Smitfraud-C.Core service Résolu

Question

bonjour, je suis infecté par cette *******
j'utilise firefox, et des pop-up venant de IE n'arrête pas d'apparaitre  
affichant ces site (entre autres )  
 
Citation :

http://www.cotedazurpalace.com/
http://multi-pops.com/adsDirect.ph [...] &sid=70303
https://www.pokerstars.fr/
https://www.hugedomains.com/domain_profile.cfm?d=smooki&e=com [...] siteid=mg1
http://c5.zedo.com/jsc/c5/ff2.html [...] =800;h=600


 
voici mon log hijackthis :
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:31:51, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
 
-- 
End of file - 4691 bytes
 
 

logfile SmithFraudFix
 
SmitFraudFix v2.274
 
Rapport fait à 16:33:11,92, 12/01/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» Process
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
Fichier hosts corrompu !
 
127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guillaume
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guillaume\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GUILLA~1\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
IEDFix.exe by S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
 
 
Merci de votre aide préciseuse  :)

Message édité par kourou3 le 12-01-2008 à 16:34:59

Utilisateur anonyme · Answer

Salut,

Il faut que tu passes à IE7 et que tu installes un parfeu : je te conseille : ZA mais Kerio est très bien si tu veux.
> Télécharge Zone Alarme ici, en cas de problème
> Installe le nouveau pare-feu, puis désactive le pare-feu windows.

Ensuite,
> Télécharge Navilog1 de Il Mafioso
- Enregistre-le sur ton Bureau.
- Décompresse-le en faisant « extraire-tout ».
- Double clique sur Navilog1.bat.
- Choisis pour la langue le français, puis l'option 1 et valide.
Attention : n’utilise surtout pas les options 2,3 ou 4 sans notre accord. (tu risquerais d’endommager ton pc)
- Patiente jusqu'au message : < Analyse Terminée le ..... >
- Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. 
- Fais un copier coller du rapport généré et poste-le ici.

NB : Le rapport se trouve aussi à la racine de ton disque : fixnavi.txt


A+

kourou3 · Answer

ok IE7 et ZA installé

je voulais dire aussi, AVG anti-spyware me dit régulièrement  qu'il détecte Trojant.Infect.mf (mais n'arrive pas a la supprimer )

kourou3 · Answer

Search Navipromo version 3.4.0 commencé le 12/01/2008 à 16:53:11,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\guillaume\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\guillaume\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\guillaume\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\guillaume\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\acbeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\orutv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32tstv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 12/01/2008 à 16:59:34,92 ***

Utilisateur anonyme · Answer

Ok, la procédure parait longue parce que détaillée... > Lance Hijackthis : > Puis sélectionne < do a system scan only > > Coche les cases des lignes suivantes : O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx Ensuite, > Ferme toutes les autres fenêtres et applications (même internet) > Clic sur "fixe checked" > Télécharge VundoFix (par Atribune) sur ton Bureau - Lance le programme, puis clique sur le bouton - Lorsque le scan est complété, clique sur le bouton - Une invite te demandera si tu veux supprimer les fichiers, clique (le Bureau disparaîtra lors de la suppression des fichiers). - Tu verras une invite qui t'annonce que ton PC va redémarrer; clique - Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ton prochain poste. Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage. > Télécharge et installe sur ton PC AVG anti-spyware, fais les mises à jour puis ferme le programme. > Télécharge et installe Ccleaner, si besoin est tu trouveras des Tutoriaux ici, ici et là, fais les mises à jour puis ferme le programme. > Commence par faire un copier/coller de ce poste : (si tu as besoin) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"), puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte. Sauvegarde le sur le bureau, tu pourras y avoir accès même déconnecté ou en mode sans échec. > Démarre en mode sans échec : (image). Si problème : tuto ici > Lance AVG, - Clique sur le menu Analyse (de la barre d'outils). Clique après sur l'onglet Paramètres, puis clique sur et choisi . - Vérifie que toutes les cases sont cochées dans et dans et vérifie que le bouton-radio soit aussi coché. - Vas dans l'onglet 'Analyse', puis clique . - Fais un copier/coller du rapport généré dans ton prochain poste. Remarque : Une fois l'analyse terminée, il faut faire un clique droit sur un fichier infecté et demander à "AVG Anti-Spyware 7.5" de le supprimer. Puis clique sur "Appliquer toutes les actions" afin de tout supprimer automatiquement. > Lance Ccleaner,, - Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé). - Dans l'onglet "Nettoyeur" clique sur "Analyse". - Une fois l'analyse terminée, clique sur "Lancer le Nettoyage". - Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer. N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau' Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois). > Relance ton PC en mode normal > Relance Hijackthis : Puis sélectionne < do a system scan and save a logfile >, Et envoie moi, par collier/coller, ton log Hijackthis stp, Bon courage...

^^Marie^^ · Answer

Bonjour

DIID sait que de temps en temps je passe sur ces interventions
Si cela ne te dérange pas je voudrai vérifier un ""truc"" ;;))

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8  ((Si F8 ne marche pas utilise la touche F5)). 
 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
---------------------------------------------------------------------------- 
Relance le programme Smitfraud, 

Cette fois choisit l’option 2, 
répond oui à tous ; 
Sauvegarde le rapport, 
Redémarre en mode normal, 
Copie/colle le rapport sauvegardé sur le forum

Merci

Utilisateur anonyme · Answer

Salut Marie,

Kourou3, suis la précédure de Marie....

A+

kourou3 · Answer

j'avais deja fait Vundofix 


VundoFix V6.5.4

Checking Java version...

Scan started at 23:23:02 11/01/2008

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.4

Checking Java version...

Scan started at 17:07:50 12/01/2008

Listing files found while scanning....

No infected files were found.

de même que AVG-antispyware en mode Safeboot
et que CCleaner en mode normal

Utilisateur anonyme · Answer

Bon, bon, bon...

Peux tu suivres celle de Marie...poste 6 phosphorescent...

A+

kourou3 · Answer

SmitFraudFix v2.274

Rapport fait à 17:16:00,04, 12/01/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

kourou3 · Answer

j'ai du effacé les hosts, la liste était trop longue, j'arrivais pas a poster 
voila la liste toutefois :  
http://www.zshare.net/ rapport.txt - 0.21MB

Utilisateur anonyme · Answer

Ok, 
très bien, je télécharge la liste....

Peux tu reposter un HiJack ?

A+

kourou3 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:03, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\PC Games\Steam\Steam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Utilisateur anonyme · Answer

Ok,
Kourou : 
j'ai du effacé les hosts, la liste était trop longue, j'arrivais pas a poster
Ça me perturbe, ça ;;))

Marie :
Tu les as effacé comment ?? Pas copié tu veux dire ???
Tu aurais pu les copier en plusieurs fois ...

DllD :
C'est vrai, ça ! Peux-tu nous envoyer la liste, même en plusieurs morceaux ?

A+

Utilisateur anonyme · Answer

Re, Kourou,
Marie a certainement ces bonnes raisons....
Mais je comprends pas les registres semblent réparés par smitfraudfix...
pourquoizebRestore....(Ok, je vois...)

