VIRUS : Trojan.Win32.BHO.auf Résolu

Question

Bonjour à tous.

J'ai ZonAlarme Securité Suite et celui ci m'a détecter ceci : VIRUS : Trojan.Win32.BHO.auf

J'ai un peu lu les autres messages c'est pourquoi j'ai tlécharger Hijackthis. J'ai lancé le scan du système et il ma sorti ce rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:14, on 29/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox 3 Beta 2\firefox.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32	askmgr.exe
C:\Documents and Settings\ownokio\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://slog.ign.fr/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\sprt_ads.dll" DllStart
O4 - HKLM\..\Run: [f4244912] rundll32.exe "C:\WINDOWS\system32\lwscqocw.dll",b
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Dot1XCfg] C:\Program Files\Dot1XCfg\Dot1XCfg.exe
O4 - HKCU\..\Run: [Router] C:\Program Files\Router\Router.exe
O4 - HKCU\..\Run: [WinTouch] C:\Documents and Settings\ownokio\Application Data\WinTouch\WinTouch.exe
O4 - HKCU\..\Run: [SfKg6w] C:\Documents and Settings\ownokio\Application Data\Microsoft\Windowsayiou.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9ECF76D-E1AC-41F5-873F-387EF5EAA195}: NameServer = 172.16.2.91
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

g!rly · Answer

salut ownokio,

passes ces fix dans l´ordre et post les resultats suer le forum :

1
Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

2
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

3
Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

ownokio · Answer

Alors voilà je n'ai pas fini tout ce que u as dit et voilà pourquoi.

En effet j'ai fait le premier avec msnfix dont voici le rapport :
lors de la fenêtre bleu il a indiqué qu'il a trouvé un ficher infecter puis il m'a donné ceci :

MSNFix 1.647  
 
C:\Documents and Settings\ownokio\Bureau\MSNFix 
Fix exécuté le 30/01/2008 -  6:12:27,07 By ownokio 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\system32\mcrh.tmp 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINDOWS\system32\mcrh.tmp  
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 30012008_ 6134204.zip
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 
 
cela m'a paru bizarre mais j'ai continué quand même en lançant SDfix....

Le truc c'est que lorsque qu'il est arrivé à "removing catchme please wait...", et bien il n'a plus rien fait. 

En effet je l'ai lancé vers 22h hier soir, il est 6h du matin et durant tout ce temps il est resté sur cette phrase.
J'ai cru qu'il avait planté donc je suis sorti... dois-je le relancé finalement et attendre encore plus longtemps où n'est-ce pas la peine ?

g!rly · Answer

salut ownokio,

d´accord pour msnfix meme si je penssais qu´il aurait supprimé plus de fichiers infectés...

pour sdfix, il doit y avoir un conflit avec ta protection, on le retentera plus tard...

peux tu faire combofix mais cette fois ci,  le temps de le passer : quitte toutes tes applications et navigateur et suspent zone alarm anti-virus/par feu et ne touche a rien pendant qu´il fait le scan et son boulot; meme pas a la sourie...

post le rapport ici stp.

@+

ownokio · Answer

bien je te dirais ça dans quelques temps... merci

g!rly · Answer

re,
dans quelques temps ?
@+

ownokio · Answer

voilà c'est fait alors j'ai rien touché : e donc voici le rapport (en faite quelques temps c'est le temps que le logiciel fasse sont effets ^^)

alors :

ComboFix 08-01-30.6 - ownokio 2008-01-30 16:21:40.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1580 [GMT 1:00]
Endroit: C:\Documents and Settings\ownokio\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\jkhhe.dll
C:\WINDOWS\system32\opnmjkk.dll
C:\WINDOWS\system32\ehhkj.ini
C:\WINDOWS\system32\ehhkj.ini2
C:\WINDOWS\system32\jkhhe.dll
C:\WINDOWS\system32\ldpackage.dll
C:\WINDOWS\system32\lwscqocw.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\model.dat
C:\WINDOWS\system32\opnmjkk.dll
C:\WINDOWS\system32\rlxf.dll
C:\WINDOWS\system32\silc_dll.dll
C:\WINDOWS\system32\sprt_ads.dll
C:\WINDOWS\system32\wcoqcswl.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.

