Infecter par le virus carlson

asmfranco -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
j'ai telecharger winmx, et la j'ai le rapport de HJTIinstall, mais a qui dois-je donner mon rapport ? merci de me repondre
Configuration: Windows 2000
Firefox 2.0.0.11

28 réponses

  • 1
  • 2
  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut.

    Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip
    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

    @+
    0
  2. asmfranco
     
    oui j'ai du redemarrer mon ordinateur, j'ai le dossier date_heure.txt. Mais maintenant, j'ai telecharger HJTIinstall, et que doit je faire avec lui ? je doit montrer mon rapport c ca ??
    0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,
    post le rapport de msnfix, on verra apres pour le hijack this.
    @+
    0
  4. asmfranco
     
    MSNFix 1.652

    C:\MSNFix\MSNFix
    Fix exécuté le lun. 04/02/2008 - 21:52:16,54 By Buchet
    mode normal

    ************************ Recherche les fichiers présents

    ... C:\WINNT\system32\microsoft\backup.ftp
    ... C:\WINNT\system32\microsoft\backup.tftp

    ************************ Recherche les dossiers présents

    Aucun dossier trouvé

    ************************ Suppression des fichiers

    .. OK ... C:\WINNT\system32\microsoft\backup.ftp
    .. OK ... C:\WINNT\system32\microsoft\backup.tftp

    ************************ Nettoyage du registre

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier lun. 04022008_21584335.zip

    Information ...... Information ...... Information ......

    /!\ /!\ MSNFix n'est pas affilié a livekill CleanMessenger /!\ /!\

    /!\ /!\ MSNFix is not affiliated with Livekill CleanMessenger /!\ /!\

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    tu peux supprimer msnfix et son backup.zip > 04022008_21584335.zip

    post ton rapport hijack this stp`

    @+
    0
  7. asmfranco
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:16:25, on 04/02/2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINNT\Qtime.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\runservice.exe
    C:\Program Files\MioNet\MioNetManager.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\MioNet\jvm\bin\MioNet.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {66BFB4D0-223F-02B5-1D7F-0D92402DD193} - C:\WINNT\system32\lqnslyyn.dll
    F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\Qtime.exe
    O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
    O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing)
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [znqxlrsjd] c:\winnt\system32\znqxlrsjd.exe znqxlrsjd
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [WinMsg] C:\WINNT\winmsgr.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [DialMessenger] "C:\Program Files\DialMessenger\dialmessenger.exe" -background
    O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] (User 'Default user')
    O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
    O4 - Startup: ForeverPES v1.0.lnk.disabled
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk.disabled
    O4 - Global Startup: Microsoft Office.lnk.disabled
    O4 - Global Startup: TrayMin300.exe.lnk.disabled
    O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {05574F48-FEE1-4A0A-9013-B8A85C7C6CCE} (VacPro.int_ver20a) - http://www.muiegaozsicur.com/ocx/int_ver20a.CAB
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {81F0E45E-9ADD-4CE0-BD4D-837D971A39FE} (VacPro.int_ver23b) - http://www.muiegaozsicur.com/ocx/intES_ver23b.CAB
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
    O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
    O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/cab/Seekmo/ie/bridge-c9.cab?a766ad8e36bb34bb3129c7e2d5e927fd9548986cb09ef19e82d833bcbbf84d6ddd1941ea1f67f4e157093ceab2c4f3365b07f3c40587baa756f6d4055674:f4bea29dfa52efe895c6f4e45dbe2807
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2978F922-8E55-4EA3-A3FD-FDE78716B51E}: NameServer = 192.168.1.1
    O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
    O20 - Winlogon Notify: iexplore - mgg4e.dll (file missing)
    O20 - Winlogon Notify: test - C:\WINNT\system32\h84m0ih1e84.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: CD-ROM drive - Unknown owner - C:\WINNT\Qtime.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINNT\runservice.exe
    O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
    O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINNT\system32\pr2akt6c.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\system32\UAService7.exe (file missing)
    O23 - Service: Microsoft Visual Studio (W32MVS) - Unknown owner - C:\WINNT\system32\w32mvs.exe (file missing)
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    arrives tu a passer combofix sous windows 2000?

