virus toujours la apres plusieur analyse... Résolu

Question

Bonjour,
voila plus d'un jour que je me bat avec mes logiciel antivirus pour tenter de remettre de l'ordre dans mon pc, j'me suis chopé un virus de style trojan apparement (j'y connais )as grand chose) et j'ai donc été vite voir les differents forum pour tenter de m'en sortir seule mais la je beuge j'ai lancé avast qui le trouve mais n'arrive pas a m'en debarrasser ensuite j'ai vu que les ativirus n'avait pas forcement les bonnes fonction pour eradiquer les trojans donc du coup j'ai lancé ad awaree un logiciel qu ej'vasi deja sur mon pc , puis a-square free, puis un autre dont je ne me rappel plus du nom, tout ça pour que a chaque foi il m'en trouve des nouveaux, alors ben je suis tombé sur votre forum et ben vous etes ma derniere chance pour moi de ne pas envoyer mon ordi par la fenetre mdr ! doncj'ai suivi les conseils d'un des membre j'ai fait une analyse avec fix wareout et je vous poste le resultat.
en vous remerciant d'avance.
darkwinnie.
Username "Administrateur" - 29/01/2008 19:19:05 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
C:\windows\xpupdate.exe Deleted
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe "
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe"
"Logitech Utility"="Logi_MwX.Exe"
"Sony Ericsson PC Suite"="\"C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe\" /startoptions"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"QuickTime Task"="\"C:\Program Files\QuickTime\QTTask.exe\" -atboottime"
"TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"004f3f0a"="rundll32.exe \"C:\windows\system32\mippusoe.dll\",b"
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
"BM037c0c96"="Rundll32.exe \"C:\windows\system32\ydkbayew.dll\",s"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\windows\system32\ctfmon.exe"
"MsnMsgr"="\"C:\Program Files\MSN Messenger\MsnMsgr.Exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

cgui33 · Answer

Salut

Vundo
Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer. 

Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse 

Ensuite
Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis. 

Enregistre HJTInstall.exe sur ton bureau. 
Double-clique sur HJTInstall.exe pour lancer le programme 
Installe le programmme sur c:\ et lance le 
Choisis l'option "Do a system scan and save a log file" 
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note 
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport 
Colle le rapport 

A+
(Dans l'ordre merci)

darkwinnie · Answer

euh vundo ma dis que y avait un fichier qu'il n'arrivai pas a supprimer il ma ensuite demandé de redémarrer ce que j'ai fait mais 2 message se sont mis sur le bureau me mettant que windows ne trouvait pas deux fichier ( system32/ydkbayew.dll) je n'ai  pas noté l'autre mon pc a redemarrer et je n'ai aucun rapport qui c'est mis que dois je faire continuer avec le deuxieme logiciel ? recommancer le premier ?
merci pour ta reponse.

darkwinnie · Answer

ah euh excuse mais je savais qu'il fallai aller chercher le rapport je croyai qu'il s'affichai je sais pas si c'est ce que j'ai trouvé j'te le fais passser.
VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 20:15:38 29/01/2008

Listing files found while scanning....

C:\windows\system32\eosuppim.ini
C:\windows\system32\mippusoe.dll
C:\windows\system32\opnklkl.dll
C:\windows\system32\pmnmnki.dll
C:\windows\system32\ssqqnli.dll
C:\windows\system32\ssttq.dll
C:\windows\system32\vturpmk.dll
C:\windows\system32\xxyvutu.dll
C:\windows\system32\xxyyaxv.dll
C:\windows\system32\zbmhwaky.dllbox

Beginning removal...

 Attempting to delete C:\windows\system32\eosuppim.ini
C:\windows\system32\eosuppim.ini Has been deleted!

 Attempting to delete C:\windows\system32\mippusoe.dll
C:\windows\system32\mippusoe.dll Has been deleted!

 Attempting to delete C:\windows\system32\opnklkl.dll
C:\windows\system32\opnklkl.dll Has been deleted!

 Attempting to delete C:\windows\system32\pmnmnki.dll
C:\windows\system32\pmnmnki.dll Has been deleted!

 Attempting to delete C:\windows\system32\ssqqnli.dll
C:\windows\system32\ssqqnli.dll Could not be deleted.

 Attempting to delete C:\windows\system32\ssttq.dll
C:\windows\system32\ssttq.dll Has been deleted!

 Attempting to delete C:\windows\system32\vturpmk.dll
C:\windows\system32\vturpmk.dll Has been deleted!

 Attempting to delete C:\windows\system32\xxyvutu.dll
C:\windows\system32\xxyvutu.dll Has been deleted!

 Attempting to delete C:\windows\system32\xxyyaxv.dll
C:\windows\system32\xxyyaxv.dll Has been deleted!

 Attempting to delete C:\windows\system32\zbmhwaky.dllbox
C:\windows\system32\zbmhwaky.dllbox Has been deleted!

Performing Repairs to the registry.
Done!

cgui33 · Answer

Re
ça a marché finalement !
J'attends le rapport Hijack
A+

darkwinnie · Answer

euh je sais pas trop si c le bon truc... mdr !


ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:30, on 29/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\windows\system32\svchost.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\windows\system32\devldr32.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\windows\system32undll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\windows\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [004f3f0a] rundll32.exe "C:\windows\system32\mippusoe.dll",b
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BM037c0c96] Rundll32.exe "C:\windows\system32\ydkbayew.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://darkwinnieandjo.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DomainService - Unknown owner - C:\windows\system32
pkkpnem.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\windows\system32\windows
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

jimbob · Answer

salut!:
un conseil pour l’avenir
Pour ne  pas attraper de virus pas il ne faut jamais  utiliser XP en mode Administrateur
Windows XP crée un compte Administrateur pendant la procédure d'installation. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou  une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.