2008-01-30 15:44 . 2008-01-30 15:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-01-29 21:49 . 2008-01-29 21:49 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-29 21:47 . 2007-10-10 12:42 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-01-29 21:47 . 2007-10-10 15:31 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-01-29 17:55 . 2008-01-29 18:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-29 17:45 . 2008-01-29 17:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-29 05:27 . 2008-01-30 16:13 0 --a------ C:\rollback.ini
2008-01-29 05:08 . 2008-01-30 15:49 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\MailFrontier
2008-01-29 04:37 . 2008-01-30 16:25 1,521,440 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-29 04:37 . 2008-01-30 16:23 23,492 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-29 04:24 . 2008-01-29 04:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-01-29 02:41 . 2008-01-29 02:41 1,358,156 --a------ C:\WINDOWS\system32\silc.dat
2008-01-29 01:00 . 19,584 C:\WINDOWS\system32\drivers\oelgkquj.dat
2008-01-28 20:57 . 2008-01-28 20:57 26,688 --a------ C:\WINDOWS\system32\yojaqobw.dll
2008-01-28 20:40 . 2008-01-28 20:40 46,300 --a------ C:\WINDOWS\system32\DcadsSocial-uninstall.exe
2008-01-28 03:14 . 2008-01-28 03:14 712,704 --a------ C:\WINDOWS\system32\rlph.dll
2008-01-27 21:43 . 2008-01-27 21:43 <REP> d-------- C:\Program Files\Skyline
2008-01-27 21:43 . 2008-01-27 21:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skyline
2008-01-27 20:40 . 2008-01-28 03:13 380,928 --a------ C:\WINDOWS\system32\RLLS.DLL.vzr
2008-01-27 20:39 . 2008-01-27 20:39 84,761 --a------ C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2008-01-27 20:39 . 2004-08-19 15:09 84,480 --a------ C:\WINDOWS\system32\adsn.dll
2008-01-27 20:38 . 2008-01-27 20:38 <REP> d-------- C:\Program Files\Dcads Games Collection
2008-01-27 20:38 . 2008-01-27 20:39 80,097 --a------ C:\WINDOWS\system32\dcads-remove.exe
2008-01-27 20:38 . 2008-01-27 20:50 40,734 --a------ C:\WINDOWS\system32\superiorads-uninst.exe
2008-01-27 19:58 . 2008-01-29 17:33 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-27 19:51 . 2008-01-27 19:51 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2008-01-27 19:43 . 2008-01-27 19:43 <REP> d-------- C:\Program Files\Java
2008-01-27 19:43 . 2008-01-29 05:20 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\LimeWire
2008-01-27 19:43 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-27 19:41 . 2008-01-27 19:43 <REP> d-------- C:\Program Files\LimeWire
2008-01-27 19:41 . 2008-01-27 19:41 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-01-27 19:11 . 2008-01-29 02:05 <REP> d-------- C:\Program Files\eMule
2008-01-26 20:34 . 2006-06-22 23:29 720,176 -ra------ C:\WINDOWS\system32\drivers\LV302AV.SYS
2008-01-26 15:56 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-01-26 15:56 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-01-26 15:56 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-26 03:31 . 2008-01-26 03:31 <REP> d-------- C:\Program Files\Windows Live Toolbar
2008-01-26 03:31 . 2008-01-26 03:31 <REP> d-------- C:\Program Files\Windows Live Favorites
2008-01-26 03:29 . 2008-01-26 03:29 <REP> d-------- C:\Program Files\Windows Live
2008-01-26 03:29 . 2008-01-26 03:31 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-01-26 03:29 . 2008-01-26 03:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-01-26 03:28 . 2008-01-26 03:29 2,402,832 --a------ C:\Program Files\WLinstaller.exe
2008-01-26 02:58 . 2008-01-30 16:19 <REP> d-------- C:\Program Files\Mozilla Firefox 3 Beta 2
2008-01-26 02:58 . 2008-01-26 02:58 6,536,112 --a------ C:\Program Files\Firefox Setup 3.0 Beta 2.exe
2008-01-26 02:58 . 2008-01-26 02:58 0 --a------ C:\WINDOWS\nsreg.dat
2008-01-26 00:28 . 2008-01-26 00:28 <REP> d-------- C:\Program Files\Teamspeak2_RC2
2008-01-26 00:28 . 2008-01-26 00:28 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\teamspeak2
2008-01-26 00:28 . 2008-01-26 00:28 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-01-25 21:49 . 2008-01-25 21:53 8,597,840 --a------ C:\Program Files\Windows_Movie_Maker_2.0.exe
2008-01-24 22:00 . 2008-01-24 22:00 <REP> d--hs---- C:\Documents and Settings\ownokio\UserData
2008-01-24 18:39 . 2008-01-24 22:00 <REP> d-------- C:\Documents and Settings\ownokio\Contacts
2008-01-24 18:38 . 2008-01-24 18:38 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-24 18:35 . 2008-01-24 18:38 <REP> d-------- C:\Program Files\MSN Messenger
2008-01-24 13:52 . 2008-01-30 09:52 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-01-24 13:52 . 2008-01-30 09:52 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-24 13:51 . 2008-01-24 13:51 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-01-24 13:51 . 2008-01-24 13:51 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-01-19 17:26 . 2008-01-19 17:26 327,680 --a------ C:\WINDOWS\system32\mysidesearch_sidebar.dll
2008-01-18 11:06 . 2008-01-18 11:06 294,912 --a------ C:\WINDOWS\system32\iebrowserc.dll
2007-12-07 12:27 . 2007-12-07 12:27 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\dvdcss
2007-12-05 11:17 . 2007-12-05 11:17 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\vlc
2007-12-05 11:14 . 2007-12-05 11:14 <REP> d-------- C:\Program Files\VideoLAN
2007-12-04 21:33 . 2000-05-07 23:08 34,816 -ra------ C:\WINDOWS\system32\mpgaudio.ax