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    @+
    0
  9. asmfranco
     
    ComboFix 08-02.05.1 - Buchet 04/02/2008 22:22:27.1 - NTFSx86
    Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.171 [GMT 1:00]
    Endroit: C:\Documents and Settings\Buchet\Bureau\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\Buchet\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
    C:\WINNT\system32\guard.tmp
    C:\Documents and Settings\Buchet\Application Data\macromedia\Flash Player\#SharedObjects\6HBVK2XG\www.broadcaster.com
    C:\Documents and Settings\Buchet\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
    C:\Documents and Settings\Buchet\Application Data\SSTEM~1
    C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\SudoPlanet
    C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\SudoPlanet\SudoPlanet.lnk
    C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\SudoPlanet\Website.lnk
    C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\WebMediaPlayer
    C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk
    C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\WebMediaPlayer\Website.lnk
    C:\Documents and Settings\Buchet\Mes documents\MBOLS~1
    C:\Documents and Settings\Buchet\Mes documents\PPATCH~1
    C:\Documents and Settings\Buchet\Mes documents\PPATCH~1\d?xplore.exe
    C:\Documents and Settings\Buchet\Mes documents\SSTEM~1
    C:\Program Files\asks~1
    C:\Program Files\crosof~1.net
    C:\Program Files\scurit~1
    C:\Program Files\sstem~1
    C:\Program Files\sudoplanet
    C:\Program Files\sudoplanet\SudoPlanet.dll
    C:\Program Files\sudoplanet\SudoPlanet.exe
    C:\Program Files\sudoplanet\SudoPlanet.url
    C:\Program Files\sudoplanet\uninst.exe
    C:\Program Files\toolbar888\
    C:\Program Files\webmediaplayer
    C:\Program Files\webmediaplayer\resources\languages.xml
    C:\Program Files\webmediaplayer\resources\webmedias
    C:\Program Files\webmediaplayer\skins\classic.skn
    C:\Program Files\webmediaplayer\sqlite3.dll
    C:\Program Files\webmediaplayer\uninst.exe
    C:\Program Files\webmediaplayer\WebMediaPlayer.url
    C:\WINNT\Fonts\acrsecB.fon
    C:\WINNT\Fonts\acrsecI.fon
    C:\WINNT\pack.epk
    C:\WINNT\system32\asks~1
    C:\WINNT\system32\crosof~1.net
    C:\WINNT\system32\nvs2.inf
    C:\WINNT\system32\ppatch~1
    c:\WINNT\system32\wksupwj.dat
    c:\winnt\system32\wksupwj.exe
    C:\WINNT\system32\wksupwj_nav.dat
    C:\WINNT\system32\wksupwj_navps.dat
    C:\WINNT\system32\wnsapiit.exe
    c:\WINNT\system32\znqxlrsjd.dat
    C:\WINNT\system32\znqxlrsjd_nav.dat
    C:\WINNT\system32\znqxlrsjd_navps.dat
    C:\WINNT\Web\default.htt
    C:\WINNT\wnsxs~1
    C:\WINNT\ystem3~1

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_CMDSERVICE
    -------\LEGACY_NETWORK_MONITOR
    -------\LEGACY_OULTRAF
    -------\oUltraf

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-04 to 2008-02-04 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-04 21:15 . 08-02-04 21:15 <DIR> d-------- C:\Program Files\Trend Micro
    2008-02-04 21:04 . 08-02-04 21:04 54,156 --ah----- C:\WINNT\QTFont.qfn
    2008-02-04 21:04 . 08-02-04 21:04 1,409 --a------ C:\WINNT\QTFont.for
    2008-02-04 12:27 . 08-02-04 22:18 <DIR> d-------- C:\MSNFix
    2008-02-03 16:50 . 08-02-03 16:50 <DIR> d-------- C:\Program Files\Avira
    2008-02-03 16:50 . 08-02-03 16:50 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-02-03 16:40 . 08-02-03 16:40 40,960 --------- C:\WINNT\Qtime.exe
    2008-02-02 21:46 . 08-02-02 21:46 <DIR> d--h----- C:\Program Files\Fichiers communs\Carlson
    2008-02-02 21:46 . 08-02-02 18:47 42,941 --a------ C:\WINNT\servicestub.MSNFix
    2008-01-25 19:29 . 08-01-25 19:29 <DIR> d----c--- C:\WINNT\system32\DRVSTORE
    2008-01-25 19:29 . 07-02-22 10:15 137,216 --a------ C:\WINNT\system32\drivers\nmwcd.sys
    2008-01-25 19:29 . 07-02-22 10:15 90,624 --a------ C:\WINNT\system32\nmwcdcls.dll
    2008-01-25 19:29 . 07-02-22 10:15 65,536 --a------ C:\WINNT\system32\nmwcdcocls.dll
    2008-01-25 19:29 . 07-02-22 10:15 12,288 --a------ C:\WINNT\system32\drivers\nmwcdcm.sys
    2008-01-25 19:29 . 07-02-22 10:15 12,288 --a------ C:\WINNT\system32\drivers\nmwcdcj.sys
    2008-01-25 19:29 . 07-02-22 10:15 8,320 --a------ C:\WINNT\system32\drivers\nmwcdc.sys
    2008-01-25 19:25 . 08-01-25 19:27 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Installations
    2008-01-06 20:44 . 08-01-06 20:44 <DIR> d-------- C:\Program Files\Solway's Internet TV and Radio
    2008-01-06 20:44 . 08-01-06 20:44 <DIR> d-------- C:\Documents and Settings\Buchet\Application Data\SolwaySoftware