Plus de précision ici :
https://www.figer.com/Publications/xpgroupes.htm

darkwinnie · Answer

ben je suis en tant qu'administrateur car on ma formaté l'ordi y peu de temps et en fait j'ai une autre session d'ouverte mais je n'ai ni le nom ni l emot de passe pour l'ouvrir ensuite je ne sais pas non plus coment mettre une nouvelle session sur mon xp familial j'avais dans l'ecran de demarage les porposition pour faire une nouvelle session mais la c xp pro et je ne sais pas trop coment faire.
mais je verrai ça apres pour le moment j''attend le reponse de mon sauveurcgui pour qu'il me dise si mon ordi est net ou pas mdr !
merci du conseil !

cgui33 · Answer

Re
Télécharge combofix sur ton Bureau 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT 

désactive ton antivirus, durant l'utilisation de ComboFix . Merci. (Tu réactiveras après)

Double clique combofix.exe. 
Tape sur la touche Y (Yes) pour démarrer le scan. 
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse 
NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

A+

darkwinnie · Answer

euh ben si c'etait pas une bonne idée c trop tard mdr ! je t'envois le rapport qui est euh tres long... ComboFix 08-01-29.3 - Administrateur 2008-01-29 21:49:47.1 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\windows\system32\geebx.dll C:\WINDOWS\system32\prqss.ini C:\WINDOWS\system32\prqss.ini2 C:\WINDOWS\system32\qttss.ini C:\WINDOWS\system32\qttss.ini2 C:\WINDOWS\system32 tutv.ini C:\WINDOWS\system32 tutv.ini2 C:\windows\system32\ssqqnli.dll C:\windows\system32\windows C:\WINDOWS\system32\xbeeg.ini C:\WINDOWS\system32\xbeeg.ini2 . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-29 )))))))))))))))))))))))))))))))))))) . 2008-01-29 21:58 . 2008-01-29 21:58 d-------- C:\WINDOWS\LastGood 2008-01-29 21:32 . 2008-01-29 21:32 d-------- C:\Program Files\Trend Micro 2008-01-29 20:15 . 2008-01-29 20:53 d-------- C:\VundoFix Backups 2008-01-29 16:16 . 2003-03-24 15:52 16,439 --a--c--- C:\WINDOWS\system32\dllcache\admin.exe 2008-01-29 15:44 . 2003-03-24 15:52 20,540 --a--c--- C:\WINDOWS\system32\dllcache\SET528.tmp 2008-01-29 15:39 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-01-29 15:39 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-01-29 15:39 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-01-29 15:39 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-01-29 15:38 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-01-29 15:38 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-01-29 15:38 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-01-29 15:38 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-01-29 15:31 . 2008-01-29 15:31 d-------- C:\Program Files\Lavasoft 2008-01-29 15:31 . 2008-01-29 15:33 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-01-29 15:03 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2008-01-29 15:02 . 2001-08-23 17:47 525,568 --a--c--- C:\WINDOWS\system32\dllcache ridxp.dll 2008-01-29 14:53 . 2001-08-17 21:50 103,936 --a--c--- C:\WINDOWS\system32\dllcache\sx.sys 2008-01-29 14:51 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2008-01-29 14:50 . 2004-08-19 16:09 397,056 --a--c--- C:\WINDOWS\system32\dllcache\s3gnb.dll 2008-01-29 14:49 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache 2mdkxga.sys 2008-01-29 14:48 . 2001-08-17 22:05 351,616 --a--c--- C:\WINDOWS\system32\dllcache\ovcodek2.sys 2008-01-29 14:47 . 2004-08-19 16:09 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll 2008-01-29 14:46 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys 2008-01-29 14:45 . 2004-08-19 16:09 154,112 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe 2008-01-29 14:44 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys 2008-01-29 14:43 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2008-01-29 14:42 . 2001-08-23 17:13 634,166 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys 2008-01-29 14:41 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2008-01-29 14:40 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys 2008-01-29 14:39 . 2001-08-23 17:03 715,466 --a--c--- C:\WINDOWS\system32\dllcache\cbmdmkxx.sys 2008-01-29 14:38 . 2001-08-17 21:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys 2008-01-29 14:37 . 2004-08-19 16:09 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll 2008-01-29 14:36 . 2001-08-17 21:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys 2008-01-29 14:36 . 2001-08-23 17:46 689,216 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvs.dll 2008-01-29 14:36 . 2001-08-17 20:48 148,352 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvsm.sys 2008-01-29 14:36 . 2001-08-23 17:46 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll 2008-01-29 14:36 . 2004-08-03 23:10 53,248 --a--c--- C:\WINDOWS\system32\dllcache\1394bus.sys 2008-01-29 14:36 . 2004-08-03 23:00 12,288 --a--c--- C:\WINDOWS\system32\dllcache\4mmdat.sys 2008-01-29 14:36 . 2001-08-17 22:06 11,264 --a--c--- C:\WINDOWS\system32\dllcache\1394vdbg.sys 2008-01-29 13:39 . 2008-01-29 13:57 16,618 --a------ C:\WINDOWS\BM037c0c96.xml 2008-01-29 13:39 . 2008-01-29 18:37 22 --a------ C:\WINDOWS\pskt.ini 2008-01-29 01:09 . 2008-01-29 01:09 d-------- C:\Program Files\Messenger Plus! Live 2008-01-29 00:45 . 2008-01-29 00:45 d-------- C:\WINDOWS\system32\bits 2008-01-29 00:45 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll 2008-01-29 00:45 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll 2008-01-29 00:27 . 2008-01-29 01:09 d-------- C:\Program Files\MSN Messenger 2008-01-28 23:10 . 2008-01-29 00:14 d-------- C:\Program Files\a-squared Free 2008-01-28 22:08 . 2008-01-28 22:08 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2008-01-28 22:07 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe 2008-01-28 22:07 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll 2008-01-28 22:07 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll 2008-01-28 22:07 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll 2008-01-28 22:07 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll 2008-01-28 22:04 . 2007-12-13 19:27 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll 2008-01-28 22:03 . 2008-01-29 12:57 358,830 --a------ C:\WINDOWS\system32\vsconfig.xml 2008-01-28 21:13 . 2008-01-28 21:04 102,664 --a------ C:\WINDOWS\system32\drivers mcomm.sys 2008-01-28 21:03 . 2008-01-28 21:14 d-------- C:\Documents and Settings\Administrateur\.housecall6.6 2008-01-28 19:58 . 2008-01-28 19:58 d-------- C:\Program Files\Alwil Software 2008-01-28 17:24 . 2008-01-28 17:34 d-------- C:\Program Files\Eusing Free Registry Cleaner 2008-01-28 17:00 . 2008-01-28 17:01 d-------- C:\Documents and Settings\Administrateur\Application Data\Steinberg 2008-01-28 16:55 . 2008-01-28 16:55 d-------- C:\Documents and Settings\All Users\Application Data\Pinnacle 2008-01-28 16:53 . 2008-01-28 17:16 d-------- C:\Program Files\Steinberg 2008-01-28 16:51 . 2002-11-25 04:46 16,896 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys 2008-01-28 13:03 . 2008-01-28 22:57 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-28 13:03 . 