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 09:27 2,392,454 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-01-29 16:37 2,848,768 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-01-29 16:37 2,276,864 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-01-29 16:35 45,495 ----a-w C:\WINDOWS\Internet Logs\GLB12_2nd_2008_01_29_17_30_24_small.dmp.zip
2008-01-29 12:04 43,829 ----a-w C:\WINDOWS\Internet Logs\GLB7_2nd_2008_01_29_11_39_37_small.dmp.zip
2008-01-29 11:30 512 ----a-w C:\ScanSectorLog.dat
2008-01-29 10:35 2,776,064 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-01-29 10:35 2,180,608 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-01-25 23:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-19 21:38 729,088 ----a-w C:\WINDOWS\iun6002.exe
2007-11-14 15:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-30 17:41 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 10:57 16,855,552 ----a-w C:\WINDOWS\RTHDCPL.exe
2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-17 17:23 10,752 ----a-w C:\WINDOWS\system32\WhoisCL.exe
2007-10-11 10:04 1,826,816 ----a-w C:\WINDOWS\SkyTel.exe
2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0729B41A-4E64-4819-A249-2BC6A18AD2C8}]
2004-08-19 15:09 84480 --a------ C:\WINDOWS\system32\adsn.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}]
2008-01-19 17:26 327680 --a------ C:\WINDOWS\system32\mysidesearch_sidebar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{16C4CC4D-559A-40CA-927A-F59BD019E904}]
2008-01-28 20:57 26688 --a------ C:\WINDOWS\system32\yojaqobw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93}]
2008-01-18 11:06 294912 --a------ C:\WINDOWS\system32\iebrowserc.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E}]
C:\WINDOWS\system32\nss1B3.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E015787-B1E3-404a-95DE-3E71E1FA0305}]
C:\WINDOWS\system32\spads.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Steam"="C:\Program Files\Valve\Steam\Steam.exe" [2008-01-27 11:30 1266936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 16:05 81920]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 11:57 16855552 C:\WINDOWS\RTHDCPL.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-11-14 16:05 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09 15360]

