infecter par le virus carlson

Question

Bonjour,
    j'ai telecharger winmx, et la j'ai le rapport de HJTIinstall, mais a qui dois-je donner mon rapport ? merci de me repondre

g!rly · Answer

salut.

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

@+

asmfranco · Answer

oui j'ai du redemarrer mon ordinateur, j'ai le dossier date_heure.txt. Mais maintenant, j'ai telecharger HJTIinstall, et que doit je faire avec lui ? je doit montrer mon rapport c ca ??

g!rly · Answer

re,
post le rapport de msnfix,  on verra apres pour le hijack this.
@+

asmfranco · Answer

MSNFix 1.652  
 
C:\MSNFix\MSNFix 
Fix exécuté le lun. 04/02/2008 - 21:52:16,54 By Buchet 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\WINNT\system32\microsoft\backup.ftp 
... C:\WINNT\system32\microsoft\backup.tftp 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINNT\system32\microsoft\backup.ftp  
.. OK ... C:\WINNT\system32\microsoft\backup.tftp  
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier lun. 04022008_21584335.zip
 
 
    Information  ......  Information ......   Information ...... 
 
/!\   /!\  MSNFix n'est pas affilié a livekill CleanMessenger  /!\   /!\ 

/!\  /!\ MSNFix is not affiliated with Livekill CleanMessenger /!\  /!\ 

------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

g!rly · Answer

ok

tu peux supprimer msnfix et son backup.zip > 04022008_21584335.zip

post ton rapport hijack this stp`

@+

asmfranco · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:25, on 04/02/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\Qtime.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\runservice.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {66BFB4D0-223F-02B5-1D7F-0D92402DD193} - C:\WINNT\system32\lqnslyyn.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\Qtime.exe
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [znqxlrsjd] c:\winnt\system32\znqxlrsjd.exe znqxlrsjd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinMsg] C:\WINNT\winmsgr.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DialMessenger] "C:\Program Files\DialMessenger\dialmessenger.exe" -background
O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop]  (User 'Default user')
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: ForeverPES v1.0.lnk.disabled
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: TrayMin300.exe.lnk.disabled
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {05574F48-FEE1-4A0A-9013-B8A85C7C6CCE} (VacPro.int_ver20a) - http://www.muiegaozsicur.com/ocx/int_ver20a.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {81F0E45E-9ADD-4CE0-BD4D-837D971A39FE} (VacPro.int_ver23b) - http://www.muiegaozsicur.com/ocx/intES_ver23b.CAB
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/cab/Seekmo/ie/bridge-c9.cab?a766ad8e36bb34bb3129c7e2d5e927fd9548986cb09ef19e82d833bcbbf84d6ddd1941ea1f67f4e157093ceab2c4f3365b07f3c40587baa756f6d4055674:f4bea29dfa52efe895c6f4e45dbe2807
O17 - HKLM\System\CCS\Services\Tcpip\..\{2978F922-8E55-4EA3-A3FD-FDE78716B51E}: NameServer = 192.168.1.1
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
O20 - Winlogon Notify: iexplore - mgg4e.dll (file missing)
O20 - Winlogon Notify: test - C:\WINNT\system32\h84m0ih1e84.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CD-ROM drive  - Unknown owner - C:\WINNT\Qtime.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINNT\runservice.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINNT\system32\pr2akt6c.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\system32\UAService7.exe (file missing)
O23 - Service: Microsoft Visual Studio (W32MVS) - Unknown owner - C:\WINNT\system32\w32mvs.exe (file missing)

g!rly · Answer

re,

arrives tu a passer combofix sous windows 2000?