2008-01-28 18:45 40,448 --a------ C:\WINDOWS\system32\NTSpool.exe 2008-01-28 13:03 . 2008-01-28 13:13 37,888 --a------ C:\WINDOWS\system32 ar.exe 2008-01-28 11:50 . 2008-01-28 19:50 d-------- C:\Program Files\VstPlugins 2008-01-28 11:50 . 2006-06-20 09:56 225,280 --a------ C:\WINDOWS\system32 ewire.dll 2008-01-28 11:49 . 2002-07-07 23:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm 2008-01-28 11:45 . 2008-01-28 19:54 d-------- C:\Program Files\Image-Line 2008-01-27 14:02 . 2008-01-29 12:49 d-------- C:\jeux psp 2008-01-27 02:00 . 2008-01-27 11:33 d-------- C:\WINDOWS\SxsCaPendDel 2008-01-25 23:54 . 2008-01-29 20:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-25 23:54 . 2008-01-25 23:54 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-22 22:02 . 2008-01-22 22:10 d-------- C:\Program Files\Windows Live 2008-01-22 22:02 . 2008-01-22 22:07 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-12-30 10:58 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2007-12-30 10:58 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-12-30 10:58 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys 2007-12-30 10:58 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-29 20:59 4,420,896 --sha-w C:\windows\system32\drivers\fidbox.dat 2008-01-29 20:56 61,280 --sha-w C:\windows\system32\drivers\fidbox.idx 2008-01-29 14:30 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-01-28 23:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-01-28 13:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-01-28 13:12 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-25 17:03 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2007-12-25 17:01 --------- d-----w C:\Program Files\QuickTime 2007-12-25 17:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-12-25 16:59 --------- d-----w C:\Program Files\Apple Software Update 2007-12-25 16:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple 2007-12-23 19:50 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\aignes 2007-12-14 13:02 --------- d-----w C:\Program Files\Free 2007-12-14 09:19 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Lavasoft 2007-12-14 09:11 5,152 --sha-w C:\windows\system32\drivers\fidbox2.dat 2007-12-14 09:11 1,556 --sha-w C:\windows\system32\drivers\fidbox2.idx 2007-12-14 09:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\ESET 2007-12-14 08:12 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\TuneUp Software 2007-01-23 19:47 774,144 ----a-w C:\Program Files\RngInterstitial.dll 2007-10-04 00:02 848 --sha-w C:\windows\system32\KGyGaAvL.sys 2007-01-18 08:34 16,384 --sha-w C:\windows\system32\config\systemprofile\Cookies\index.dat 2007-01-18 08:34 32,768 --sha-w C:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat 2007-01-18 08:34 32,768 --sha-w C:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012007011820070119\index.dat 2007-01-18 08:34 32,768 --sha-w C:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F2C9508-7964-41CA-844F-6F4236C37669}] C:\windows\system32\ssttq.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{68A26196-4C99-47BD-8575-89CD4A20ACB7}] C:\windows\system32\ssqrp.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BCD26A0B-98B5-4780-B9F0-A4312483AE0A}] C:\windows\system32\vtutr.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\windows\system32\ctfmon.exe" [2004-08-19 18:09 15360] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 15:24 458752] "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 15:14 217088] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE] "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-10-06 14:16 5058560] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-12-11 10:56 286720] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-01-31 19:08 185896] "004f3f0a"="C:\windows\system32\mippusoe.dll" [ ] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "BM037c0c96"="C:\windows\system32\ydkbayew.dll" [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSimpleStartMenu"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer un] "System Patcher"= BTCPatcher.exe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau [HKLM\~\startupfolder\C:^Documents and Settings^admin^Menu Démarrer^Programmes^Démarrage^IcoSauve.lnk] path=C:\Documents and Settings\admin\Menu Démarrer\Programmes\Démarrage\IcoSauve.lnk backup=C:\WINDOWS\pss\IcoSauve.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-19 18:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-09-29 21:58 49152 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX] --a------ 2005-07-19 17:32 221184 C:\WINDOWS\system32\LVCOMSX.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2003-10-06 14:16 5058560 C:\WINDOWS\system32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2003-10-06 14:16 49152 C:\WINDOWS\system32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2003-10-06 14:16 741376 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-12-11 10:56 286720 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2005-12-07 22:57 30208 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-01-18 09:57 77824 C:\Program Files\Java\jre1.6.0\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-01-31 19:08 185896 C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe R2 UxTuneUp;Extension de conception TuneUp;C:\windows\System32\svchost.exe [2004-08-19 18:10] R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23] S3 MSControlService;Microsoft cache control;C:\windows\system32\windows [] S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\windows\system32\DRIVERS\usb8023.sys [2004-08-04 01:04] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-25 16:15:01 C:\windows\Tasks\Maintenance en 1 clic.job" - C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe "2008-01-29 08:00:00 C:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job" - C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-29 21:59:48 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\a-squared Free\a2service.exe C:\Program Files\FolderSize\FolderSizeSvc.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\windows\system32 vsvc32.exe C:\Program Files\CyberLink\Shared files\RichVideo.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\windows\system32\devldr32.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\LVComsX.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe . ************************************************************************** . Temps d'accomplissement: 2008-01-29 22:03:42 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-29 21:03:37 . 2008-01-10 13:03:50 --- E O F ---

darkwinnie · Answer

ezuh vous m'avez oublié ? :(

cgui33 · Answer

NON !

darkwinnie · Answer

ok ok ! dsl

cgui33 · Answer

Re

VirtumundoBegone
Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse 
A+
Je continue à regarder le rapport ComboFix

darkwinnie · Answer

ok merci j'suis tes instructions

darkwinnie · Answer

[01/29/2008, 22:49:52] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[01/29/2008, 22:50:06] - User choose NOT to continue. Exiting...