R0 uizafuwv;uizafuwv;C:\WINDOWS\system32\drivers\oelgkquj.dat []
R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-30 14:44:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

voilà que dois-je faire maintenant ?

g!rly · Answer

re,

repost un nouveau hijack this stp

je vais ensuite preparer un script pour combofix.

@+

koliaown · Answer

merci donc voilà le résultat du scan hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42, on 2008-01-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox 3 Beta 2\firefox.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Documents and Settings\ownokio\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://slog.ign.fr/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0729B41A-4E64-4819-A249-2BC6A18AD2C8} - C:\WINDOWS\system32\adsn.dll
O2 - BHO: MySidesearch Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\mysidesearch_sidebar.dll
O2 - BHO: (no name) - {16C4CC4D-559A-40CA-927A-F59BD019E904} - C:\WINDOWS\system32\yojaqobw.dll
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
O2 - BHO: dcads - {6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} - C:\WINDOWS\system32
ss1B3.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - C:\WINDOWS\system32\spads.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9ECF76D-E1AC-41F5-873F-387EF5EAA195}: NameServer = 172.16.2.91
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ownokio · Answer

désolé koliaown c'est moi koliaown=ownokio désolé  ^^

g!rly · Answer

ok pour le changement de pseudo ;-) merci de l´avoir signalé.

voici le script :

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\adsn.dll
C:\WINDOWS\system32\mysidesearch_sidebar.dll
C:\WINDOWS\system32\yojaqobw.dll
C:\WINDOWS\system32\iebrowserc.dll
C:\WINDOWS\system32
ss1B3.dll
C:\WINDOWS\system32\spads.dll
C:\WINDOWS\system32\drivers\oelgkquj.dat
C:ollback.ini
C:\WINDOWS\system32\silc.dat

Driver::
uizafuwv

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0729B41A-4E64-4819-A249-2BC6A18AD2C8}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{16C4CC4D-559A-40CA-927A-F59BD019E904}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E015787-B1E3-404a-95DE-3E71E1FA0305}]

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

ownokio · Answer

ok donc voilà les derniers résultats....

J'ai lancé Combofix en glissant le truc dedant. il m'a donné ce rapport :(l'ordinateur a redaémarré je ne saius pas si c'est important à signaler mais bon... vaut mieux)

ComboFix 08-01-30.6 - ownokio 2008-01-30 18:14:34.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1466 [GMT 1:00]
Endroit: C:\Documents and Settings\ownokio\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\ownokio\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE
C:\rollback.ini
C:\WINDOWS\system32\adsn.dll
C:\WINDOWS\system32\drivers\oelgkquj.dat
C:\WINDOWS\system32\iebrowserc.dll
C:\WINDOWS\system32\mysidesearch_sidebar.dll
C:\WINDOWS\system32\nss1B3.dll
C:\WINDOWS\system32\silc.dat
C:\WINDOWS\system32\spads.dll
C:\WINDOWS\system32\yojaqobw.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\rollback.ini
C:\WINDOWS\system32\adsn.dll
C:\WINDOWS\system32\drivers\oelgkquj.dat
C:\WINDOWS\system32\iebrowserc.dll
C:\WINDOWS\system32\mysidesearch_sidebar.dll
C:\WINDOWS\system32\silc.dat
C:\WINDOWS\system32\yojaqobw.dll
.
---- Previous Run -------
.
C:\WINDOWS\system32\jkhhe.dll
C:\WINDOWS\system32\opnmjkk.dll
C:\WINDOWS\system32\ehhkj.ini
C:\WINDOWS\system32\ehhkj.ini2
C:\WINDOWS\system32\jkhhe.dll
C:\WINDOWS\system32\ldpackage.dll
C:\WINDOWS\system32\lwscqocw.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\model.dat
C:\WINDOWS\system32\opnmjkk.dll
C:\WINDOWS\system32\rlxf.dll
C:\WINDOWS\system32\silc_dll.dll
C:\WINDOWS\system32\sprt_ads.dll
C:\WINDOWS\system32\wcoqcswl.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_UIZAFUWV
-------\uizafuwv