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

asmfranco · Answer

ComboFix 08-02.05.1 - Buchet 04/02/2008 22:22:27.1 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.171 [GMT 1:00]
Endroit: C:\Documents and Settings\Buchet\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Buchet\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\WINNT\system32\guard.tmp
C:\Documents and Settings\Buchet\Application Data\macromedia\Flash Player\#SharedObjects\6HBVK2XG\www.broadcaster.com
C:\Documents and Settings\Buchet\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Documents and Settings\Buchet\Application Data\SSTEM~1
C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\SudoPlanet
C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\SudoPlanet\SudoPlanet.lnk
C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\SudoPlanet\Website.lnk
C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\WebMediaPlayer
C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk
C:\Documents and Settings\Buchet\Menu Démarrer\Programmes\WebMediaPlayer\Website.lnk
C:\Documents and Settings\Buchet\Mes documents\MBOLS~1
C:\Documents and Settings\Buchet\Mes documents\PPATCH~1
C:\Documents and Settings\Buchet\Mes documents\PPATCH~1\d?xplore.exe
C:\Documents and Settings\Buchet\Mes documents\SSTEM~1
C:\Program Files\asks~1
C:\Program Files\crosof~1.net
C:\Program Files\scurit~1
C:\Program Files\sstem~1
C:\Program Files\sudoplanet
C:\Program Files\sudoplanet\SudoPlanet.dll
C:\Program Files\sudoplanet\SudoPlanet.exe
C:\Program Files\sudoplanet\SudoPlanet.url
C:\Program Files\sudoplanet\uninst.exe
C:\Program Files\toolbar888\
C:\Program Files\webmediaplayer
C:\Program Files\webmediaplayer\resources\languages.xml
C:\Program Files\webmediaplayer\resources\webmedias
C:\Program Files\webmediaplayer\skins\classic.skn
C:\Program Files\webmediaplayer\sqlite3.dll
C:\Program Files\webmediaplayer\uninst.exe
C:\Program Files\webmediaplayer\WebMediaPlayer.url
C:\WINNT\Fonts\acrsecB.fon
C:\WINNT\Fonts\acrsecI.fon
C:\WINNT\pack.epk
C:\WINNT\system32\asks~1
C:\WINNT\system32\crosof~1.net
C:\WINNT\system32\nvs2.inf
C:\WINNT\system32\ppatch~1
c:\WINNT\system32\wksupwj.dat
c:\winnt\system32\wksupwj.exe
C:\WINNT\system32\wksupwj_nav.dat
C:\WINNT\system32\wksupwj_navps.dat
C:\WINNT\system32\wnsapiit.exe
c:\WINNT\system32\znqxlrsjd.dat
C:\WINNT\system32\znqxlrsjd_nav.dat
C:\WINNT\system32\znqxlrsjd_navps.dat
C:\WINNT\Web\default.htt
C:\WINNT\wnsxs~1
C:\WINNT\ystem3~1

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CMDSERVICE
-------\LEGACY_NETWORK_MONITOR
-------\LEGACY_OULTRAF
-------\oUltraf

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-04 to 2008-02-04 ))))))))))))))))))))))))))))))))))))
.

2008-02-04 21:15 . 08-02-04 21:15 <DIR> d-------- C:\Program Files\Trend Micro
2008-02-04 21:04 . 08-02-04 21:04 54,156 --ah----- C:\WINNT\QTFont.qfn
2008-02-04 21:04 . 08-02-04 21:04 1,409 --a------ C:\WINNT\QTFont.for
2008-02-04 12:27 . 08-02-04 22:18 <DIR> d-------- C:\MSNFix
2008-02-03 16:50 . 08-02-03 16:50 <DIR> d-------- C:\Program Files\Avira
2008-02-03 16:50 . 08-02-03 16:50 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-03 16:40 . 08-02-03 16:40 40,960 --------- C:\WINNT\Qtime.exe
2008-02-02 21:46 . 08-02-02 21:46 <DIR> d--h----- C:\Program Files\Fichiers communs\Carlson
2008-02-02 21:46 . 08-02-02 18:47 42,941 --a------ C:\WINNT\servicestub.MSNFix
2008-01-25 19:29 . 08-01-25 19:29 <DIR> d----c--- C:\WINNT\system32\DRVSTORE
2008-01-25 19:29 . 07-02-22 10:15 137,216 --a------ C:\WINNT\system32\drivers\nmwcd.sys
2008-01-25 19:29 . 07-02-22 10:15 90,624 --a------ C:\WINNT\system32\nmwcdcls.dll
2008-01-25 19:29 . 07-02-22 10:15 65,536 --a------ C:\WINNT\system32\nmwcdcocls.dll
2008-01-25 19:29 . 07-02-22 10:15 12,288 --a------ C:\WINNT\system32\drivers\nmwcdcm.sys
2008-01-25 19:29 . 07-02-22 10:15 12,288 --a------ C:\WINNT\system32\drivers\nmwcdcj.sys
2008-01-25 19:29 . 07-02-22 10:15 8,320 --a------ C:\WINNT\system32\drivers\nmwcdc.sys
2008-01-25 19:25 . 08-01-25 19:27 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Installations
2008-01-06 20:44 . 08-01-06 20:44 <DIR> d-------- C:\Program Files\Solway's Internet TV and Radio
2008-01-06 20:44 . 08-01-06 20:44 <DIR> d-------- C:\Documents and Settings\Buchet\Application Data\SolwaySoftware