[01/29/2008, 22:55:40] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[01/29/2008, 22:55:45] - Detected System Information:
[01/29/2008, 22:55:45] -  Windows Version: 5.1.2600, Service Pack 2
[01/29/2008, 22:55:45] -  Current Username: Administrateur (Admin)
[01/29/2008, 22:55:45] -  Windows is in NORMAL mode.
[01/29/2008, 22:55:45] - Searching for Browser Helper Objects:
[01/29/2008, 22:55:45] -  BHO 1: {2F2C9508-7964-41CA-844F-6F4236C37669} ()
[01/29/2008, 22:55:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/29/2008, 22:55:45] -  Checking for HKLM\...\Winlogon\Notify\ssttq
[01/29/2008, 22:55:45] -  Key not found: HKLM\...\Winlogon\Notify\ssttq, continuing.
[01/29/2008, 22:55:45] -  BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[01/29/2008, 22:55:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/29/2008, 22:55:45] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[01/29/2008, 22:55:45] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[01/29/2008, 22:55:45] -  BHO 3: {68A26196-4C99-47BD-8575-89CD4A20ACB7} ()
[01/29/2008, 22:55:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/29/2008, 22:55:45] -  Checking for HKLM\...\Winlogon\Notify\ssqrp
[01/29/2008, 22:55:45] -  Key not found: HKLM\...\Winlogon\Notify\ssqrp, continuing.
[01/29/2008, 22:55:45] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[01/29/2008, 22:55:45] -  BHO 5: {BCD26A0B-98B5-4780-B9F0-A4312483AE0A} ()
[01/29/2008, 22:55:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/29/2008, 22:55:45] -  Checking for HKLM\...\Winlogon\Notify\vtutr
[01/29/2008, 22:55:45] -  Key not found: HKLM\...\Winlogon\Notify\vtutr, continuing.
[01/29/2008, 22:55:45] - Finished Searching Browser Helper Objects
[01/29/2008, 22:55:45] - Finishing up...
[01/29/2008, 22:55:45] - Nothing found! Exiting...

cgui33 · Answer

Re

Sélectionne les lignes suivantes

File::
C:\windows\system32\mippusoe.dll
C:\windows\system32\ydkbayew.dll

registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"004f3f0a"="C:\windows\system32\mippusoe.dll" [ ] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"BM037c0c96"="C:\windows\system32\ydkbayew.dll" [ ] 

Copie le texte sélectionné (CTRL+C). 
Ouvre le bloc-note (programme>Accessoire>bloc-note). 
Colle le texte copié dans ce bloc-note (CTRL+V). 
Sauvegarde ce fichier sous le nom de CFScript.txt 
Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe 
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 
Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
Une fois le scan achevé, un rapport va s'afficher: Poste son contenu. 
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