Je poste le début du log pour toi :
SmitFraudFix v2.274

Rapport fait à 17:16:00,04, 12/01/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1	007guard.com
127.0.0.1	www.007guard.com
127.0.0.1	008i.com
127.0.0.1	008k.com
127.0.0.1	www.008k.com
127.0.0.1	00hq.com
127.0.0.1	www.00hq.com
127.0.0.1	010402.com
127.0.0.1	032439.com
127.0.0.1	www.032439.com
127.0.0.1	1001-search.info
127.0.0.1	www.1001-search.info
127.0.0.1	100888290cs.com
127.0.0.1	www.100888290cs.com
127.0.0.1	100sexlinks.com
127.0.0.1	www.100sexlinks.com
127.0.0.1	10sek.com
127.0.0.1	www.10sek.com
127.0.0.1	123topsearch.com
127.0.0.1	www.123topsearch.com
127.0.0.1	132.com
127.0.0.1	www.132.com
127.0.0.1	136136.net
127.0.0.1	www.136136.net
127.0.0.1	139mm.com
127.0.0.1	www.139mm.com
127.0.0.1	163ns.com
127.0.0.1	www.163ns.com
127.0.0.1	171203.com
127.0.0.1	17-plus.com
127.0.0.1	1800searchonline.com
127.0.0.1	www.1800searchonline.com
127.0.0.1	180searchassistant.com
127.0.0.1	www.180searchassistant.com
127.0.0.1	180solutions.com
127.0.0.1	www.180solutions.com
127.0.0.1	181.365soft.info
127.0.0.1	www.181.365soft.info
127.0.0.1	1987324.com
127.0.0.1	www.1987324.com
127.0.0.1	1-domains-registrations.com
127.0.0.1	www.1-domains-registrations.com
127.0.0.1	1-extreme.biz
127.0.0.1	www.1-extreme.biz
127.0.0.1	1sexparty.com
127.0.0.1	www.1sexparty.com
127.0.0.1	1stantivirus.com
127.0.0.1	www.1stantivirus.com
127.0.0.1	1stpagehere.com
127.0.0.1	www.1stpagehere.com
127.0.0.1	1stsearchportal.com
127.0.0.1	www.1stsearchportal.com
127.0.0.1	2.82211.net
127.0.0.1	www.2006ooo.com
127.0.0.1	2007-download.com
127.0.0.1	www.2007-download.com
127.0.0.1	2020search.com
127.0.0.1	www.2020search.com
127.0.0.1	20x2p.com
127.0.0.1	24.365soft.info
127.0.0.1	www.24.365soft.info
127.0.0.1	24-7pharmacy.info
127.0.0.1	www.24-7pharmacy.info
127.0.0.1	24-7searching-and-more.com
127.0.0.1	www.24-7searching-and-more.com
127.0.0.1	24teen.com
127.0.0.1	www.24teen.com
127.0.0.1	2every.net
127.0.0.1	www.2every.net
127.0.0.1	2ndpower.com
127.0.0.1	2search.com
127.0.0.1	www.2search.com
127.0.0.1	2search.org
127.0.0.1	www.2search.org
127.0.0.1	2squared.com
127.0.0.1	www.2squared.com
127.0.0.1	3322.org
127.0.0.1	www.3322.org
127.0.0.1	365soft.info
127.0.0.1	36site.com
127.0.0.1	www.36site.com
127.0.0.1	3721.com
127.0.0.1	39-93.com
127.0.0.1	3abetterinternet.com
127.0.0.1	www.3abetterinternet.com
127.0.0.1	3bay.it
127.0.0.1	www.3bay.it
127.0.0.1	3ebay.it
127.0.0.1	www.3ebay.it
127.0.0.1	404dns.com
127.0.0.1	www.404dns.com
127.0.0.1	4199.com
127.0.0.1	www.4199.com
127.0.0.1	4corn.net
127.0.0.1	www.4corn.net
127.0.0.1	4ebay.it
127.0.0.1	www.4ebay.it
127.0.0.1	4klm.com
127.0.0.1	4repubblica.it
127.0.0.1	www.4repubblica.it
127.0.0.1	4softget.com
127.0.0.1	www.4softget.com
127.0.0.1	5iscali.it
127.0.0.1	www.5iscali.it
127.0.0.1	5repubblica.it
127.0.0.1	www.5repubblica.it
127.0.0.1	5starvideos.com
127.0.0.1	www.5starvideos.com
127.0.0.1	5tiscali.it
127.0.0.1	www.5tiscali.it
127.0.0.1	5zgmu7o20kt5d8yq.com
127.0.0.1	www.5zgmu7o20kt5d8yq.com
127.0.0.1	6iscali.it
127.0.0.1	www.6iscali.it
127.0.0.1	6sek.com
127.0.0.1	www.6sek.com
127.0.0.1	6tiscali.it
127.0.0.1	www.6tiscali.it
127.0.0.1	7322.com
127.0.0.1	www.7322.com
127.0.0.1	75tz.com
127.0.0.1	777search.com
127.0.0.1	www.777search.com
127.0.0.1	777top.com
127.0.0.1	www.777top.com
127.0.0.1	7939.com
127.0.0.1	www.7939.com
127.0.0.1	7search.com
127.0.0.1	www.7search.com
127.0.0.1	80gw6ry3i3x3qbrkwhxhw.032439.com
127.0.0.1	82211.net
127.0.0.1	8866.org
127.0.0.1	888.com
127.0.0.1	www.888.com
127.0.0.1	8ad.com
127.0.0.1	www.8ad.com
127.0.0.1	9505.com
127.0.0.1	www.9505.com
127.0.0.1	971searchbox.com
127.0.0.1	www.971searchbox.com
127.0.0.1	a.bestmanage.org
127.0.0.1	aaasexypics.com
127.0.0.1	aaawebfinder.com
127.0.0.1	www.aaawebfinder.com
127.0.0.1	aavc.com
127.0.0.1	abc-find.info
127.0.0.1	www.abc-find.info
127.0.0.1	abetterinternet.com
127.0.0.1	www.abetterinternet.com
127.0.0.1	abnetsoft.info
127.0.0.1	www.abnetsoft.info
127.0.0.1	aboutclicker.com
127.0.0.1	www.aboutclicker.com
127.0.0.1	abrp.net
127.0.0.1	www.abrp.net
127.0.0.1	absolutee.com
127.0.0.1	www.absolutee.com
127.0.0.1	abyssmedia.com
127.0.0.1	www.abyssmedia.com
127.0.0.1	ac66.cn
127.0.0.1	www.ac66.cn
127.0.0.1	access.Navinetwork.com
127.0.0.1	access.rapid-pass.net
127.0.0.1	accessactivexvideo.com
127.0.0.1	www.accessactivexvideo.com
127.0.0.1	accessclips.com
127.0.0.1	www.accessclips.com
127.0.0.1	access-dvd.com
127.0.0.1	www.access-dvd.com
127.0.0.1	accesskeygenerator.com
127.0.0.1	www.accesskeygenerator.com
127.0.0.1	accessorygeeks.com
127.0.0.1	www.accessorygeeks.com
127.0.0.1	accessthefuture.net
127.0.0.1	www.accessthefuture.net
127.0.0.1	accessvid.net
127.0.0.1	www.accessvid.net
127.0.0.1	acemedic.com
127.0.0.1	www.acemedic.com
127.0.0.1	ace-webmaster.com
127.0.0.1	www.ace-webmaster.com
127.0.0.1	acjp.com
127.0.0.1	acrobat-2007.com
127.0.0.1	www.acrobat-2007.com
127.0.0.1	acrobat-8.com
127.0.0.1	www.acrobat-8.com
127.0.0.1	acrobat-center.com
127.0.0.1	www.acrobat-center.com
127.0.0.1	acrobat-hq.com
127.0.0.1	www.acrobat-hq.com
127.0.0.1	acrobatreader-8.com
127.0.0.1	www.acrobatreader-8.com
127.0.0.1	acrobat-reader-8.de
127.0.0.1	www.acrobat-reader-8.de
127.0.0.1	acrobat-stop.com
127.0.0.1	www.acrobat-stop.com
127.0.0.1	actionbreastcancer.org
127.0.0.1	www.actionbreastcancer.org
127.0.0.1	activesearcher.info
127.0.0.1	www.activesearcher.info
127.0.0.1	activexaccessobject.com
127.0.0.1	www.activexaccessobject.com
127.0.0.1	activexaccessvideo.com