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-03 17:03 --------- d-----w C:\Program Files\MioNet
    2008-02-03 15:38 --------- d-----w C:\Program Files\AviSynth 2.5
    2008-01-31 15:43 --------- d-----w C:\Documents and Settings\Buchet\Application Data\uTorrent
    2008-01-25 18:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-25 18:28 --------- d-----w C:\Program Files\Nokia
    2008-01-09 16:40 --------- d-----w C:\Documents and Settings\Buchet\Application Data\Pro Cycling Manager 2007
    2008-01-06 18:48 --------- d-----w C:\Program Files\TVAnts
    2007-12-31 13:45 --------- d-----w C:\Program Files\Kazaa
    2007-12-31 11:33 --------- d-----w C:\Program Files\Need2Find
    2007-12-17 12:00 --------- d-----w C:\Program Files\Eurobarre
    2007-12-09 20:22 --------- d-----w C:\Documents and Settings\Buchet\Application Data\SopCast
    2007-12-09 20:21 --------- d-----w C:\Program Files\SopCast
    2007-12-08 16:34 --------- d---a-w C:\Program Files\HTML Guardian 7
    2007-12-08 16:27 8,161,792 ----a-w C:\Program Files\HTML Guardian 7.msi
    2007-12-08 16:27 258,048 ----a-w C:\WINNT\SetACL.exe
    2006-06-26 15:30 0 ---ha-w C:\Program Files\Toolbar888
    2005-09-28 15:07 774,144 ----a-w C:\Program Files\RngInterstitial.dll
    2005-07-26 11:04 271 ---h--w C:\Program Files\desktop.ini
    2005-07-26 11:04 22,115 ---h--w C:\Program Files\folder.htt
    .

    ((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
    C:\Program Files\RXToolBar\sfcont.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe"="internat.exe" [99-12-16 01:00 20752 C:\WINNT\system32\internat.exe]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [07-09-04 22:40 6856704]
    "DialMessenger"="C:\Program Files\DialMessenger\dialmessenger.exe" [ ]
    "Weflirt"="C:\Program Files\Weflirt\weflirt.exe" [07-10-12 16:39 6574080]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Synchronization Manager"="mobsync.exe" [03-06-19 20:05 111888 C:\WINNT\system32\mobsync.exe]
    "High Definition Audio Property Page Shortcut"="HDAudPropShortcut.exe" [04-03-17 14:10 61952 C:\WINNT\system32\Hdaudpropshortcut.exe]
    "SoundMan"="SOUNDMAN.EXE" []
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [ ]
    "HPDJ Taskbar Utility"="C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe" [ ]
    "NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [ ]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [07-01-08 21:39 185896]
    "WinMsg"="C:\WINNT\winmsgr.exe" [ ]
    "Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [02-04-11 03:19 69632]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [04-12-17 23:20 278528]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [07-08-22 17:05 98304]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [08-02-04 19:53 249896]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe"="internat.exe" [99-12-16 01:00 20752 C:\WINNT\system32\internat.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "^SetupICWDesktop"="" []