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.

2008-01-30 15:44 . 2008-01-30 15:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-01-29 21:49 . 2008-01-29 21:49 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-29 21:47 . 2007-10-10 12:42 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-01-29 21:47 . 2007-10-10 15:31 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-01-29 21:47 . 2007-10-10 15:31 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-01-29 17:55 . 2008-01-29 18:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-29 17:45 . 2008-01-29 17:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-29 05:08 . 2008-01-30 15:49 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\MailFrontier
2008-01-29 04:37 . 2008-01-30 18:19 1,593,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-29 04:37 . 2008-01-30 18:18 24,452 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-29 04:24 . 2008-01-29 04:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-01-28 20:40 . 2008-01-28 20:40 46,300 --a------ C:\WINDOWS\system32\DcadsSocial-uninstall.exe
2008-01-28 03:14 . 2008-01-28 03:14 712,704 --a------ C:\WINDOWS\system32\rlph.dll
2008-01-27 21:43 . 2008-01-27 21:43 <REP> d-------- C:\Program Files\Skyline
2008-01-27 21:43 . 2008-01-27 21:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skyline
2008-01-27 20:40 . 2008-01-28 03:13 380,928 --a------ C:\WINDOWS\system32\RLLS.DLL.vzr
2008-01-27 20:39 . 2008-01-27 20:39 84,761 --a------ C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2008-01-27 20:38 . 2008-01-27 20:38 <REP> d-------- C:\Program Files\Dcads Games Collection
2008-01-27 20:38 . 2008-01-27 20:39 80,097 --a------ C:\WINDOWS\system32\dcads-remove.exe
2008-01-27 20:38 . 2008-01-27 20:50 40,734 --a------ C:\WINDOWS\system32\superiorads-uninst.exe
2008-01-27 19:58 . 2008-01-29 17:33 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-27 19:51 . 2008-01-27 19:51 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2008-01-27 19:43 . 2008-01-27 19:43 <REP> d-------- C:\Program Files\Java
2008-01-27 19:43 . 2008-01-29 05:20 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\LimeWire
2008-01-27 19:43 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-27 19:41 . 2008-01-27 19:43 <REP> d-------- C:\Program Files\LimeWire
2008-01-27 19:41 . 2008-01-27 19:41 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-01-27 19:11 . 2008-01-29 02:05 <REP> d-------- C:\Program Files\eMule
2008-01-26 20:34 . 2006-06-22 23:29 720,176 -ra------ C:\WINDOWS\system32\drivers\LV302AV.SYS
2008-01-26 15:56 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-01-26 15:56 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-01-26 15:56 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-26 03:31 . 2008-01-26 03:31 <REP> d-------- C:\Program Files\Windows Live Toolbar
2008-01-26 03:31 . 2008-01-26 03:31 <REP> d-------- C:\Program Files\Windows Live Favorites
2008-01-26 03:29 . 2008-01-26 03:29 <REP> d-------- C:\Program Files\Windows Live
2008-01-26 03:29 . 2008-01-26 03:31 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-01-26 03:29 . 2008-01-26 03:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-01-26 03:28 . 2008-01-26 03:29 2,402,832 --a------ C:\Program Files\WLinstaller.exe
2008-01-26 02:58 . 2008-01-30 18:07 <REP> d-------- C:\Program Files\Mozilla Firefox 3 Beta 2
2008-01-26 02:58 . 2008-01-26 02:58 6,536,112 --a------ C:\Program Files\Firefox Setup 3.0 Beta 2.exe
2008-01-26 02:58 . 2008-01-26 02:58 0 --a------ C:\WINDOWS\nsreg.dat
2008-01-26 00:28 . 2008-01-26 00:28 <REP> d-------- C:\Program Files\Teamspeak2_RC2
2008-01-26 00:28 . 2008-01-26 00:28 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\teamspeak2
2008-01-26 00:28 . 2008-01-26 00:28 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-01-25 21:49 . 2008-01-25 21:53 8,597,840 --a------ C:\Program Files\Windows_Movie_Maker_2.0.exe
2008-01-24 22:00 . 2008-01-24 22:00 <REP> d--hs---- C:\Documents and Settings\ownokio\UserData
2008-01-24 18:39 . 2008-01-24 22:00 <REP> d-------- C:\Documents and Settings\ownokio\Contacts
2008-01-24 18:38 . 2008-01-24 18:38 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-24 18:35 . 2008-01-24 18:38 <REP> d-------- C:\Program Files\MSN Messenger
2008-01-24 13:52 . 2008-01-30 17:44 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-01-24 13:52 . 2008-01-30 17:44 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-24 13:51 . 2008-01-24 13:51 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-01-24 13:51 . 2008-01-24 13:51 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-07 12:27 . 2007-12-07 12:27 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\dvdcss
2007-12-05 11:17 . 2007-12-05 11:17 <REP> d-------- C:\Documents and Settings\ownokio\Application Data\vlc
2007-12-05 11:14 . 2007-12-05 11:14 <REP> d-------- C:\Program Files\VideoLAN
2007-12-04 21:33 . 2000-05-07 23:08 34,816 -ra------ C:\WINDOWS\system32\mpgaudio.ax