127.0.0.1	www.activexaccessvideo.com
127.0.0.1	activexemedia.com
127.0.0.1	www.activexemedia.com
127.0.0.1	activexmediaobject.com
127.0.0.1	www.activexmediaobject.com
127.0.0.1	activexmediapro.com
127.0.0.1	www.activexmediapro.com
127.0.0.1	activexmediasite.com
127.0.0.1	www.activexmediasite.com
127.0.0.1	activexmediasoftware.com
127.0.0.1	www.activexmediasoftware.com
127.0.0.1	activexmediasource.com
127.0.0.1	www.activexmediasource.com
127.0.0.1	activexmediatool.com
127.0.0.1	www.activexmediatool.com
127.0.0.1	activexmediatour.com
127.0.0.1	www.activexmediatour.com
127.0.0.1	activexsoftwares.com
127.0.0.1	www.activexsoftwares.com
127.0.0.1	activexsource.com
127.0.0.1	www.activexsource.com
127.0.0.1	activexupdate.com
127.0.0.1	www.activexupdate.com
127.0.0.1	activexvideo.com
127.0.0.1	www.activexvideo.com
127.0.0.1	activexvideotool.com
127.0.0.1	www.activexvideotool.com
127.0.0.1	ad.marketingsector.com
127.0.0.1	www.ad.marketingsector.com
127.0.0.1	ad.mokead.com
127.0.0.1	www.ad.mokead.com
127.0.0.1	ad.yieldmanager.com
127.0.0.1	www.ad.yieldmanager.com
127.0.0.1	ad25.com
127.0.0.1	ad45.com
127.0.0.1	ad77.com
127.0.0.1	ad86.com
127.0.0.1	adamsupportgroup.org
127.0.0.1	www.adamsupportgroup.org
127.0.0.1	adarmor.com
127.0.0.1	www.adarmor.com
127.0.0.1	adasearch.com
127.0.0.1	www.adasearch.com
127.0.0.1	adaware.cc
127.0.0.1	adawarenow.com
127.0.0.1	www.adawarenow.com
127.0.0.1	addictivetechnologies.com
127.0.0.1	www.addictivetechnologies.com
127.0.0.1	addictivetechnologies.net
127.0.0.1	www.addictivetechnologies.net
127.0.0.1	add-manager.com
127.0.0.1	www.add-manager.com
127.0.0.1	adgate.info
127.0.0.1	www.adgate.info
127.0.0.1	adipics.com
127.0.0.1	www.adipics.com
127.0.0.1	admin2cash.biz
127.0.0.1	www.admin2cash.biz
127.0.0.1	adnet-plus.com
127.0.0.1	adobe-download-now.com
127.0.0.1	adobe-downloads.com
127.0.0.1	www.adobe-downloads.com
127.0.0.1	adobe-reader-8.fr
127.0.0.1	www.adobe-reader-8.fr
127.0.0.1	adprotect.com
127.0.0.1	www.adprotect.com
127.0.0.1	ads.centralmedia.ws
127.0.0.1	ads.k8l.info
127.0.0.1	ads.kmpads.com
127.0.0.1	ads.marketingsector.com
127.0.0.1	ads.searchingbooth.com
127.0.0.1	ads.z-quest.com
127.0.0.1	ads183.com
127.0.0.1	www.ads183.com
127.0.0.1	adscontex.com
127.0.0.1	www.adscontex.com
127.0.0.1	adservices1.enhance.com
127.0.0.1	www.adservices1.enhance.com
127.0.0.1	adservs.com
127.0.0.1	adsextend.net
127.0.0.1	www.adsextend.net
127.0.0.1	adshttp.com
127.0.0.1	www.adshttp.com
127.0.0.1	adsonwww.com
127.0.0.1	www.adsonwww.com
127.0.0.1	adspics.com
127.0.0.1	www.adspics.com
127.0.0.1	adtrak.net
127.0.0.1	www.adtrak.net
127.0.0.1	adtrgt.com
127.0.0.1	adult777search.info
127.0.0.1	www.adult777search.info
127.0.0.1	adultan.com
127.0.0.1	www.adultan.com
127.0.0.1	adult-engine-search.com
127.0.0.1	www.adult-engine-search.com
127.0.0.1	adult-erotic-guide.net
127.0.0.1	www.adult-erotic-guide.net
127.0.0.1	adultfilmsite.com
127.0.0.1	www.adultfilmsite.com
127.0.0.1	adult-friends-finder.net
127.0.0.1	www.adult-friends-finder.net
127.0.0.1	adultgambling.org
127.0.0.1	adult-host.org
127.0.0.1	adulthyperlinks.com
127.0.0.1	www.adulthyperlinks.com
127.0.0.1	adultmovieplus.com
127.0.0.1	www.adultmovieplus.com
127.0.0.1	adult-personal.us
127.0.0.1	adultsgames.net
127.0.0.1	adultsper.com
127.0.0.1	www.adultsper.com
127.0.0.1	adulttds.com
127.0.0.1	www.adulttds.com
127.0.0.1	adultzoneworld.com
127.0.0.1	www.adultzoneworld.com
127.0.0.1	advcash.biz
127.0.0.1	www.advcash.biz
127.0.0.1	advert.exaccess.ru
127.0.0.1	advertisemoney.info
127.0.0.1	www.advertisemoney.info
127.0.0.1	advertising.paltalk.com
127.0.0.1	advertising-money.info
127.0.0.1	www.advertising-money.info
127.0.0.1	ad-ware.cc
127.0.0.1	ad-w-a-r-e.com
127.0.0.1	www.ad-w-a-r-e.com
127.0.0.1	a-d-w-a-r-e.com
127.0.0.1	www.a-d-w-a-r-e.com
127.0.0.1	adwarebazooka.com
127.0.0.1	www.adwarebazooka.com
127.0.0.1	adwarefinder.com
127.0.0.1	www.adwarefinder.com
127.0.0.1	adwareprotectionsite.com
127.0.0.1	www.adwareprotectionsite.com
127.0.0.1	adwarepunisher.com
127.0.0.1	www.adwarepunisher.com
127.0.0.1	aflgate.com
127.0.0.1	www.aflgate.com
127.0.0.1	africaspromise.org
127.0.0.1	agava.com
127.0.0.1	agava.ru
127.0.0.1	agentstudio.com
127.0.0.1	aginegialle.it
127.0.0.1	www.aginegialle.it
127.0.0.1	www.aifind.info
127.0.0.1	aifind.info
127.0.0.1	airtleworld.com
127.0.0.1	www.airtleworld.com
127.0.0.1	aitalia.it
127.0.0.1	www.aitalia.it
127.0.0.1	akamai.downloadv3.com
127.0.0.1	aklitalia.it
127.0.0.1	www.aklitalia.it
127.0.0.1	akril.com
127.0.0.1	alcatel.ws
127.0.0.1	alfacleaner.com
127.0.0.1	www.alfacleaner.com
127.0.0.1	alfa-search.com
127.0.0.1	alialia.it
127.0.0.1	www.alialia.it
127.0.0.1	aliotalia.it
127.0.0.1	www.aliotalia.it
127.0.0.1	alirtalia.it
127.0.0.1	www.alirtalia.it
127.0.0.1	alitaia.it
127.0.0.1	www.alitaia.it
127.0.0.1	alitaklia.it
127.0.0.1	www.alitaklia.it
127.0.0.1	alitala.it
127.0.0.1	www.alitala.it
127.0.0.1	alitali.it
127.0.0.1	www.alitali.it
127.0.0.1	alitaliaq.it
127.0.0.1	www.alitaliaq.it
127.0.0.1	alitalias.it
127.0.0.1	www.alitalias.it
127.0.0.1	alitaliaz.it
127.0.0.1	www.alitaliaz.it
127.0.0.1	alitalioa.it
127.0.0.1	www.alitalioa.it
127.0.0.1	alitalisa.it
127.0.0.1	www.alitalisa.it
127.0.0.1	alitaliua.it
127.0.0.1	www.alitaliua.it
127.0.0.1	alitalkia.it
127.0.0.1	www.alitalkia.it
127.0.0.1	alitaloia.it
127.0.0.1	www.alitaloia.it
127.0.0.1	alitaluia.it
127.0.0.1	www.alitaluia.it
127.0.0.1	alitaslia.it
127.0.0.1	www.alitaslia.it
127.0.0.1	alitlia.it
127.0.0.1	www.alitlia.it
127.0.0.1	alitralia.it
127.0.0.1	www.alitralia.it