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iexplore]
    mgg4e.dll

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    "Configuration de la neuf Box"=C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
    "Uloe"="C:\WINNT\WNSXS~1\wowexec.exe" -vt ndrv
    "Bgrtsccv"=C:\DOCUME~1\Buchet\MESDOC~1\SSTEM~1\RGSVR3~1.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    "eDonkey2000"="C:\Program Files\eDonkey2000\edonkey2000.exe" -t
    "BigDogPath"=C:\WINNT\VM_STI.exe Philips SPC 200NC PC Camera
    "seekmo"="c:\program files\seekmo\seekmo.exe"
    "p2p networking"=p2pnetworking.exe
    "New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
    "PCSuiteTrayApplication"=C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
    "Persistence"=C:\WINNT\system32\igfxpers.exe
    "DataLayer"=C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
    "p2p networking"=p2pnetworking.exe

    R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [07-07-18 14:21 ]
    R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINNT\system32\drivers\pe3akt6c.sys [07-06-08 18:29 ]
    R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINNT\system32\drivers\pf2akt6c.sys [07-06-08 18:28 ]
    R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);C:\WINNT\system32\drivers\ps6akt6c.sys [07-06-08 18:28 ]
    R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINNT\system32\drivers\ps7akt6c.sys [07-09-28 11:05 ]
    R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINNT\system32\drivers\sfdrv01a.sys [06-07-05 13:46 ]
    R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [07-08-09 13:03 ]
    R2 CD-ROM drive ;CD-ROM drive ;"C:\WINNT\Qtime.exe" [08-02-03 16:40 ]
    R2 LicCtrlService;LicCtrl Service;C:\WINNT\runservice.exe [06-12-09 21:49 ]
    R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" [05-07-15 21:38 ]
    R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 20:05 ]
    S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINNT\system32\pr2akt6c.exe svc []
    S2 W32MVS;Microsoft Visual Studio;C:\WINNT\system32\w32mvs.exe []

    *Newly Created Service* - IPNAT
    *Newly Created Service* - RASAUTO
    *Newly Created Service* - SHAREDACCESS
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-04 22:29:11
    Windows 5.0.2195 Service Pack 4 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-04 22:31:59 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-04 21:31:57
    0
  10. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok
    repost un hijackthis stp
    @+
    0
  11. asmfranco
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:38:39, on 04/02/2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINNT\Qtime.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\runservice.exe
    C:\Program Files\MioNet\MioNetManager.exe
    C:\Program Files\MioNet\jvm\bin\MioNet.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\Explorer.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {66BFB4D0-223F-02B5-1D7F-0D92402DD193} - C:\WINNT\system32\lqnslyyn.dll
    O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
    O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing)
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [WinMsg] C:\WINNT\winmsgr.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [DialMessenger] "C:\Program Files\DialMessenger\dialmessenger.exe" -background
    O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] (User 'Default user')
    O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
    O4 - Startup: ForeverPES v1.0.lnk.disabled
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk.disabled
    O4 - Global Startup: Microsoft Office.lnk.disabled
    O4 - Global Startup: TrayMin300.exe.lnk.disabled
    O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {05574F48-FEE1-4A0A-9013-B8A85C7C6CCE} (VacPro.int_ver20a) - http://www.muiegaozsicur.com/ocx/int_ver20a.CAB
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {81F0E45E-9ADD-4CE0-BD4D-837D971A39FE} (VacPro.int_ver23b) - http://www.muiegaozsicur.com/ocx/intES_ver23b.CAB
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
    O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
    O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/cab/Seekmo/ie/bridge-c9.cab?a766ad8e36bb34bb3129c7e2d5e927fd9548986cb09ef19e82d833bcbbf84d6ddd1941ea1f67f4e157093ceab2c4f3365b07f3c40587baa756f6d4055674:f4bea29dfa52efe895c6f4e45dbe2807
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2978F922-8E55-4EA3-A3FD-FDE78716B51E}: NameServer = 192.168.1.1
    O20 - Winlogon Notify: iexplore - mgg4e.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: CD-ROM drive - Unknown owner - C:\WINNT\Qtime.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINNT\runservice.exe
    O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
    O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINNT\system32\pr2akt6c.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\system32\UAService7.exe (file missing)
    O23 - Service: Microsoft Visual Studio (W32MVS) - Unknown owner - C:\WINNT\system32\w32mvs.exe (file missing)
    0
  12. asmfranco
     
    on m'a ditr ke tu etais tres bon mais la tu cale ??? lol
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    tu es pas mal infecté comme tu peux le voir.