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 17:03 --------- d-----w C:\Program Files\MioNet
2008-02-03 15:38 --------- d-----w C:\Program Files\AviSynth 2.5
2008-01-31 15:43 --------- d-----w C:\Documents and Settings\Buchet\Application Data\uTorrent
2008-01-25 18:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-25 18:28 --------- d-----w C:\Program Files\Nokia
2008-01-09 16:40 --------- d-----w C:\Documents and Settings\Buchet\Application Data\Pro Cycling Manager 2007
2008-01-06 18:48 --------- d-----w C:\Program Files\TVAnts
2007-12-31 13:45 --------- d-----w C:\Program Files\Kazaa
2007-12-31 11:33 --------- d-----w C:\Program Files\Need2Find
2007-12-17 12:00 --------- d-----w C:\Program Files\Eurobarre
2007-12-09 20:22 --------- d-----w C:\Documents and Settings\Buchet\Application Data\SopCast
2007-12-09 20:21 --------- d-----w C:\Program Files\SopCast
2007-12-08 16:34 --------- d---a-w C:\Program Files\HTML Guardian 7
2007-12-08 16:27 8,161,792 ----a-w C:\Program Files\HTML Guardian 7.msi
2007-12-08 16:27 258,048 ----a-w C:\WINNT\SetACL.exe
2006-06-26 15:30 0 ---ha-w C:\Program Files\Toolbar888
2005-09-28 15:07 774,144 ----a-w C:\Program Files\RngInterstitial.dll
2005-07-26 11:04 271 ---h--w C:\Program Files\desktop.ini
2005-07-26 11:04 22,115 ---h--w C:\Program Files\folder.htt
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
C:\Program Files\RXToolBar\sfcont.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-16 01:00 20752 C:\WINNT\system32\internat.exe]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [07-09-04 22:40 6856704]
"DialMessenger"="C:\Program Files\DialMessenger\dialmessenger.exe" [ ]
"Weflirt"="C:\Program Files\Weflirt\weflirt.exe" [07-10-12 16:39 6574080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 20:05 111888 C:\WINNT\system32\mobsync.exe]
"High Definition Audio Property Page Shortcut"="HDAudPropShortcut.exe" [04-03-17 14:10 61952 C:\WINNT\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [ ]
"HPDJ Taskbar Utility"="C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe" [ ]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [ ]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [07-01-08 21:39 185896]
"WinMsg"="C:\WINNT\winmsgr.exe" [ ]
"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [02-04-11 03:19 69632]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [04-12-17 23:20 278528]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [07-08-22 17:05 98304]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [08-02-04 19:53 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-16 01:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iexplore]
mgg4e.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
"Configuration de la neuf Box"=C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
"Uloe"="C:\WINNT\WNSXS~1\wowexec.exe" -vt ndrv
"Bgrtsccv"=C:\DOCUME~1\Buchet\MESDOC~1\SSTEM~1\RGSVR3~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
"eDonkey2000"="C:\Program Files\eDonkey2000\edonkey2000.exe" -t
"BigDogPath"=C:\WINNT\VM_STI.exe Philips SPC 200NC PC Camera
"seekmo"="c:\program files\seekmo\seekmo.exe"
"p2p networking"=p2pnetworking.exe
"New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
"PCSuiteTrayApplication"=C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
"Persistence"=C:\WINNT\system32\igfxpers.exe
"DataLayer"=C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"p2p networking"=p2pnetworking.exe