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 09:27 2,392,454 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-01-29 16:37 2,848,768 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-01-29 16:37 2,276,864 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-01-29 16:35 45,495 ----a-w C:\WINDOWS\Internet Logs\GLB12_2nd_2008_01_29_17_30_24_small.dmp.zip
2008-01-29 12:04 43,829 ----a-w C:\WINDOWS\Internet Logs\GLB7_2nd_2008_01_29_11_39_37_small.dmp.zip
2008-01-29 11:30 512 ----a-w C:\ScanSectorLog.dat
2008-01-29 10:35 2,776,064 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-01-29 10:35 2,180,608 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-01-25 23:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-19 21:38 729,088 ----a-w C:\WINDOWS\iun6002.exe
2007-11-14 15:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-10-30 17:41 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-10-25 10:57 16,855,552 ----a-w C:\WINDOWS\RTHDCPL.exe
2007-10-11 10:04 1,826,816 ----a-w C:\WINDOWS\SkyTel.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Steam"="C:\Program Files\Valve\Steam\Steam.exe" [2008-01-27 11:30 1266936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 16:05 81920]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 11:57 16855552 C:\WINDOWS\RTHDCPL.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-11-14 16:05 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09 15360]

R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-30 16:44:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

Et voilà ce que donne le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22, on 2008-01-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\ownokio\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://slog.ign.fr/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9ECF76D-E1AC-41F5-873F-387EF5EAA195}: NameServer = 172.16.2.91
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

g!rly · Answer

re,

c´est mieux ;-)

tu n´as pas d´antivirus:

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

puis fais ceci :

Télécharge FixWareout d'un de ces deux sites sur le bureau:

   http://downloads.subratam.org/Fixwareout.exe
   http://swandog46.geekstogo.com/Fixwareout.exe

-> Lance le fix : clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis click sur Finish.
   Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

-> Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.