    je te fais supprimer kazaa entre autre :

    info : http://assiste.com.free.fr/p/parasites/kazaa_spyware.php

    Copie le texte ci-dessous :

    File::
    C:\WINNT\QTFont.qfn
    C:\WINNT\QTFont.for
    C:\Program Files\Fichiers communs\Carlson
    C:\Program Files\RXToolBar\sfcont.dll
    C:\WINNT\winmsgr.exe
    C:\WINNT\p2pnetworking.exe

    Folder::
    C:\Program Files\Kazaa
    C:\Program Files\Need2Find
    C:\Program Files\Eurobarre
    C:\Program Files\Toolbar888
    C:\Program Files\DialMessenger
    C:\Program Files\Weflirt
    C:\Program Files\RXToolBar
    c:\program files\seekmo

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DialMessenger"=-
    "Weflirt"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WinMsg"=-
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "^SetupICWDesktop"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iexplore]
    "mgg4e.dll"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "seekmo"=-
    "p2p networking"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
    "p2p networking"=-

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    @+
    0
  14. !aur3n7
     
    Hello

    MSNFix à été mis à jout tout à l'heure avec cette variante

    O23 - Service: Microsoft Visual Studio (W32MVS) - Unknown owner - C:\WINNT\system32\w32mvs.exe (file missing)

    et ceci

    O20 - Winlogon Notify: iexplore - mgg4e.dll (file missing)

    devrait ne pas poser de problème à SDFix

    ++
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut !aur3n7,

    merci pour l´!nfo je lui ferais repasser alors ;-)

    Bonne soirée`

    @+
    0
  16. asmfranco
     
    deja merci de ton aide qui m'a l'air precieuse. Par contre je n'ai pas redemarrer

    ComboFix 08-02.05.1 - Buchet 04/02/2008 23:28:26.2 - NTFSx86
    Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.167 [GMT 1:00]
    Endroit: C:\Documents and Settings\Buchet\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Buchet\Bureau\CFScript.txt

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE
    C:\Program Files\Fichiers communs\Carlson
    C:\Program Files\RXToolBar\sfcont.dll
    C:\WINNT\p2pnetworking.exe
    C:\WINNT\QTFont.for
    C:\WINNT\QTFont.qfn
    C:\WINNT\winmsgr.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Program Files\Eurobarre
    C:\Program Files\Eurobarre\eb.exe
    C:\Program Files\Eurobarre\inf.bmp
    C:\Program Files\Eurobarre\pub.bmp
    C:\Program Files\Eurobarre\Uninstall\IRIMG1.JPG
    C:\Program Files\Eurobarre\Uninstall\IRIMG2.JPG
    C:\Program Files\Eurobarre\Uninstall\uninstall.dat
    C:\Program Files\Eurobarre\Uninstall\uninstall.xml
    C:\Program Files\Kazaa
    C:\Program Files\Kazaa\My Shared Folder\kazaa327_en.exe
    C:\Program Files\Need2Find
    C:\Program Files\Need2Find\bar\1.bin\N2FFXTBR.JAR
    C:\Program Files\Need2Find\bar\1.bin\N2NTSTBR.JAR
    C:\Program Files\Need2Find\bar\1.bin\N2PLUGIN.DLL
    C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
    C:\Program Files\Need2Find\bar\1.bin\NPND2FN.DLL
    C:\Program Files\Need2Find\bar\1.bin\PARTNER.DAT
    C:\Program Files\Need2Find\bar\Cache\[u]0[/u]03C82C8
    C:\Program Files\Need2Find\bar\Cache\[u]0[/u]03C899E
    C:\Program Files\Need2Find\bar\Cache\files.ini
    C:\Program Files\Need2Find\bar\History\search
    C:\Program Files\Need2Find\bar\Settings\prevcfg.htm
    C:\Program Files\toolbar888\
    C:\Program Files\Weflirt
    C:\Program Files\Weflirt\config.ini
    C:\Program Files\Weflirt\dm.dat
    C:\Program Files\Weflirt\unins000.dat
    C:\Program Files\Weflirt\uninstall.exe
    C:\Program Files\Weflirt\videochat.ocx
    C:\Program Files\Weflirt\weflirt.exe
    C:\WINNT\QTFont.for
    C:\WINNT\QTFont.qfn