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [07-07-18 14:21 ]
R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINNT\system32\drivers\pe3akt6c.sys [07-06-08 18:29 ]
R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINNT\system32\drivers\pf2akt6c.sys [07-06-08 18:28 ]
R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);C:\WINNT\system32\drivers\ps6akt6c.sys [07-06-08 18:28 ]
R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINNT\system32\drivers\ps7akt6c.sys [07-09-28 11:05 ]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINNT\system32\drivers\sfdrv01a.sys [06-07-05 13:46 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [07-08-09 13:03 ]
R2 CD-ROM drive ;CD-ROM drive ;"C:\WINNT\Qtime.exe" [08-02-03 16:40 ]
R2 LicCtrlService;LicCtrl Service;C:\WINNT\runservice.exe [06-12-09 21:49 ]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" [05-07-15 21:38 ]
R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 20:05 ]
S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINNT\system32\pr2akt6c.exe svc []
S2 W32MVS;Microsoft Visual Studio;C:\WINNT\system32\w32mvs.exe []

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-04 22:29:11
Windows 5.0.2195 Service Pack 4 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-04 22:31:59 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-04 21:31:57

g!rly · Answer

ok 
repost un hijackthis stp
@+

asmfranco · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:38:39, on 04/02/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\Qtime.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\runservice.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {66BFB4D0-223F-02B5-1D7F-0D92402DD193} - C:\WINNT\system32\lqnslyyn.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinMsg] C:\WINNT\winmsgr.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DialMessenger] "C:\Program Files\DialMessenger\dialmessenger.exe" -background
O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop]  (User 'Default user')
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: ForeverPES v1.0.lnk.disabled
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: TrayMin300.exe.lnk.disabled
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {05574F48-FEE1-4A0A-9013-B8A85C7C6CCE} (VacPro.int_ver20a) - http://www.muiegaozsicur.com/ocx/int_ver20a.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {81F0E45E-9ADD-4CE0-BD4D-837D971A39FE} (VacPro.int_ver23b) - http://www.muiegaozsicur.com/ocx/intES_ver23b.CAB
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/cab/Seekmo/ie/bridge-c9.cab?a766ad8e36bb34bb3129c7e2d5e927fd9548986cb09ef19e82d833bcbbf84d6ddd1941ea1f67f4e157093ceab2c4f3365b07f3c40587baa756f6d4055674:f4bea29dfa52efe895c6f4e45dbe2807
O17 - HKLM\System\CCS\Services\Tcpip\..\{2978F922-8E55-4EA3-A3FD-FDE78716B51E}: NameServer = 192.168.1.1
O20 - Winlogon Notify: iexplore - mgg4e.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CD-ROM drive  - Unknown owner - C:\WINNT\Qtime.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINNT\runservice.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINNT\system32\pr2akt6c.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\system32\UAService7.exe (file missing)
O23 - Service: Microsoft Visual Studio (W32MVS) - Unknown owner - C:\WINNT\system32\w32mvs.exe (file missing)

asmfranco · Answer

on m'a ditr ke tu etais tres bon mais la tu cale ??? lol

g!rly · Answer

re,

tu es pas mal infecté comme tu peux le voir.

je te fais supprimer kazaa entre autre :

info : http://assiste.com.free.fr/p/parasites/kazaa_spyware.php

Copie le texte ci-dessous :