@+

ownokio · Answer

en fait si j'en ai un c'est zone Alarm
je dois désinstaller celui que j'ai ???

g!rly · Answer

zone alarm y fais que par feu non?
@+

ownokio · Answer

euuh non je crois pas il fait anti-virus ^^ pas anti spyware mais anti virus oui

g!rly · Answer

ok,

tu as la suite par feu / antivirus ?!

@+

ownokio · Answer

oui en effet ^^

ownokio · Answer

alors que dois-je faire ????

g!rly · Answer

re,

excuse, je suis partie dinner...

garde ta suite zone alarm

fais le fixwareout et post un nouveau hijack this

@+

ownokio · Answer

OK alors voilà voili voilou le rapport du fix report.txt


Username "ownokio" - 2008-01-30 23:55:24 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
"DAEMON Tools-1033"="\"C:\Program Files\D-Tools\daemon.exe\"  -lang 1033"
"RTHDCPL"="RTHDCPL.EXE"
"SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe\""
"ZoneAlarm Client"="\"C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"MsnMsgr"="\"C:\Program Files\MSN Messenger\MsnMsgr.Exe\" /background"
"Steam"="\"C:\Program Files\Valve\Steam\Steam.exe\" -silent"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~



Quant au rapport de Hijackthis le voici ^^ :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:59, on 2008-01-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Documents and Settings\ownokio\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://slog.ign.fr/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9ECF76D-E1AC-41F5-873F-387EF5EAA195}: NameServer = 172.16.2.91
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

g!rly · Answer

re,

je vais pas tarder...

qu´on soit bien d´accord tu n´est pas aux etats unis ?

@+

ownokio · Answer

euuh non Paris dans le 94. ^^ pourquoi ?? C'est grave d'être aux Etat-Unis ?

g!rly · Answer

re,
ok le 94 est aussi une belle région ;-)
c´est pour l´adresse dsn que je te demande ca, elle pointe vers Marina del Rey (usa)
fix wareout n´as pas reussi a l´effacer alors on va le faire a la main....
fais ceci 
a l´aide de hijack this coche et fix la ligne ci dessous:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9ECF76D-E1AC-41F5-873F-387EF5EAA195}: NameServer = 172.16.2.91
comment fixer :
Tutoriel d´utilisation (video) :
-> http://pageperso.aol.fr/balltrap34/demohijack.htm
puis fais ce scan en ligne pour verifier que tout est rentré dans l´ordre, quand tu auras le temps et post le rapport ici stp :

Scan en ligne bitdefender :

https://www.bitdefender.com/toolbox/

Clicker sur " I agree " et suivre les indications 

A faire imperativement sous internet explorer, en acceptant l´activ x

tutoriel en image en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

je reviendrais demain pour voir le rapport.
@+

ownokio · Answer

Alors voilà il est 2h30 du matin et j'arrive pas à dormir donc je m'occupe de mon pc....

j'ai donc fixer la ligne comme tu me l'as dit.

Puis lancer le scan online....

Celui-ci donne ce qui est juste en dessous...


BitDefender Online Scanner - Real Time Virus Report
Generated at: Thu, Jan 31, 2008 - 02:35:43

Scan Info
Scanned Files	              111735
Infected Files	              14
	
Virus Detected
	
Trojan.Vundo.DXE	                     1

Adware.Trafficsol.R                     2

Trojan.Vundo.DRQ                      2

Adware.Webhancer.BI                2

Dialer.Generic.10254                  1

Trojan.Vundo.DWZ                     1

Trojan.Spy.Bzub.NGP                 2

Adware.Marketscore.L                2

Application.Findkeyxp.G              1




This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world


Voilà. Sinon petite question qu'est-ce que des adwares ???  BOn bah maintenant je vais me coucher bon nuit ^^

g!rly · Answer

salut ownokio,

je voie que tu as veillé...

tu as pas genre un rapport complet de scan avec le chemin des infections ?

un adaware est une infection publicitaire...

@+

ownokio · Answer

salut je ne sais pas je n'en ai pas ?? on le trouve où le rapport plud détaillé ?? 