127.0.0.1	alitsalia.it
127.0.0.1	www.alitsalia.it
127.0.0.1	aliutalia.it
127.0.0.1	www.aliutalia.it
127.0.0.1	ALL1COUNT.NET
127.0.0.1	www.ALL1COUNT.NET
127.0.0.1	all4internet.com
127.0.0.1	www.all4internet.com
127.0.0.1	allabtcars.com
127.0.0.1	allabtjeeps.com
127.0.0.1	all-bittorrent.com
127.0.0.1	www.all-bittorrent.com
127.0.0.1	www.allcybersearch.com
127.0.0.1	allcybersearch.com
127.0.0.1	alldnserrors.com
127.0.0.1	www.alldnserrors.com
127.0.0.1	all-downloads-now.com
127.0.0.1	www.all-downloads-now.com
127.0.0.1	all-edonkey.com
127.0.0.1	www.all-edonkey.com
127.0.0.1	allforadult.com
127.0.0.1	allhyperlinks.com
127.0.0.1	alliesecurity.com
127.0.0.1	www.alliesecurity.com
127.0.0.1	all-inet.com
127.0.0.1	allinternetbusiness.com
127.0.0.1	all-limewire.com
127.0.0.1	www.all-limewire.com
127.0.0.1	allmegabucks.com
127.0.0.1	www.allmegabucks.com
127.0.0.1	allprotections.com
127.0.0.1	www.allprotections.com
127.0.0.1	allresultz.net
127.0.0.1	www.allresultz.net
127.0.0.1	allsecuritynotes.com
127.0.0.1	www.allsecuritynotes.com
127.0.0.1	allsecuritysite.com
127.0.0.1	www.allsecuritysite.com
127.0.0.1	allstarsvideos.net
127.0.0.1	www.allstarsvideos.net
127.0.0.1	alltruesoftware.com
127.0.0.1	www.alltruesoftware.com
127.0.0.1	allvideoactivex.com
127.0.0.1	www.allvideoactivex.com
127.0.0.1	almanah.biz
127.0.0.1	www.almanah.biz
127.0.0.1	almarvideos.com
127.0.0.1	aloitalia.it
127.0.0.1	www.aloitalia.it
127.0.0.1	aluitalia.it
127.0.0.1	www.aluitalia.it
127.0.0.1	amaena.com
127.0.0.1	www.amaena.com
127.0.0.1	amandamountains.com
127.0.0.1	amateurliveshow.com
127.0.0.1	www.amateurliveshow.com
127.0.0.1	amediasoftware.com
127.0.0.1	www.amediasoftware.com
127.0.0.1	amediasource.com
127.0.0.1	www.amediasource.com
127.0.0.1	americancarbargains.com
127.0.0.1	www.americancarbargains.com
127.0.0.1	american-teens.net
127.0.0.1	amigeek.com
127.0.0.1	amisbusiness.com
127.0.0.1	ampmsearch.com
127.0.0.1	www.ampmsearch.com
127.0.0.1	analcord.com
127.0.0.1	www.analcord.com
127.0.0.1	analmovi.com
127.0.0.1	anarchylolita.com
127.0.0.1	www.anarchylolita.com
127.0.0.1	anarchyporn.com
127.0.0.1	andromedical.com
127.0.0.1	www.andromedical.com
127.0.0.1	animepornmag.com
127.0.0.1	www.animepornmag.com
127.0.0.1	anin.org
127.0.0.1	anjpn-avxiz.biz
127.0.0.1	www.anjpn-avxiz.biz
127.0.0.1	anjpnzqav.biz
127.0.0.1	www.anjpnzqav.biz
127.0.0.1	anjpn-zqav.biz
127.0.0.1	www.anjpn-zqav.biz
127.0.0.1	annaromeo.com
127.0.0.1	antiddos.us
127.0.0.1	www.antiddos.us
127.0.0.1	Antiespiadorado.com
127.0.0.1	www.Antiespiadorado.com
127.0.0.1	Antiespionspack.com
127.0.0.1	www.Antiespionspack.com
127.0.0.1	Antigusanos2008.com
127.0.0.1	www.Antigusanos2008.com
127.0.0.1	Antispionage.com
127.0.0.1	www.Antispionage.com
127.0.0.1	Antispionagepro.com
127.0.0.1	www.Antispionagepro.com
127.0.0.1	antispydns.biz
127.0.0.1	www.antispydns.biz
127.0.0.1	antispylab.com
127.0.0.1	www.antispylab.com
127.0.0.1	antispysolutions.com
127.0.0.1	www.antispysolutions.com
127.0.0.1	antispyware.com
127.0.0.1	www.antispyware.com
127.0.0.1	antispywarebot.com
127.0.0.1	www.antispywarebot.com
127.0.0.1	antispywarebox.com
127.0.0.1	www.antispywarebox.com
127.0.0.1	antispywaredownloads.com
127.0.0.1	www.antispywaredownloads.com
127.0.0.1	Antispywaresuite.com
127.0.0.1	www.Antispywaresuite.com
127.0.0.1	Antispyweb.net
127.0.0.1	www.Antispyweb.net
127.0.0.1	Antiver2008.com
127.0.0.1	www.Antiver2008.com
127.0.0.1	antivermins.com
127.0.0.1	www.antivermins.com
127.0.0.1	anti-vermins.com
127.0.0.1	www.anti-vermins.com
127.0.0.1	antivir2007.com
127.0.0.1	www.antivir2007.com
127.0.0.1	antivirgear.com
127.0.0.1	www.antivirgear.com
127.0.0.1	antivirus.fastfreedownload.com
127.0.0.1	www.antivirus.fastfreedownload.com
127.0.0.1	antivirusgolden.com
127.0.0.1	www.antivirusgolden.com
127.0.0.1	antivirus-hq.net
127.0.0.1	www.antivirus-hq.net
127.0.0.1	anti-virus-pro.com
127.0.0.1	www.anti-virus-pro.com
127.0.0.1	antivirusprotector.com
127.0.0.1	www.antivirusprotector.com
127.0.0.1	antivirussecuritypro.com
127.0.0.1	www.antivirussecuritypro.com
127.0.0.1	antivirus-stop.com
127.0.0.1	www.antivirus-stop.com
127.0.0.1	Antiworm2008.com
127.0.0.1	www.Antiworm2008.com
127.0.0.1	Antiwurm2008.com
127.0.0.1	www.Antiwurm2008.com
127.0.0.1	antrocity.com
127.0.0.1	anyofus.com
127.0.0.1	www.anyofus.com
127.0.0.1	anysn.seproger.com
127.0.0.1	www.anysn.seproger.com
127.0.0.1	anything4health.com
127.0.0.1	apicpreview.com
127.0.0.1	www.apicpreview.com
127.0.0.1	appealcircuit.com
127.0.0.1	www.appealcircuit.com
127.0.0.1	approvedlinks.com
127.0.0.1	www.approvedlinks.com
127.0.0.1	apps.deskwizz.com
127.0.0.1	apps.webservicehost.com
127.0.0.1	aprotectedpage.com
127.0.0.1	www.aprotectedpage.com
127.0.0.1	apsua.com
127.0.0.1	archiviosex.net
127.0.0.1	www.archiviosex.net
127.0.0.1	aregay.com
127.0.0.1	ares-freebie.com
127.0.0.1	www.ares-freebie.com
127.0.0.1	arespro2007.com
127.0.0.1	www.arespro2007.com
127.0.0.1	aresultra.com
127.0.0.1	www.aresultra.com
127.0.0.1	ares-usa.com
127.0.0.1	www.ares-usa.com
127.0.0.1	arheo.com
127.0.0.1	arizonaweb.org
127.0.0.1	armitageinn.com
127.0.0.1	arquivojpgs.smtp.ru
127.0.0.1	www.arquivojpgs.smtp.ru
127.0.0.1	artachnid.com
127.0.0.1	art-func.com
127.0.0.1	art-xxx.com
127.0.0.1	asafebrowser.com
127.0.0.1	www.asafebrowser.com
127.0.0.1	asafetynotice.com
127.0.0.1	www.asafetynotice.com
127.0.0.1	asafetypage.com
127.0.0.1	www.asafetypage.com
127.0.0.1	asdbiz.biz
127.0.0.1	www.asdbiz.biz
127.0.0.1	asdeykuddq.com
127.0.0.1	www.asdeykuddq.com
127.0.0.1	asecurebar.com