File::
C:\WINNT\QTFont.qfn
C:\WINNT\QTFont.for
C:\Program Files\Fichiers communs\Carlson
C:\Program Files\RXToolBar\sfcont.dll
C:\WINNT\winmsgr.exe
C:\WINNT\p2pnetworking.exe

Folder::
C:\Program Files\Kazaa
C:\Program Files\Need2Find
C:\Program Files\Eurobarre
C:\Program Files\Toolbar888
C:\Program Files\DialMessenger
C:\Program Files\Weflirt
C:\Program Files\RXToolBar
c:\program files\seekmo

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DialMessenger"=-
"Weflirt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinMsg"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\iexplore]
"mgg4e.dll"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"seekmo"=- 
"p2p networking"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionunservices-]
"p2p networking"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

!aur3n7 · Answer

Hello

MSNFix à été mis à jout tout à l'heure avec cette variante




O23 - Service: Microsoft Visual Studio (W32MVS) - Unknown owner - C:\WINNT\system32\w32mvs.exe (file missing) 



et ceci

O20 - Winlogon Notify: iexplore - mgg4e.dll (file missing) 

devrait ne pas poser de problème à SDFix



++

g!rly · Answer

salut !aur3n7,

merci pour l´!nfo je lui ferais repasser alors ;-)

Bonne soirée`

@+

asmfranco · Answer

deja merci de ton aide qui m'a l'air precieuse. Par contre je n'ai pas redemarrer

ComboFix 08-02.05.1 - Buchet 04/02/2008 23:28:26.2 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.167 [GMT 1:00]
Endroit: C:\Documents and Settings\Buchet\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Buchet\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE
C:\Program Files\Fichiers communs\Carlson
C:\Program Files\RXToolBar\sfcont.dll
C:\WINNT\p2pnetworking.exe
C:\WINNT\QTFont.for
C:\WINNT\QTFont.qfn
C:\WINNT\winmsgr.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Eurobarre
C:\Program Files\Eurobarre\eb.exe
C:\Program Files\Eurobarre\inf.bmp
C:\Program Files\Eurobarre\pub.bmp
C:\Program Files\Eurobarre\Uninstall\IRIMG1.JPG
C:\Program Files\Eurobarre\Uninstall\IRIMG2.JPG
C:\Program Files\Eurobarre\Uninstall\uninstall.dat
C:\Program Files\Eurobarre\Uninstall\uninstall.xml
C:\Program Files\Kazaa
C:\Program Files\Kazaa\My Shared Folder\kazaa327_en.exe
C:\Program Files\Need2Find
C:\Program Files\Need2Find\bar\1.bin\N2FFXTBR.JAR
C:\Program Files\Need2Find\bar\1.bin\N2NTSTBR.JAR
C:\Program Files\Need2Find\bar\1.bin\N2PLUGIN.DLL
C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
C:\Program Files\Need2Find\bar\1.bin\NPND2FN.DLL
C:\Program Files\Need2Find\bar\1.bin\PARTNER.DAT
C:\Program Files\Need2Find\bar\Cache\[u]0[/u]03C82C8
C:\Program Files\Need2Find\bar\Cache\[u]0[/u]03C899E
C:\Program Files\Need2Find\bar\Cache\files.ini
C:\Program Files\Need2Find\bar\History\search
C:\Program Files\Need2Find\bar\Settings\prevcfg.htm
C:\Program Files\toolbar888\
C:\Program Files\Weflirt
C:\Program Files\Weflirt\config.ini
C:\Program Files\Weflirt\dm.dat
C:\Program Files\Weflirt\unins000.dat
C:\Program Files\Weflirt\uninstall.exe
C:\Program Files\Weflirt\videochat.ocx
C:\Program Files\Weflirt\weflirt.exe
C:\WINNT\QTFont.for
C:\WINNT\QTFont.qfn

.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-04 to 2008-02-04 ))))))))))))))))))))))))))))))))))))
.