A+

darkwinnie · Answer

re alors je ne sais pas si la manip etait bonne j'ai fais un glissé deposé du bloc note sur l'icone de combofix et le logiciel c lancé directement sans me demander quoi que se soit je te poste donc le rapport. merci encore. ComboFix 08-01-29.3 - Administrateur 2008-01-29 23:32:52.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.63 [GMT 1:00] Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE C:\windows\system32\mippusoe.dll C:\windows\system32\ydkbayew.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-29 )))))))))))))))))))))))))))))))))))) . 2008-01-29 23:39 . 2008-01-29 23:39 d-------- C:\WINDOWS\LastGood 2008-01-29 21:32 . 2008-01-29 21:32 d-------- C:\Program Files\Trend Micro 2008-01-29 20:15 . 2008-01-29 20:53 d-------- C:\VundoFix Backups 2008-01-29 16:16 . 2003-03-24 15:52 16,439 --a--c--- C:\WINDOWS\system32\dllcache\admin.exe 2008-01-29 15:44 . 2003-03-24 15:52 20,540 --a--c--- C:\WINDOWS\system32\dllcache\SET528.tmp 2008-01-29 15:39 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-01-29 15:39 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-01-29 15:39 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-01-29 15:39 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-01-29 15:38 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-01-29 15:38 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-01-29 15:38 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-01-29 15:38 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-01-29 15:31 . 2008-01-29 15:31 d-------- C:\Program Files\Lavasoft 2008-01-29 15:31 . 2008-01-29 15:33 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-01-29 15:03 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2008-01-29 15:02 . 2001-08-23 17:47 525,568 --a--c--- C:\WINDOWS\system32\dllcache ridxp.dll 2008-01-29 14:53 . 2001-08-17 21:50 103,936 --a--c--- C:\WINDOWS\system32\dllcache\sx.sys 2008-01-29 14:51 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2008-01-29 14:50 . 2004-08-19 16:09 397,056 --a--c--- C:\WINDOWS\system32\dllcache\s3gnb.dll 2008-01-29 14:49 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache 2mdkxga.sys 2008-01-29 14:48 . 2001-08-17 22:05 351,616 --a--c--- C:\WINDOWS\system32\dllcache\ovcodek2.sys 2008-01-29 14:47 . 2004-08-19 16:09 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll 2008-01-29 14:46 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys 2008-01-29 14:45 . 2004-08-19 16:09 154,112 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe 2008-01-29 14:44 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys 2008-01-29 14:43 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2008-01-29 14:42 . 2001-08-23 17:13 634,166 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys 2008-01-29 14:41 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2008-01-29 14:40 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys 2008-01-29 14:39 . 2001-08-23 17:03 715,466 --a--c--- C:\WINDOWS\system32\dllcache\cbmdmkxx.sys 2008-01-29 14:38 . 2001-08-17 21:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys 2008-01-29 14:37 . 2004-08-19 16:09 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll 2008-01-29 14:36 . 2001-08-17 21:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys 2008-01-29 14:36 . 2001-08-23 17:46 689,216 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvs.dll 2008-01-29 14:36 . 2001-08-17 20:48 148,352 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvsm.sys 2008-01-29 14:36 . 2001-08-23 17:46 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll 2008-01-29 14:36 . 2004-08-03 23:10 53,248 --a--c--- C:\WINDOWS\system32\dllcache\1394bus.sys 2008-01-29 14:36 . 2004-08-03 23:00 12,288 --a--c--- C:\WINDOWS\system32\dllcache\4mmdat.sys 2008-01-29 14:36 . 2001-08-17 22:06 11,264 --a--c--- C:\WINDOWS\system32\dllcache\1394vdbg.sys 2008-01-29 13:39 . 2008-01-29 13:57 16,618 --a------ C:\WINDOWS\BM037c0c96.xml 2008-01-29 13:39 . 2008-01-29 18:37 22 --a------ C:\WINDOWS\pskt.ini 2008-01-29 01:09 . 2008-01-29 01:09 d-------- C:\Program Files\Messenger Plus! Live 2008-01-29 00:45 . 2008-01-29 00:45 d-------- C:\WINDOWS\system32\bits 2008-01-29 00:45 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll 2008-01-29 00:45 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll 2008-01-29 00:27 . 2008-01-29 01:09 d-------- C:\Program Files\MSN Messenger 2008-01-28 23:10 . 2008-01-29 00:14 d-------- C:\Program Files\a-squared Free 2008-01-28 22:08 . 2008-01-28 22:08 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2008-01-28 22:07 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe 2008-01-28 22:07 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll 2008-01-28 22:07 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll 2008-01-28 22:07 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll 2008-01-28 22:07 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll 2008-01-28 22:04 . 2007-12-13 19:27 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll 2008-01-28 22:03 . 2008-01-29 12:57 358,830 --a------ C:\WINDOWS\system32\vsconfig.xml 2008-01-28 21:13 . 2008-01-28 21:04 102,664 --a------ C:\WINDOWS\system32\drivers mcomm.sys 2008-01-28 21:03 . 2008-01-28 21:14 d-------- C:\Documents and Settings\Administrateur\.housecall6.6 2008-01-28 19:58 . 2008-01-28 19:58 d-------- C:\Program Files\Alwil Software 2008-01-28 17:24 . 2008-01-28 17:34 d-------- C:\Program Files\Eusing Free Registry Cleaner 2008-01-28 17:00 . 2008-01-28 17:01 d-------- C:\Documents and Settings\Administrateur\Application Data\Steinberg 2008-01-28 16:55 . 2008-01-28 16:55 d-------- C:\Documents and Settings\All Users\Application Data\Pinnacle 2008-01-28 16:53 . 2008-01-28 17:16 d-------- C:\Program Files\Steinberg 2008-01-28 16:51 . 2002-11-25 04:46 16,896 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys 2008-01-28 13:03 . 2008-01-28 22:57 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-28 13:03 . 2008-01-28 18:45 40,448 --a------ C:\WINDOWS\system32\NTSpool.exe 2008-01-28 13:03 . 2008-01-28 13:13 37,888 --a------ C:\WINDOWS\system32 ar.exe 2008-01-28 11:50 . 2008-01-28 19:50 d-------- C:\Program Files\VstPlugins 2008-01-28 11:50 . 2006-06-20 09:56 225,280 --a------ C:\WINDOWS\system32 ewire.dll 2008-01-28 11:49 . 2002-07-07 23:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm 2008-01-28 11:45 . 2008-01-28 19:54 d-------- C:\Program Files\Image-Line 2008-01-27 14:02 . 2008-01-29 12:49 d-------- C:\jeux psp 2008-01-27 02:00 . 2008-01-27 11:33 d-------- C:\WINDOWS\SxsCaPendDel 2008-01-25 23:54 . 2008-01-29 20:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-25 23:54 . 2008-01-25 23:54 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-22 22:02 . 2008-01-22 22:10 d-------- C:\Program Files\Windows Live 2008-01-22 22:02 . 2008-01-22 22:07 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-12-30 10:58 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll 2007-12-30 10:58 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-12-30 10:58 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys 2007-12-30 10:58 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-29 22:38 4,523,040 --sha-w C:\windows\system32\drivers\fidbox.dat 2008-01-29 22:37 62,624 --sha-w C:\windows\system32\drivers\fidbox.idx 2008-01-29 14:30 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-01-28 23:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-01-28 13:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-01-28 13:12 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-25 17:03 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2007-12-25 17:01 --------- d-----w C:\Program Files\QuickTime 2007-12-25 17:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-12-25 16:59 --------- d-----w C:\Program Files\Apple Software Update 2007-12-25 16:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple 2007-12-23 19:50 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\aignes 2007-12-14 13:02 --------- d-----w C:\Program Files\Free 2007-12-14 09:19 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Lavasoft 2007-12-14 09:11 5,152 --sha-w C:\windows\system32\drivers\fidbox2.dat 2007-12-14 09:11 1,556 --sha-w C:\windows\system32\drivers\fidbox2.idx 2007-12-14 09:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\ESET 2007-12-14 08:12 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\TuneUp Software 2007-01-23 19:47 774,144 ----a-w C:\Program Files\RngInterstitial.dll 2007-10-04 00:02 848 --sha-w C:\windows\system32\KGyGaAvL.sys 2007-01-18 08:34 16,384 --sha-w C:\windows\system32\config\systemprofile\Cookies\index.dat 2007-01-18 08:34 32,768 --sha-w C:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat 2007-01-18 08:34 32,768 --sha-w C:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012007011820070119\index.dat 2007-01-18 08:34 32,768 --sha-w C:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F2C9508-7964-41CA-844F-6F4236C37669}] C:\windows\system32\ssttq.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{68A26196-4C99-47BD-8575-89CD4A20ACB7}] C:\windows\system32\ssqrp.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BCD26A0B-98B5-4780-B9F0-A4312483AE0A}] C:\windows\system32\vtutr.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\windows\system32\ctfmon.exe" [2004-08-19 18:09 15360] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 15:24 458752] "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 15:14 217088] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE] "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-10-06 14:16 5058560] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-12-11 10:56 286720] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-01-31 19:08 185896] "004f3f0a"="C:\windows\system32\mippusoe.dll" [ ] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "BM037c0c96"="C:\windows\system32\ydkbayew.dll" [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSimpleStartMenu"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer un] "System Patcher"= BTCPatcher.exe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau [HKLM\~\startupfolder\C:^Documents and Settings^admin^Menu Démarrer^Programmes^Démarrage^IcoSauve.lnk] path=C:\Documents and Settings\admin\Menu Démarrer\Programmes\Démarrage\IcoSauve.lnk backup=C:\WINDOWS\pss\IcoSauve.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-19 18:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-09-29 21:58 49152 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX] --a------ 2005-07-19 17:32 221184 C:\WINDOWS\system32\LVCOMSX.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2003-10-06 14:16 5058560 C:\WINDOWS\system32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2003-10-06 14:16 49152 C:\WINDOWS\system32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2003-10-06 14:16 741376 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-12-11 10:56 286720 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2005-12-07 22:57 30208 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-01-18 09:57 77824 C:\Program Files\Java\jre1.6.0\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-01-31 19:08 185896 C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe R2 UxTuneUp;Extension de conception TuneUp;C:\windows\System32\svchost.exe [2004-08-19 18:10] R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23] S3 MSControlService;Microsoft cache control;C:\windows\system32\windows [] S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\windows\system32\DRIVERS\usb8023.sys [2004-08-04 01:04] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-25 16:15:01 C:\windows\Tasks\Maintenance en 1 clic.job" - C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe "2008-01-29 08:00:00 C:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job" - C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-29 23:39:26 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\a-squared Free\a2service.exe C:\Program Files\FolderSize\FolderSizeSvc.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\windows\system32 vsvc32.exe C:\Program Files\CyberLink\Shared files\RichVideo.exe C:\windows\system32\devldr32.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\LVComsX.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe . ************************************************************************** . Temps d'accomplissement: 2008-01-29 23:43:42 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-29 22:43:36 ComboFix2.txt 2008-01-29 21:03:42 . 2008-01-10 13:03:50 --- E O F ---