Voilà...pas trop non plus...

La suite arrive..

A+

kourou3 · Answer

.

Utilisateur anonyme · Answer

Non, c'est sympa...mais là ça va..lol
Bon, peux-tu remplacer ta liste par un truc genre "Oupss" pour éviter les discussion de 5 Km....

KOurou, ^^Marie^^ t'as donnée du boulot ICI

Et "Et le tour est joué ;;)) "...

kourou3 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33:37, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Utilisateur anonyme · Answer

Ok, très bien,
Je ne vois plus rien...
^^Marie^^, toi, moi et les fix avons bien travaillés...

Pour finir :
> Peux-tu vérifier ta console JAVA ICI, et installer la nouvelle version au besoin (dans ce cas désinstalle ensuite l'ancienne version).

> Télécharge ToolsCleaner sur ton bureau.
- Clique sur Recherche et laisse le scan agir ...
-  Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives)
- Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)). 

> Desactive et réactive la restauration de systeme, pour cela : suis les instructions de ce lien.

> Passe un coup d'AGV et de Ccleaner de temps en temps (1 fois par semaine à 1 fois par mois, suivant l'utilisation que tu fais de ton PC). Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser.

> Pour bien protéger ton PC  :
- http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet
- https://sebsauvage.net/safehex.html

Bonne lecture...

kourou3 · Answer

comment sa c'est finit ? désolé mais j'ai encore des pop-up moi ...

^^Marie^^ · Answer

j'utilise firefox, et des pop-up venant de IE n'arrête pas d'apparaitre 

DIID a traité le plus méchant ;;))
Donc il a du zappé gentillement  l'essentiel, pas grave ;;))


Fais un clic droit sur ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
 
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Fais un clic droit sur navilog1.zip et choisis "tout extraire" 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
TUTO :: http://www.malekal.com/Adware.Magic_Control.php 


Bon courage
A++

Utilisateur anonyme · Answer

Lol...désolé,

Je passe à la soupe....puis je regarde....

;)

A+

PS : DIID à la tête dans les étoiles....:)

kourou3 · Answer

Search Navipromo version 3.4.0 commencé le 12/01/2008 à 20:15:50,64

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\guillaume\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\guillaume\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\guillaume\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\guillaume\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\acbeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\orutv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32tstv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 12/01/2008 à 20:20:46,95 ***


voila le log ;)

Utilisateur anonyme · Answer

Ok,
ça fais du bien de manger....désolé, je regardais ton dernier log. HiJack. Peux tu en poster un nouveau ?

As-tu Spybot d'installé sur ton PC, ces lignes là ne correspondent pas aux chemin normal du logiciel :

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll 

Ce qui n'est pas très normal non plus c'est les logiciels de protection qui sont installés sur D:/....(D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe        /          D:\AUTRES\ZA\ZoneAlarm\zlclient.exe ) 
Pourquoi ?

> Rends toi ensuite sur ce site virustotal et fais analyser le fichier : 
(Si problème : http://pageperso.aol.fr/loraline60/virus_total.htm )

C:\WINDOWS\System32\shdocvw.dll 

et poste moi le resultat par copier/coller stp.

Essaye de répondre au mieux à mes questions et de me décrire au maximun tes problèmes...

Merci

A+

kourou3 · Answer

LOG hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:36, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MediaMonkey\MediaMonkey.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Documents and Settings\guillaume\Bureau\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

kourou3 · Answer

Complete scanning result of "shdocvw.dll", processed in VirusTotal at 01/12/2008 21:48:07 (CET).

[ file data ]
* name: shdocvw.dll
* size: 1495040
* md5.: 61640ff8822e197c6e0675db8636bf72
* sha1: e7e113496b6d3c2d54133a4892274ed4d6a0c138
* peid..: MS Visual C++ v.8 DLL (h-small sig2)

[ scan result ]
 AhnLab-V3 2008.1.12.10/20080111 found nothing
AntiVir 7.6.0.46/20080111 found nothing
Authentium 4.93.8/20080112 found nothing
Avast 4.7.1098.0/20080112 found nothing
AVG 7.5.0.516/20080112 found nothing
BitDefender 7.2/20080112 found nothing
CAT-QuickHeal 9.00/20080112 found nothing
ClamAV 0.91.2/20080111 found nothing
DrWeb 4.44.0.09170/20080112 found nothing
eSafe 7.0.15.0/20080110 found nothing
eTrust-Vet 31.3.5451/20080111 found nothing
Ewido 4.0/20080112 found nothing
F-Prot 4.4.2.54/20080111 found nothing
F-Secure 6.70.13030.0/20080112 found nothing
FileAdvisor 1/20080112 found nothing
Fortinet 3.14.0.0/20080112 found nothing
Ikarus T3.1.1.20/20080112 found nothing
Kaspersky 7.0.0.125/20080112 found nothing
McAfee 5205/20080111 found nothing
Microsoft 1.3109/20080112 found nothing
NOD32v2 2786/20080112 found nothing
Norman 5.80.02/20080111 found nothing
Panda 9.0.0.4/20080112 found nothing
Prevx1 V2/20080112 found nothing
Rising 20.26.52.00/20080112 found nothing
Sophos 4.24.0/20080112 found nothing
Sunbelt 2.2.907.0/20080112 found nothing
Symantec 10/20080112 found nothing
TheHacker 6.2.9.186/20080111 found nothing
VBA32 3.12.2.5/20080112 found nothing
VirusBuster 4.3.26:9/20080112 found nothing
Webwasher-Gateway 6.6.2/20080112 found nothing

Utilisateur anonyme · Answer

Ok,

Log du poste 22 :

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe 


Log du poste 29 :

C:\Documents and Settings\guillaume\Bureau\HijackThis.exe 

+

C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\MediaMonkey\MediaMonkey.exe
C:\Program Files\Windows Live\Mail\wlmail.exe 

Je ne comprends pas !

kourou3 · Answer

et bien quel est le problème ?
Hijackthis, c'est parce que je l'ai réinstaller 

le reste ? 
utorrent : http://www.commentcamarche.net/telecharger/telecharger 196 utorrent 
Mediamonkey : mon lecteur multimédia 
wlmail.exe : mon client de messagerie ...

kourou3 · Answer

pardon j'avais pas compris, en effet entre le 22 et le 29,
3 programmes sont apparue. 
pourtant pas d'installation entre les 2 rapport ...

Utilisateur anonyme · Answer

Ok, 
non tu as du activer les programmes entre deux...
Je regarde.....
A+

kourou3 · Answer

comment sa activer ?

kourou3 · Answer

ah oui surement

^^Marie^^ · Answer

re coucou

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

* Double-clique VundoFix.exe afin de le lancer. 
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo 
* Clique sur le bouton Scan for Vundo. 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK 
* Démarre ton PC à nouveau. 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

kourou3 · Answer

je l'ai déjà fait ;)


VundoFix V6.5.4

Checking Java version...

Scan started at 22:29:49 12/01/2008

Listing files found while scanning....

No infected files were found.

^^Marie^^ · Answer

Double cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. 
Au menu principal, choisis 2 et valides. 

Le fix va t'informer qu'il va alors redémarrer ton PC 
Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuies sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais le toi même) 
Au redémarrage de ton PC, choisis ta session habituelle. 

Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 
Le bloc-notes va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver 
Referme le bloc-notes. Ton bureau va réapparaitre 

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Celà te fera apparaitre ton bureau. 

Postes le rapport içi.

Utilisateur anonyme · Answer

Non, une erreur..

kourou3 · Answer

Clean Navipromo version 3.4.0 commencé le 12/01/2008 à 22:41:17,14

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans "C:\Documents and Settings\guillaume\local settings\application data" * 



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\guillaume\application data" *** 


*** Suppression dossiers dans "C:\Documents and Settings\guillaume\MENUDM~1\PROGRA~1" *** 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\guillaume\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\guillaume\local settings\application data" * 


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !

*** Nettoyage terminé le 12/01/2008 à 22:44:27,25 ***

^^Marie^^ · Answer

ok

Supprime TOUS les logiciels que l'on t'a fait installer SAUF hijackthis

Pour compléter leur suppression

·	Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
·	Clique sur Recherche et laisse le scan se terminer.
·	Clique, sur Suppression pour finaliser.
·	Tu peux, si tu le souhaites, te servir des Options facultatives.
·	Clique sur Quitter, pour que le rapport puisse se créer.
·	Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Tu fais un bilan de tes symptômes

kourou3 · Answer

-->- Recherche: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\guillaume\Bureau\HijackThis.exe: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\guillaume\Bureau\HijackThis.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !

Hijackthis réinstaller 
 les symptômes ? , quand je surfe avec firefox, des pop-up d'IE7 apparaissent ...
je vois rien d'autre

^^Marie^^ · Answer

OK

Pourquoi Antivir et ton Pare feu sont sur D\: ??

kourou3 · Answer

j'ai installer ZA et antivir sur D, pour accelerer le temps de boot, pour ne pas trop surcharger C au démarrage

kourou3 · Answer

je sais pas si sa peux aider, mais les pop-up d'IE s'affiche en fonction du site sur lequel je surfe dans firefox
exemple, je suis sur grosbill.com et voila le pop-up qui apparait :
http://url.adtrgt.com/cpv.jsp?p=112194&ip=77.196.62.184&url=http%3A%2F%2Fwww.grosbill.com%2F&selectedKeyword=ron&selectedListingId=6364610

^^Marie^^ · Answer

Tu as installé les extensions de FF &#9658; Adblock
Dans outil -- option -- contenu, la case est-elle cochée "bloquer les pop up ??

kourou3 · Answer

non je n'ai pas Adblock d'installer, l'anti pop-up d'origine est déjà très puissant je trouve,

Utilisateur anonyme · Answer

Bon alors :
> Télécharge VirtumundoBegone sur le bureau: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
et https://www.broadcom.com/support/security-center

>Démarre en mode sans échec : (image). Si problème : tuto ici

- Double clique ensuite sur VirtumundoBeGone.exe et puis suis les instructions.
- Execute ensuite Symantec Vundo Remove Tool 
- Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau
NB : Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

Envoie aussi un rapport smitfraudfix (option 1)

A+

kourou3 · Answer

VBG: 

[01/13/2008, 0:38:36] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\guillaume\Bureau\VirtumundoBeGone.exe" )
[01/13/2008, 0:38:42] - Detected System Information:
[01/13/2008, 0:38:42] -  Windows Version: 5.1.2600, Service Pack 2
[01/13/2008, 0:38:42] -  Current Username: guillaume (Admin)
[01/13/2008, 0:38:42] -  Windows is in SAFE mode with Networking.
[01/13/2008, 0:38:42] - Searching for Browser Helper Objects:
[01/13/2008, 0:38:42] -  BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[01/13/2008, 0:38:42] - Finished Searching Browser Helper Objects
[01/13/2008, 0:38:42] - Finishing up...
[01/13/2008, 0:38:42] - Nothing found! Exiting...

SmitFraudFix :


SmitFraudFix v2.274

Rapport fait à  1:39:58,96, 13/01/2008
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guillaume


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guillaume\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GUILLA~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

^^Marie^^ · Answer

Coucou

télécharge combofix (par sUBs)ici : 
Combofix est un programme qui supprime des trojans/backdoor connues et rootkits
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


et enregistre le sur le bureau. 

2 double-clique sur combofix.exe et suis les instructions 

3 à la fin, il va produire un rapport C:\ComboFix.txt 

4 copie/colle ce rapport dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Poste aussi un nouveau rapport Hijackthis.

