureau.

Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparaît, rassure tes protections et autorise le programme à s'exécuter.

Comme indiqué par l'outil, presse sur une touche pour continuer.

Choisis l'option suivante : Press 2 then Enter to restore files from bak folders.

Appuie sur une touche pour poursuivre.

Un fichier texte s'ouvre appelé : files.txt

Clique en dessous de la ligne et colle la totalité de ce qui suit (en gras) :

"C:\Program Files\ESET\bak
od32kui.exe"  " 
"C:\Program Files\Microsoft IntelliType Pro\bak\itype.exe" 
"C:\Program Files\Microsoft AntiSpyware\bak\gcasServ.exe" 
"C:\Program Files\Microsoft IntelliPoint\bak\ipoint.exe" 
"C:\Documents and Settings\VYSE\Local Settings\Application Data\Microsoft\bak\MSHWLog.txt"

Ensuite, ferme le fichier files.txt et clique sur Yes pour sauvegarder les changements.

Laisse l'outil travailler, sois patient, il va commencer automatiquement un nouveau scan et ouvrira un nouveau rapport.

--> Poste en réponse ce nouveau rapport FindAWF ainsi qu'un nouveau log HijackThis.

Merci a Sham Rock

@ suivre.

Pc lent et infecté

21 réponses

Votre réponse

Newsletters