cgui33 · Answer

Bonsoir

Peux tu refaire une passe avec Vundo et poster le rapport
Ensuite tu renomes HijackThis.exe en azerty.exe
Tu lances azerty.exe 
Choisis l'option "Do a system scan and save a log file" 
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note 
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport 
Colle le rapport 

Merci 
A+

cgui33 · Answer

Re
Je viens juste de voir ton MP ... effectivement j'ai éteint l'ordi peu après t'avoir répondu !
A+

darkwinnie · Answer

ok je lence vundo
merci

darkwinnie · Answer

VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 20:15:38 29/01/2008

Listing files found while scanning....

C:\windows\system32\eosuppim.ini
C:\windows\system32\mippusoe.dll
C:\windows\system32\opnklkl.dll
C:\windows\system32\pmnmnki.dll
C:\windows\system32\ssqqnli.dll
C:\windows\system32\ssttq.dll
C:\windows\system32\vturpmk.dll
C:\windows\system32\xxyvutu.dll
C:\windows\system32\xxyyaxv.dll
C:\windows\system32\zbmhwaky.dllbox

Beginning removal...

 Attempting to delete C:\windows\system32\eosuppim.ini
C:\windows\system32\eosuppim.ini Has been deleted!

 Attempting to delete C:\windows\system32\mippusoe.dll
C:\windows\system32\mippusoe.dll Has been deleted!

 Attempting to delete C:\windows\system32\opnklkl.dll
C:\windows\system32\opnklkl.dll Has been deleted!

 Attempting to delete C:\windows\system32\pmnmnki.dll
C:\windows\system32\pmnmnki.dll Has been deleted!

 Attempting to delete C:\windows\system32\ssqqnli.dll
C:\windows\system32\ssqqnli.dll Could not be deleted.

 Attempting to delete C:\windows\system32\ssttq.dll
C:\windows\system32\ssttq.dll Has been deleted!

 Attempting to delete C:\windows\system32\vturpmk.dll
C:\windows\system32\vturpmk.dll Has been deleted!

 Attempting to delete C:\windows\system32\xxyvutu.dll
C:\windows\system32\xxyvutu.dll Has been deleted!

 Attempting to delete C:\windows\system32\xxyyaxv.dll
C:\windows\system32\xxyyaxv.dll Has been deleted!

 Attempting to delete C:\windows\system32\zbmhwaky.dllbox
C:\windows\system32\zbmhwaky.dllbox Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 18:47:31 30/01/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

darkwinnie · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:02, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Windows Live\installer\WLSetupSvc.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\windows\Explorer.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\windows\system32\devldr32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2F2C9508-7964-41CA-844F-6F4236C37669} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68A26196-4C99-47BD-8575-89CD4A20ACB7} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {BCD26A0B-98B5-4780-B9F0-A4312483AE0A} - (no file)
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [004f3f0a] rundll32.exe "C:\windows\system32\mippusoe.dll",b
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BM037c0c96] Rundll32.exe "C:\windows\system32\ydkbayew.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://darkwinnieandjo.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\windows\system32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cgui33 · Answer

Re
Bon c'est encore pas terrible ... mais y'a du mieux !

Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe


Avec HijackThis : 
Do a system scan only 
Coche ces lignes :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:3128 
O2 - BHO: (no name) - {2F2C9508-7964-41CA-844F-6F4236C37669} - (no file) 
O2 - BHO: (no name) - {68A26196-4C99-47BD-8575-89CD4A20ACB7} - (no file) 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file) 
O2 - BHO: (no name) - {BCD26A0B-98B5-4780-B9F0-A4312483AE0A} - (no file) 
O4 - HKLM\..\Run: [004f3f0a] rundll32.exe "C:\windows\system32\mippusoe.dll",b 
O4 - HKLM\..\Run: [BM037c0c96] Rundll32.exe "C:\windows\system32\ydkbayew.dll",s 
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://darkwinnieandjo.spaces.live.com//PhotoUpload/MsnPUpld.cab 
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab 
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab 
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\windows\system32\windows (file missing) 

Arrête toutes les autres applications en cours et :
Fix checked 

Sélectionne les 2 lignes suivantes : 

C:\windows\system32\mippusoe.dll
C:\windows\system32\ydkbayew.dll

--> Clique-droit puis Copier (ou Ctrl+C) 
Double-clique sur OTMoveIt.exe afin de le lancer. 
fais un Clique-droit sur le cadre de gauche puis choisis Coller. (ou Ctrl+V). 
Clique maintenant sur MoveIt! 

Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer.
-->  Accepte en cliquant sur YES 
Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport est la date de sa création. 

Le problème réside dans les 2 lignes 04
Je recherche
A+

PS : tu n'as pas renommé Hijack.exe comme je te l'avais demandé ...
Reposte un nouveau log Hijack après

cgui33 · Answer

Re
Je pense que tu ne pourras pas télécharger OTmoveIT
Je me renseigne
A+
Mais fais le Hijack

darkwinnie · Answer

le lien de bleeping computer ne marche pas et si j'avais renommer hijack il s'appal bien azert.exe il est sur mon bureau

cgui33 · Answer

Re
Non tu n'as pas renommé le bon !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe (dans ton rapport !)
C'est celui-ci qu'il faut renommer ...

c'est pas  grave ...
As tu fixé les lignes avec Hijack ?
A+

cgui33 · Answer

Re

Bon j'ai rien trouvé sur ces 2 lignes !!!
On va essayer autre chose

Sélectionne les 2 lignes suivantes : 

DEL C:\windows\system32\mippusoe.dll 
DEL C:\windows\system32\ydkbayew.dll 
--> Clique-droit puis Copier (ou Ctrl+C) 
Ouvre le bloc notes 
Colle. (ou Ctrl+V). 
Sauvegarde le fichier sous le nom :  C:\SUPP.BAT

Redémarre en mode Invite de commande
(F8 au démarrage puis ...)
ça peut mettre un peu de temps ...
Lorsque tu as l'invite C:\...
Tape CD C:\  et valide
Ensuite tape : SUPP
Note les messages qu'il pourrait te donner.
Redémarre en mode normal

A+

darkwinnie · Answer

euh bon j'suis pas sure d'avoir tout compris bref j'ai coché ce que tu m'a dis et envoyé le tout en fermant toute les applications
ensuite j'suis aller cherché dans C:\Program Files\Trend Micro\HijackThis\HijackThis.exe  et euh j'ai renommer l'ivcone hijack (ets ce cela qu'il fallai faire ?)
j'ai relancé un scan j'te le poste:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:12, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Windows Live\installer\WLSetupSvc.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\windows\Explorer.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\windows\system32\devldr32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\azerty.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\windows\system32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

darkwinnie · Answer

euh bon j'ai un soucis quand j'enregistre le bloc note je l'enregistre sur le bureau mais ensuite quand je ferme la fenetre il n'apparait pas sur mon bureau est ce normal ?

cgui33 · Answer

Re
As tu exécuter SUPP.BAT comme je te l'avais demandé ?

Je pense que tu as oublié de fixer la ligne 023 
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\windows\system32\windows (file missing) 

Comment se comporte ton PC ?
Je suis presque sûr que si tu relances Vundo il te trouve encore des trucs à virer ...
(car les lignes 04 étaient encore là après ton dernier rapport Vundo)
Fais un essai !

A+

cgui33 · Answer

Re
Sauve le fichier sur C:\
A+

cgui33 · Answer

C'est normal qu'il ne se trouve pas sur le bureau !
Note bien ce que tu as à faire en mode Invite de commande
(tu n'auras pas de bureau !!!)
A+

darkwinnie · Answer

mon pc se comporte bien mieu ^plus rapide moins de beug, et quand tout a l'heure je l'ai rallumé windows ne ma pas remis" erreur de chargement de c::windows....mippusoe.dll et ydkbayew.dll
j'attend que tu me dise si c normal que mon bloc note ne se mette pas sur le bureau alors que c la que je l'enregistre et j'fais ton truc supp bat

cgui33 · Answer

Re
Si tu n'y arrives pas :

Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.  (nouveau lien : Merci Marie)
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Sélectionne les 2 lignes suivantes : 

C:\windows\system32\mippusoe.dll 
C:\windows\system32\ydkbayew.dll 

--> Clique-droit puis Copier (ou Ctrl+C) 
Double-clique sur OTMoveIT2.exe afin de le lancer. 
fais un Clique-droit sur le cadre de gauche puis choisis Coller. (ou Ctrl+V). 
Clique maintenant sur MoveIt! 

A+

^^Marie^^ · Answer

Salut

[nltide1] &#9658; versio, XP non officielle


Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. 

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

·  Double-clique sur OTMoveIt.exe pour le lancer. 
·  Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
·  Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 

C:\WINDOWS\system32\BTCPatcher.exe

·  Clique sur MoveIt! pour lancer la suppression. 
·  Si OTMoveIt propose de redémarrer ton PC, accepte. 
·  Lorsque un résultat apparaît dans le cadre Results, clique sur Exit. 
·  Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles. 

Et refais-moi un nouveau rapport dss scans. 