kourou3 · Answer

ComboFix.txt : ComboFix 08-01-13.1 - guillaume 2008-01-13 9:53:30.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1603 [GMT 1:00] Running from: C:\Documents and Settings\guillaume\Bureau\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C: emp n3 C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\acbeg.ini2 C:\WINDOWS\system32\bfbbac_g.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\orutv.ini C:\WINDOWS\system32\orutv.ini2 C:\WINDOWS\system32 tstv.ini C:\WINDOWS\system32 tstv.ini2 C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-13 to 2008-01-13 )))))))))))))))))))))))))))))))))))) . 2008-01-13 09:57 . 2008-01-13 09:57 d-------- C: emp n3 2008-01-13 09:52 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-13 08:13 . 2008-01-13 08:13 d-------- C:\Documents and Settings\Eric\Application Data\Grisoft 2008-01-12 22:56 . 2008-01-12 22:56 d-------- C:\Program Files\Trend Micro 2008-01-12 22:34 . 2008-01-12 22:34 1,917 --a------ C:\WINDOWS\imsins.BAK 2008-01-12 17:20 . 2008-01-13 09:58 1,087,520 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-01-12 17:20 . 2008-01-13 09:56 14,816 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-01-12 17:04 . 2008-01-12 17:04 d--h----- C:\WINDOWS\msdownld.tmp 2008-01-12 17:03 . 2008-01-12 17:03 d-------- C:\WINDOWS\system32\fr-fr 2008-01-12 17:01 . 2008-01-12 17:01 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2008-01-12 17:01 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe 2008-01-12 17:01 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll 2008-01-12 17:01 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll 2008-01-12 17:01 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll 2008-01-12 17:01 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll 2008-01-12 17:01 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2008-01-12 17:01 . 2008-01-12 17:03 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-01-12 16:59 . 2008-01-13 09:49 d-------- C:\WINDOWS\Internet Logs 2008-01-12 16:58 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-01-12 16:58 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-01-12 16:58 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-01-12 16:58 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-01-12 16:58 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-01-12 16:58 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-01-12 16:58 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2008-01-12 16:58 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-01-12 16:58 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-01-12 16:56 . 2006-10-27 15:09 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll 2008-01-12 16:24 . 2008-01-13 09:56 932 --------- C:\WINDOWS\system32\drivers\core.cache.dsk 2008-01-12 16:04 . 2008-01-12 16:04 d-------- C:\WINDOWS\ERUNT 2008-01-12 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2008-01-12 11:25 . 2008-01-12 11:41 d-------- C:\Program Files\Google 2008-01-11 23:08 . 2008-01-13 01:40 1,912 --a------ C:\WINDOWS\system32 mp.reg 2008-01-11 20:25 . 2008-01-12 20:16 229 --a------ C:\WINDOWS\wininit.ini 2008-01-11 20:15 . 2008-01-11 20:15 d-------- C:\Documents and Settings\guillaume\Application Data\Grisoft 2008-01-11 20:15 . 2008-01-11 20:15 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-01-11 20:15 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-01-11 20:01 . 2008-01-11 20:01 86,144 --a------ C:\WINDOWS\system32\drivers\atinxbxxx.sys 2008-01-08 19:53 . 2008-01-08 19:53 dr------- C:\Documents and Settings\guillaume\Application Data\Brother 2008-01-05 23:34 . 2008-01-05 23:34 d-------- C:\Program Files\Intel Corporation 2008-01-04 19:01 . 2008-01-04 19:01 268 --ah----- C:\sqmdata04.sqm 2008-01-04 19:01 . 2008-01-04 19:01 244 --ah----- C:\sqmnoopt04.sqm 2008-01-04 09:48 . 2008-01-04 09:48 d-------- C:\Documents and Settings\guillaume\Application Data\InstallShield Installation Information 2008-01-04 09:44 . 2008-01-04 09:44 d-------- C:\Program Files\Unreal Tournament 3 Demo 2008-01-03 14:45 . 2008-01-03 17:20 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-01-03 14:39 . 2008-01-03 14:45 d-------- C:\Program Files\UT2004 2008-01-02 13:05 . 2008-01-13 09:57 d-------- C: emp 2008-01-01 23:35 . 2008-01-01 23:38 d-------- C:\Documents and Settings\All Users\Application Data\Kontiki 2008-01-01 23:35 . 2008-01-01 23:35 d-------- C:\Documents and Settings\All Users\Application Data\Channel4 2007-12-30 23:51 . 2007-12-30 23:51 d-------- C:\Program Files\DivX 2007-12-29 16:23 . 2007-12-30 19:16 d-------- C:\Program Files\Futuremark 2007-12-29 00:52 . 2007-12-29 00:52 d-------- C:\Program Files\Thrustmaster 2007-12-29 00:52 . 2006-04-14 12:05 162,560 --a------ C:\WINDOWS\system32\drivers t2500usb.sys 2007-12-28 23:43 . 2007-12-28 23:44 d-------- C:\Program Files\MediaMonkey 2007-12-28 23:35 . 2007-12-28 23:37 d-------- C:\Program Files\Motherboard Monitor 5 2007-12-28 21:14 . 2007-12-28 21:14 d-------- C:\Program Files\PowerQuest 2007-12-28 21:04 . 2007-12-28 21:04 d-------- C:\Program Files\Simpli Software 2007-12-26 20:55 . 2007-12-26 20:55 1 --a------ C:\WINDOWS\system32\SI.bin 2007-12-26 20:52 . 2008-01-06 13:13 d-------- C:\Program Files\Alcohol Soft 2007-12-26 20:43 . 2004-09-07 12:42 86,085 --a------ C:\WINDOWS\system32\ImageDrive.cpl 2007-12-26 17:40 . 2007-12-26 17:40 d-------- C:\Program Files\Lavalys 2007-12-26 15:39 . 2007-12-27 21:51 d-------- C:\Program Files\ATITool 2007-12-26 15:10 . 2006-12-28 17:44 84,992 --a------ C:\WINDOWS\system32\drivers\AtiHdAud.sys 2007-12-26 14:58 . 2007-12-26 20:36 d-------- C:\Documents and Settings\guillaume\Application Data\DAEMON Tools 2007-12-25 23:46 . 2008-01-08 19:59 d-------- C:\Documents and Settings\guillaume\Application Data\Bioshock 2007-12-25 23:04 . 1998-11-13 12:16 308,224 --a------ C:\WINDOWS\IsUn040c.exe 2007-12-25 22:58 . 2007-12-25 22:58 d-------- C:\WINDOWS\PSOFT 2007-12-25 22:58 . 2007-12-25 22:59 20 --a------ C:\WINDOWS\SIERRA.INI 2007-12-25 15:28 . 2007-12-25 15:28 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2007-12-25 15:28 . 2008-01-04 13:29 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2007-12-25 15:28 . 2007-12-25 15:28 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-23 22:51 . 2007-12-23 22:51 d-------- C:\Program Files\CSO-DAX Compressor 2007-12-23 01:19 . 2007-12-23 01:19 d-------- C:\Program Files\Paint.NET 2007-12-22 21:17 . 2007-12-22 21:17 15 --a------ C:\WINDOWS\system32\40569bb6 2007-12-22 16:51 . 2007-12-22 16:51 d-------- C:\Program Files\CCleaner 2007-12-21 05:27 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll 2007-12-21 05:27 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll 2007-12-21 05:27 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll 2007-12-21 05:27 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll 2007-12-21 05:27 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll 2007-12-21 05:27 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll 2007-12-21 05:27 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll 2007-12-21 05:27 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll 2007-12-19 21:53 . 2007-12-19 21:53 0 ---hs---- C:\WINDOWS\SCAA7D251.tmp 2007-12-19 18:50 . 2007-12-21 08:25 1,434 ---hs---- C:\WINDOWS\system32\ltobufub.ini 2007-12-19 16:49 . 2007-12-19 18:00 954 ---hs---- C:\WINDOWS\system32\vjchujuj.ini 2007-12-18 19:50 . 2007-12-18 19:50 23 --a------ C:\WINDOWS\system32\bdaacecbf8_g.ocx 2007-12-18 18:00 . 2007-12-19 13:25 774 ---hs---- C:\WINDOWS\system32\ptbqwncq.ini 2007-12-18 06:55 . 2007-12-18 16:39 534 ---hs---- C:\WINDOWS\system32\dnrvsrfm.ini 2007-12-16 13:09 . 2007-12-16 13:09 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2007-12-13 20:28 . 2008-01-11 20:55 d-------- C:\Program Files\Look@LAN 2007-12-13 20:28 . 2007-12-13 20:28 720,896 --a------ C:\WINDOWS\iun6002.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-13 07:13 --------- d-----w C:\Documents and Settings\guillaume\Application Data\uTorrent 2008-01-12 20:10 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-12 15:21 --------- d-----w C:\Program Files\SpeedFan 2008-01-05 22:34 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-04 08:42 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-01-04 08:41 --------- d-----w C:\Program Files\AGEIA Technologies 2007-12-31 18:25 --------- d-----w C:\Documents and Settings\guillaume\Application Data\dvdcss 2007-12-31 14:18 --------- d-----w C:\Program Files\ATI Technologies 2007-12-28 21:48 --------- d-----w C:\Program Files\Fichiers communs\Real 2007-12-28 11:05 --------- d-----w C:\Program Files\Fichiers communs\ATI Technologies 2007-12-26 16:48 --------- d-----w C:\Program Files\RivaTuner v2.06 2007-12-26 13:17 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-12-24 23:53 --------- d-----w C:\Documents and Settings\guillaume\Application Data\ma-config.com 2007-12-22 21:42 --------- d-----w C:\Program Files\Fichiers communs\DefensedInformation 2007-12-22 19:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira 2007-12-18 21:26 --------- d-----w C:\Program Files\Messenger Plus! Live 2007-12-18 18:36 --------- d-----w C:\Program Files\Windows Live 2007-12-16 12:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2007-12-15 21:16 --------- d-----w C:\Program Files\Fraps 2007-12-13 21:13 --------- d-----w C:\Program Files\Fichiers communs\logishrd 2007-12-08 20:27 --------- d-----w C:\Documents and Settings\guillaume\Application Data\Uniblue 2007-12-08 20:18 --------- d-----w C:\Program Files\Windows Media Connect 2 2007-12-07 22:33 --------- d-----w C:\Program Files\Intel 2007-12-07 22:30 --------- d-----w C:\Program Files\ma-config.com 2007-12-05 13:18 --------- d-----w C:\Documents and Settings\Blandine\Application Data\ATI 2007-12-05 05:28 --------- d-----w C:\Documents and Settings\Eric\Application Data\ATI 2007-12-05 05:26 2,782,208 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2007-12-05 02:16 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll 2007-12-02 06:13 --------- d-----w C:\Documents and Settings\Eric\Application Data\vlc 2007-11-27 22:11 --------- d--h--r C:\Documents and Settings\guillaume\Application Data\SecuROM 2007-11-27 22:09 22,328 ----a-w C:\Documents and Settings\guillaume\Application Data\PnkBstrK.sys 2007-11-27 22:06 --------- d-----w C:\Program Files\GIGABYTE 2007-11-25 19:27 17,962 ----a-w C:\WINDOWS\system32\drivers\GVTDrv.sys 2007-11-16 21:01 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-11-16 14:32 --------- d-----w C:\Program Files\Fichiers communs\Logitech 2007-11-16 14:31 --------- d-----w C:\Program Files\Logitech 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-09 23:15 7,168 ----a-w C:\Documents and Settings\guillaume\queue.dat 2007-11-09 16:07 15,600 ----a-w C:\WINDOWS\gdrv.sys 2007-10-30 10:01 65,175 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2007-10-30 10:01 6,120 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd 2007-10-28 02:50 315,392 ----a-w C:\WINDOWS\HideWin.exe 2007-10-25 10:57 16,855,552 ----a-w C:\WINDOWS\RTHDCPL.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45 1052672] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PSPAP"="C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe" [2006-04-14 12:31 2994176] "avgnt"="D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-22 21:00 249896] "RivaTunerStartupDaemon"="C:\Program Files\RivaTuner v2.06\RivaTuner.exe" [2007-10-30 19:05 2650112] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" [2008-01-11 20:27 6731312] "ZoneAlarm Client"="D:\AUTRES\ZA\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\40568938] C:\WINDOWS\system32\btpvyjeg.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] --a------ 2007-12-22 08:09 221056 C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DefensedInformation] C:\Program Files\DefensedInformation\GDC.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate] --a------ 2005-06-08 14:44 196608 C:\Program Files\Logitech\Video\ManifestEngine.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair] --a------ 2005-06-08 15:24 458752 C:\Program Files\Logitech\Video\ISStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray] --a------ 2005-06-08 15:14 217088 C:\Program Files\Logitech\Video\LogiTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX] --a------ 2005-07-19 17:32 221184 C:\WINDOWS\system32\LVCOMSX.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] ---hs---- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\MsnMsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray] --a------ 2007-05-11 02:08 2512392 C:\WINDOWS\system32\oodtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon] --a------ 2007-10-30 19:05 2650112 C:\Program Files\RivaTuner v2.06\RivaTuner.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a------ 2007-10-25 11:57 16855552 C:\WINDOWS\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] --a------ 2007-08-31 16:46 1460560 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2007-12-27 00:46 1266936 D:\PC Games\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster2] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VGAUtil] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "cisvc"=3 (0x3) "Schedule"=2 (0x2) "helpsvc"=2 (0x2) "WMPNetworkSvc"=3 (0x3) "WLSetupSvc"=3 (0x3) "usnjsvc"=3 (0x3) "ose"=3 (0x3) "Brother XP spl Service"=2 (0x2) "ATI Smart"=2 (0x2) "Ati HotKey Poller"=2 (0x2) "StarWindServiceAE"=2 (0x2) "PnkBstrA"=2 (0x2) "O&O Defrag"=2 (0x2) "sdCoreService"=3 (0x3) "sdAuxService"=3 (0x3) R1 atinxbxxx;atinxbxxx;C:\WINDOWS\system32\drivers\atinxbxxx.sys [2008-01-11 20:01] R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50] S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Corporate + Ultimate Edition\kerneld.wnt [2007-12-14 02:09] S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-09 17:07] S3 GVCplDrv;GVCplDrv;C:\WINDOWS\system32\drivers\GVCplDrv.sys [2006-08-16 07:25] S3 MarkFun_NT;MarkFun_NT;C:\Program Files\GIGABYTE\@BIOS\markfun.w32 [2007-08-21 11:49] S3 TVICPORT;TVICPORT;C:\WINDOWS\system32\DRIVERS\TVICPORT.SYS [2005-03-30 12:12] S3 WinRing0;WinRing0;C:\Documents and Settings\guillaume\Mes documents\OC\SetFSB_v20b18g_[JMax-Hardware.com]\WinRing0.sys [] S3 WinRing0_1_0_1;WinRing0_1_0_1;C:\Documents and Settings\guillaume\Mes documents\OC\WinRing0.sys [2007-12-15 17:38] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23691ab2-b3b7-11dc-b8ad-0008d320409c}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{560b174e-b3d2-11dc-b8b5-001a4d9ee2dd}] \Shell\AutoRun\command - G:\AutoRun.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-12-18 20:16:00 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job" - C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe "2007-12-08 20:08:22 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job" - C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-13 09:58:22 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** "ImagePath"="\??\C:\Documents and Settings\guillaume\Mes documents\OC\SetFSB_v20b18g_ [JMax-Hardware.com]\WinRing0.sys" . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156] -> C:\Program Files\MediaMonkey\DeskPlayer.dll . Completion time: 2008-01-13 10:01:01 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-13 09:00:58 . 2008-01-12 23:34:58 --- E O F ---