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-01-04 to 2008-02-04 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-04 23:28 . 04/02/08 23:28 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3a4.dat
    2008-02-04 22:21 . 19/06/03 20:05 249,104 --a------ C:\kmd.exe
    2008-02-04 21:15 . 04/02/08 21:15 <DIR> d-------- C:\Program Files\Trend Micro
    2008-02-04 12:27 . 04/02/08 22:18 <DIR> d-------- C:\MSNFix
    2008-02-03 16:50 . 03/02/08 16:50 <DIR> d-------- C:\Program Files\Avira
    2008-02-03 16:50 . 03/02/08 16:50 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-02-03 16:40 . 03/02/08 16:40 40,960 --------- C:\WINNT\Qtime.exe
    2008-02-02 21:46 . 02/02/08 21:46 <DIR> d--h----- C:\Program Files\Fichiers communs\Carlson
    2008-02-02 21:46 . 02/02/08 18:47 42,941 --a------ C:\WINNT\servicestub.MSNFix
    2008-01-25 19:29 . 25/01/08 19:29 <DIR> d----c--- C:\WINNT\system32\DRVSTORE
    2008-01-25 19:29 . 22/02/07 10:15 137,216 --a------ C:\WINNT\system32\drivers\nmwcd.sys
    2008-01-25 19:29 . 22/02/07 10:15 90,624 --a------ C:\WINNT\system32\nmwcdcls.dll
    2008-01-25 19:29 . 22/02/07 10:15 65,536 --a------ C:\WINNT\system32\nmwcdcocls.dll
    2008-01-25 19:29 . 22/02/07 10:15 12,288 --a------ C:\WINNT\system32\drivers\nmwcdcm.sys
    2008-01-25 19:29 . 22/02/07 10:15 12,288 --a------ C:\WINNT\system32\drivers\nmwcdcj.sys
    2008-01-25 19:29 . 22/02/07 10:15 8,320 --a------ C:\WINNT\system32\drivers\nmwcdc.sys
    2008-01-25 19:25 . 25/01/08 19:27 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Installations
    2008-01-06 20:44 . 06/01/08 20:44 <DIR> d-------- C:\Program Files\Solway's Internet TV and Radio
    2008-01-06 20:44 . 06/01/08 20:44 <DIR> d-------- C:\Documents and Settings\Buchet\Application Data\SolwaySoftware

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-04 21:28 43,280 ----a-w C:\WINNT\system32\FTP.EXE
    2008-02-04 21:28 18,704 ----a-w C:\WINNT\system32\tftp.exe
    2008-02-03 17:03 --------- d-----w C:\Program Files\MioNet
    2008-02-03 15:40 97,072 ----a-w C:\WINNT\system32\sfc.dll
    2008-02-03 15:38 --------- d-----w C:\Program Files\AviSynth 2.5
    2008-01-31 15:43 --------- d-----w C:\Documents and Settings\Buchet\Application Data\uTorrent
    2008-01-25 18:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-25 18:28 --------- d-----w C:\Program Files\Nokia
    2008-01-09 16:40 --------- d-----w C:\Documents and Settings\Buchet\Application Data\Pro Cycling Manager 2007
    2008-01-06 18:48 --------- d-----w C:\Program Files\TVAnts
    2007-12-09 20:22 --------- d-----w C:\Documents and Settings\Buchet\Application Data\SopCast
    2007-12-09 20:21 --------- d-----w C:\Program Files\SopCast
    2007-12-08 16:34 --------- d---a-w C:\Program Files\HTML Guardian 7
    2007-12-08 16:27 8,161,792 ----a-w C:\Program Files\HTML Guardian 7.msi
    2007-12-08 16:27 258,048 ----a-w C:\WINNT\SetACL.exe
    2006-06-26 15:30 0 ---ha-w C:\Program Files\Toolbar888
    2005-09-28 15:07 774,144 ----a-w C:\Program Files\RngInterstitial.dll
    2005-07-26 11:04 271 ---h--w C:\Program Files\desktop.ini
    2005-07-26 11:04 22,115 ---h--w C:\Program Files\folder.htt
    1999-12-16 00:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
    .