Et après cette manipulation dis-moi si le PC va mieux  


A+++++++++

cgui33 · Answer

OK
refais un Vundo et poste le rapport
Si les messages n'apparaissent pas c'est que les fichiers ont disparu ...
Ensuite fixe la ligne 023 indiquée dans le post 35 avec Hijack (azerty)

Ensuite :
Navilog
Fais un clic droit sur ce lien : (IL-MAFIOSO) 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 

A+

darkwinnie · Answer

eu je dois faire quel manip au juste ecouter marie ou precedement ce qu em'a dis cgui en copiant collant les deux fichier ?

darkwinnie · Answer

la pour le moment j'attend que vundo finisse je vous poste le rapport des que c fait mais il a ramer trois heure sur un meme  ficher... c un peu long

darkwinnie · Answer

Scan started at 21:48:22 30/01/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

darkwinnie · Answer

bon vundo c'est fini je fais quel manip au juste je copie colle les deux fichier ? ou je fais que un seul comme le dis marie ?

cgui33 · Answer

Re
Le rapport Vundo me semble court ...
Fais ce que te conseille Marie
Ensuite fais Navilog
A+

darkwinnie · Answer

voila ce que la rapport dis c pas long... j'fais la manip avec navilog...

File/Folder C:\WINDOWS\system32\BTCPatcher.exe not found.
 
OTMoveIt2 v1.0.16 log created on 01302008_223621

cgui33 · Answer

Re

Recherche BTCPatcher.exe  sur ton disque C

Fais apparaitre les fuichiers cachés (le temps de la recherche) au cas où
Dans l'explorateur
utils 
Options des dossiers
Onglet affichage
   Fichiers et dossiers cachés
sélectioner : Afficher ...

Note le chemin complet et refais la manip avec OTmoveIT2

Ensuite (même si tu ne le trouves pas fixe la ligne 
O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe

avec Hijack
A+

darkwinnie · Answer

Search Navipromo version 3.4.2 commencé le 30/01/2008 à 22:40:59,63

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\windows ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\local settings\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\windows\system32 *

* Recherche dans "C:\Documents and Settings\Administrateur\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\windows\system32 :


* Dans "C:\Documents and Settings\Administrateur\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 30/01/2008 à 22:50:50,90 ***

darkwinnie · Answer

bon j'ai fixé la ligne 04 comme tu m'a dis mais imposible de trouver btcpatcher sur c: j'ai lancé la recherche cherché moi meme et pas trouvé...

cgui33 · Answer

Re
CCleaner avec un tuto pour l'aide 
https://forums.cnetfrance.fr 

Lance un analyse et ensuite un nettoyage.
Reposte un log Hijack ensuite
on arrive au bout je crois.
A+

darkwinnie · Answer

bon j'ai lancé c cleaner je te poste le scan de hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:15:25, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\windows\system32\devldr32.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\windows\system32\ctfmon.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\windows\system32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cgui33 · Answer

Re
Il te reste une ligne à fixer avec Hijack
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\windows\system32\windows (file missing)

Ensuite on va faire un test avec :
MSNFIX	
Télécharge MSNFix.zip (de !aur3n7) sur ton bureau 	
http://sosvirus.changelog.fr/MSNFix.zip	
	
Dézippe-le en faisant un clic droit puis extraire ici. 	
Double-clique sur MSNfix.bat.* Choisis l'option R. Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier.	
Un redémarrage du PC peut être demandé. 	
Le rapport est enregistré dans le même dossier que MSNfix (date.txt). Copie-colle son contenu dans ta prochaine réponse. 	
	
------ 	
Si un virus est détecté, il vous sera alors demandé de nettoyer l'ordinateur. 	
Un message d'erreur concernant la suppression impossible d'un fichier sera résolu par un redémarrage. 	
Après le nettoyage, la barre "Démarrer" s'efface puis réapparait, cela fait partie de la procédure de nettoyage. 	
	
Si votre barre "Démarrer" ne s'affiche toujours pas, il suffit de faire 	
Ctrl + Alt + Suppr sous Windows XP 	
pour ouvrir le Gestionnaire de tâches Windows. 	
	
Faites ensuite "Fichier" puis "Nouvelle tâche" et entrez explorer.exe dans la fenêtre qui apparait et finissez par "OK". 	
N'oubliez pas de redémarrer votre ordinateur pour achever le nettoyage ! 	

A+

darkwinnie · Answer

ayé j'ai fini avec msn fix il ma pas demandé de redémarer mais je l'ai fait moi et aucun message de windows au demarage.. crois tu que c ok ?

cgui33 · Answer

Re
Oui pour moi c'est OK

Désinstalle tous les logiciels que j'aurai pu te faire installer 
Hijack, Combofix, Vundo ...

Garde Ccleaner et fais un nettoyage (journalier ... avant de couper le PC par exemple)

Met à jour ta version JAVA (1.6.3)
(Désinstalles l'ancienne)

Ensuite : nouveau point de restauration	

 - vide la corbeille 	
	
 - Désactive ta restauration systeme : 	
Clic droit poste de travail --> propriétés --> onglet restauration du systeme :	
coche la case "désactiver la restauration systeme sur tous les lecteurs." 	
Clic sur "Appliquer", et "ok". 	
	
Puis, 	
Réactive ta restauration systeme : 	
Clic droit poste de travail --> propriétés --> onglet restauration du systeme :	
décoche la case "désactiver la restauration systeme sur tous les lecteurs." 	
Clic sur "Appliquer", et "ok". 	

Si tu penses ne plus avoir de problèmes met le statut du post sur résolu

A+

darkwinnie · Answer

ok euh derniere question mis a part c cleaner de temps en temps pense tu necesaire que j'installe des logiciel tel que ad aware ou atre et puis garder avast ou m'en conseille tu un autre ?

cgui33 · Answer

Re
A ce jour le mieux ... vu sur ce forum

Pare feu Kerio							
http://www.malekal.com/kerio_firewall.php#mozTocId721480					

Antivirus Antivir Personal Edition Classic : 							
https://www.malekal.com/avira-free-security-antivirus-gratuit/							

A+

darkwinnie · Answer

ok !
merci beaucoup pour ton aide precieuse.
j'te dis pas a bientot  mdr !

Virus toujours la apres plusieur analyse...

53 réponses

Votre réponse

Discussions similaires

Newsletters