kourou3 · Answer

Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29:28, on 13/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1390067357-1229272821-839522115-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Eric')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Utilisateur anonyme · Answer

Salut Kourou, Ok, bon le problème vient de spybot (désinstalle-le, on le réinstallera après). C'est ce que je me disais au poste 28, désolé je préférais être sûr. Ensuite, > Lance Hijackthis : > Puis sélectionne < do a system scan only > > Coche les cases des lignes suivantes : O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll Ensuite, > Ferme toutes les autres fenêtres et applications (même internet) > Clic sur "fixe checked" > Démarre en mode sans échec : (image). Si problème : tuto ici > Lance AVG, Poste le rapport généré par AVG dans ton prochain poste stp. > Lance Ccleaner,, > Relance ton PC en mode normal > Relance Hijackthis : Puis sélectionne < do a system scan and save a logfile >, Et envoie nous, par collier/coller, ton log Hijackthis stp,

kourou3 · Answer

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	13:32:08 13/01/2008

 + Résultat de l'analyse:	



:mozilla.166:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.167:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.210:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.74:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.76:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.78:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.79:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.80:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.81:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.117:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adtech : Aucune action entreprise.
:mozilla.176:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\guillaume\Cookies\guillaume@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\guillaume\Cookies\guillaume@atdmt[3].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\guillaume\Cookies\guillaume@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
:mozilla.137:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Euroclick : Aucune action entreprise.
:mozilla.138:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Euroclick : Aucune action entreprise.
:mozilla.139:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Euroclick : Aucune action entreprise.
:mozilla.121:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Overture : Aucune action entreprise.
:mozilla.15:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.18:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.19:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.20:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.21:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.22:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.122:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.123:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.124:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.125:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.126:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.127:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.128:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.52:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.53:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.55:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.56:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.23:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.24:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.34:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.35:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.36:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.37:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.54:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.66:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.67:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.68:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.69:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.70:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.71:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.73:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.


Fin du rapport

kourou3 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:05, on 13/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Utilisateur anonyme · Answer

Salut Kourou,

tu n'as pas supprimé ta collection de cookies AVG (Aucune action entreprise), relance le prog AVG (mode sans échec) et nettoye les crasses.....

C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe , peux tu m'en dire plus (depuis combien de temps tu l'as...)

Tu avais un jeu de poker à pup :  EVEREST Kernel Driver.... essaye de supprimer toutes traces de sa présence sur ton PC...

Envoye : Navilog (option 1 seulement !) suivant les résultats (et je le pense), on lancera un Vundofix....

Poste le rapport Navilog1 dans ta réponse...

Merci.

kourou3 · Answer

ok cookie supprimé
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe => ça c'est ma clé usb Wi-Fi, pour psp
Everest : tu confonds avec ceci je pense :
http://www.clubic.com/telecharger-fiche12281-everest-ultimate.html

Rapport Navilog1 :

Search Navipromo version 3.4.0 commencé le 13/01/2008 à 14:43:35,60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\guillaume\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\guillaume\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\guillaume\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\guillaume\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 13/01/2008 à 14:49:56,01 ***

Utilisateur anonyme · Answer

Ok,
bon depuis le début tout laisse à penser à une inféction Vundo planqué....

Peux tu renvoyer un fix Vundofix stp avec son rapport sur le forum ?

Merci

Dl

kourou3 · Answer

VundoFix V6.5.4

Checking Java version...

Scan started at 18:37:52 13/01/2008

Listing files found while scanning....

No infected files were found.

kourou3 · Answer

VundoFix V6.5.10

Checking Java version...

Scan started at 18:44:43 13/01/2008

Listing files found while scanning....

No infected files were found.

Utilisateur anonyme · Answer

Ok, me revoilà...

Peux-tu reposter un HiJack stp. Mieux repartir sur un rapport dès plus rescent...

Quels sont les problèmes que tu rencontre aussi ? Toujours des pub ?
Merci,

A+

kourou3 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:40, on 13/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

kourou3 · Answer

bon je crois que je vais formater, je sauvegarde mes trucs important sur D et c'est partie ...

Utilisateur anonyme · Answer

Non, attends 
ça arrive, ...

Utilisateur anonyme · Answer

Salut, encore moi, et oui....je suis tenace...
pas autant que te faut logiciels de protéction : AVG est comme spybot...

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe 

Bon je sais pas où tu les as trouver mais pour la suite, petit conseil, assure toi de la légitimité du site : 

http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet

Tu y trouveras de quoi protéger ton PC....

En attendant,

Désinstalle AVG et revoi un HiJAck merci.

A+

Utilisateur anonyme · Answer

Re,
peux-tu aussi réinstaller Spybot et AVG que tu trouveras sur cette page : http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet
avant de reposter un HiJack, 
merci.

A+

kourou3 · Answer

bon j'ai finalement formaté, la c'est bon j'ai pu rien, scan antivir, tout est ok, plus de po-up (je dit sa au cas ou l'infection aurai aussi eu lieu sur D )
désolé du dérangement, et merci pour tout  ;)

Smitfraud-C.Core service

63 réponses

Votre réponse

Discussions similaires

Newsletters