    ((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe"="internat.exe" [16/12/99 01:00 20752 C:\WINNT\system32\internat.exe]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [04/09/07 22:40 6856704]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Synchronization Manager"="mobsync.exe" [19/06/03 20:05 111888 C:\WINNT\system32\mobsync.exe]
    "High Definition Audio Property Page Shortcut"="HDAudPropShortcut.exe" [17/03/04 14:10 61952 C:\WINNT\system32\Hdaudpropshortcut.exe]
    "SoundMan"="SOUNDMAN.EXE" []
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [ ]
    "HPDJ Taskbar Utility"="C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe" [ ]
    "NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [ ]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [08/01/07 21:39 185896]
    "Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [11/04/02 03:19 69632]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [17/12/04 23:20 278528]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [22/08/07 17:05 98304]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [04/02/08 19:53 249896]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe"="internat.exe" [16/12/99 01:00 20752 C:\WINNT\system32\internat.exe]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk.disabled [2005-10-08 23:56:54 1575]
    Microsoft Office.lnk.disabled [2005-09-21 15:38:48 1578]
    TrayMin300.exe.lnk.disabled [2006-03-13 15:21:23 616]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iexplore]
    mgg4e.dll

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    "Configuration de la neuf Box"=C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
    "Uloe"="C:\WINNT\WNSXS~1\wowexec.exe" -vt ndrv
    "Bgrtsccv"=C:\DOCUME~1\Buchet\MESDOC~1\SSTEM~1\RGSVR3~1.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    "eDonkey2000"="C:\Program Files\eDonkey2000\edonkey2000.exe" -t
    "BigDogPath"=C:\WINNT\VM_STI.exe Philips SPC 200NC PC Camera
    "New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
    "PCSuiteTrayApplication"=C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
    "Persistence"=C:\WINNT\system32\igfxpers.exe
    "DataLayer"=C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

    R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18/07/07 14:21 ]
    R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINNT\system32\drivers\pe3akt6c.sys [08/06/07 18:29 ]
    R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINNT\system32\drivers\pf2akt6c.sys [08/06/07 18:28 ]
    R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);C:\WINNT\system32\drivers\ps6akt6c.sys [08/06/07 18:28 ]
    R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINNT\system32\drivers\ps7akt6c.sys [28/09/07 11:05 ]
    R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINNT\system32\drivers\sfdrv01a.sys [05/07/06 13:46 ]
    R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09/08/07 13:03 ]
    R2 CD-ROM drive ;CD-ROM drive ;"C:\WINNT\Qtime.exe" [03/02/08 16:40 ]
    R2 LicCtrlService;LicCtrl Service;C:\WINNT\runservice.exe [09/12/06 21:49 ]
    R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" [15/07/05 21:38 ]
    R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;C:\WINNT\system32\DRIVERS\usbhub20.sys [19/06/03 20:05 ]
    S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINNT\system32\pr2akt6c.exe svc []
    S2 W32MVS;Microsoft Visual Studio;C:\WINNT\system32\w32mvs.exe []

    *Newly Created Service* - IPNAT
    *Newly Created Service* - RASAUTO
    *Newly Created Service* - SHAREDACCESS
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-04 23:31:02
    Windows 5.0.2195 Service Pack 4 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 04/02/2008 23:31:49
    ComboFix-quarantined-files.txt 2008-02-04 22:31:29
    ComboFix2.txt 2008-02-04 21:31:59
    0
  17. asmfranco
     
    dem1 je travail tres tot, alors si ilr este encore beaucoup de chose a faire preferais les faire dem1, si ca ne te derange pas
    0
  18. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    supprime ceci :

    C:\kmd.exe

    C:\WINNT\system32\Perflib_Perfdata_3a4.dat

    refais msnfix et post le resultat ici :

    retelecharge le car !aur3n7 nous a averti qu´il venait d´etre mis a jour...

    Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip
    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

    et

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    @+
    0
  19. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    ok tu feras ce que je t´ai indiqué au post 17 dem1

    bonne nuit et bon courrage pour dem1 ;-)

    @+
    0
  20. asmfranco
     
    bonsoir, (peut-etre g!rly), merci deja pour toute l'aide, par contre je ne sais pas comment je doit faire pour supprimer ca :

    C:\kmd.exe

    C:\WINNT\system32\Perflib_Perfdata_3a4.dat

    merci de bien vouloir me repondre
    0
  • 1
  • 2