Sinon c'est normal qu'à cause d'un disfonctionnement d'horloge ça ait désactiver juste l'anti virus ???

g!rly · Answer

re,

il devrait etre au meme endroit que celui que tu m´as envoyé

@+

ownokio · Answer

ok j'esaye de te trouver ça

ownokio · Answer

mince je ne trouve. Je vais recommencer le scan en ligne

g!rly · Answer

ok,

@+

ownokio · Answer

euuuh bonjour.. pourquoi le sujet est-il mis en résolu ??? J'ai l'impression que mon ordi a beaucoup beuguer hier. 

En effet j'ai parlé de ce problème d'horloge interne (d'après ce qu'il me disait), qui faisait planté mon anti-virus. En effet comme j'ai dit c'était Zone Alarme Securité suit anti-virus.   Et  hier soudènement il m'a dis que ce n'était plus un anti-virus mais un anti-spyware...   Peu de temps après mon ordi a planté. Ce qui a fait que j'ai du utliser la manière forte en le forçant à s'éteindre...

Suite à ça maitenant mon ordi fait des drôles de petits "clacks" au démarrage. Et après avoir afficher l'écran avec l'icône de Windows et la barre de chargemenr il redémarre ^^.

Maintenant je ne sais plus quoi faire continuer dans ce sujet ou le mettre dans un autre.

g!rly · Answer

salut ownokio,

peut tu essayer de passer ce fix :

Télécharge ELIBAGLA en bas de cette page
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.

Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

***Ne pas rebooter en passant par msconfig.

-> Redémarre en mode sans échec : 

   Comment redémarrer en mode sans echec? 

   Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

@+

ownokio · Answer

euuh merci beaucoup pour tes conseils mais en fait comment je fais si mon ordi ne s'allume plus ???? Il redémarre indifiniment.... en faisaint des claques. Tu crois que c'est quoi ?

Et sinon et bien je ne sais pas trop quoi faire maintenant....

g!rly · Answer

salut ownokio,

tu n´arrives pas non plus a redemarrer en mode sans echec ?

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5. 

ou 

au moment de demarrer essaie d´appuyer sur ctrl+alt+sup 

tu devrait avoir le gestionnaire des taches qui va s ´afficher;  de la tu va voir les processus actifs essaie de voir ce qui serait anormal  ou dis moi ce que tu voie si possible.

ou

as tu le cd d´installation windows?

@+

ownokio · Answer

Bein en fait le problème c'est qu'il ne veut même plus redémarrer en lode sans échec.... C'est ça qui est bizarre.
Sinon oui j'ai le CD d'installation de XP

Le mien c'est XP Pro Sp2


Je ferais les manipes que tu m'as dises demain car là je ne viens juste que de rentrer et je suis creuvé... 

^^ Merci en tout cas.

g!rly · Answer

salut ownokio,

avec ton cd d ínstallation fais ce qui est indiqué ici :

http://www.informatruc.com/reparer-windows-xp/

dis moi quoi

@+

ownokio · Answer

Ca y est j'ai réussi et en fait j'ai tout recommencé. J'ai réinstallé windows.

Merci pour tout tes conseils et tout le temps passé à t'occuper de mes prob.
C'est vraiment chique de ta part.

Merci de tout mon coeur.

Mais j'ai plus de problème. ^^

J'en ai presque la goutte aux yeux... (mmmh là ça fait trops quand même Loool ^^)
Merci encore et bonne continuation.

g!rly · Answer

Salut ownokio, 

De rien, merci ;-)

Bonne continuation a toi aussi 

Pleures pas on´s revera :D

Bye`

ownokio · Answer

Salut g!fly


Oui merci bonne continuation et sinon j'espère le plus tard possible ^^

Allez à toute et bon courage ^^

g!rly · Answer

Salut Ownokio,

Merci.

bye`

VIRUS : Trojan.Win32.BHO.auf

40 réponses

Discussions similaires

Newsletters