2008-02-04 23:28 . 04/02/08 23:28 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3a4.dat
2008-02-04 22:21 . 19/06/03 20:05 249,104 --a------ C:\kmd.exe
2008-02-04 21:15 . 04/02/08 21:15 <DIR> d-------- C:\Program Files\Trend Micro
2008-02-04 12:27 . 04/02/08 22:18 <DIR> d-------- C:\MSNFix
2008-02-03 16:50 . 03/02/08 16:50 <DIR> d-------- C:\Program Files\Avira
2008-02-03 16:50 . 03/02/08 16:50 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-03 16:40 . 03/02/08 16:40 40,960 --------- C:\WINNT\Qtime.exe
2008-02-02 21:46 . 02/02/08 21:46 <DIR> d--h----- C:\Program Files\Fichiers communs\Carlson
2008-02-02 21:46 . 02/02/08 18:47 42,941 --a------ C:\WINNT\servicestub.MSNFix
2008-01-25 19:29 . 25/01/08 19:29 <DIR> d----c--- C:\WINNT\system32\DRVSTORE
2008-01-25 19:29 . 22/02/07 10:15 137,216 --a------ C:\WINNT\system32\drivers\nmwcd.sys
2008-01-25 19:29 . 22/02/07 10:15 90,624 --a------ C:\WINNT\system32\nmwcdcls.dll
2008-01-25 19:29 . 22/02/07 10:15 65,536 --a------ C:\WINNT\system32\nmwcdcocls.dll
2008-01-25 19:29 . 22/02/07 10:15 12,288 --a------ C:\WINNT\system32\drivers\nmwcdcm.sys
2008-01-25 19:29 . 22/02/07 10:15 12,288 --a------ C:\WINNT\system32\drivers\nmwcdcj.sys
2008-01-25 19:29 . 22/02/07 10:15 8,320 --a------ C:\WINNT\system32\drivers\nmwcdc.sys
2008-01-25 19:25 . 25/01/08 19:27 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Installations
2008-01-06 20:44 . 06/01/08 20:44 <DIR> d-------- C:\Program Files\Solway's Internet TV and Radio
2008-01-06 20:44 . 06/01/08 20:44 <DIR> d-------- C:\Documents and Settings\Buchet\Application Data\SolwaySoftware

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 21:28 43,280 ----a-w C:\WINNT\system32\FTP.EXE
2008-02-04 21:28 18,704 ----a-w C:\WINNT\system32\tftp.exe
2008-02-03 17:03 --------- d-----w C:\Program Files\MioNet
2008-02-03 15:40 97,072 ----a-w C:\WINNT\system32\sfc.dll
2008-02-03 15:38 --------- d-----w C:\Program Files\AviSynth 2.5
2008-01-31 15:43 --------- d-----w C:\Documents and Settings\Buchet\Application Data\uTorrent
2008-01-25 18:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-25 18:28 --------- d-----w C:\Program Files\Nokia
2008-01-09 16:40 --------- d-----w C:\Documents and Settings\Buchet\Application Data\Pro Cycling Manager 2007
2008-01-06 18:48 --------- d-----w C:\Program Files\TVAnts
2007-12-09 20:22 --------- d-----w C:\Documents and Settings\Buchet\Application Data\SopCast
2007-12-09 20:21 --------- d-----w C:\Program Files\SopCast
2007-12-08 16:34 --------- d---a-w C:\Program Files\HTML Guardian 7
2007-12-08 16:27 8,161,792 ----a-w C:\Program Files\HTML Guardian 7.msi
2007-12-08 16:27 258,048 ----a-w C:\WINNT\SetACL.exe
2006-06-26 15:30 0 ---ha-w C:\Program Files\Toolbar888
2005-09-28 15:07 774,144 ----a-w C:\Program Files\RngInterstitial.dll
2005-07-26 11:04 271 ---h--w C:\Program Files\desktop.ini
2005-07-26 11:04 22,115 ---h--w C:\Program Files\folder.htt
1999-12-16 00:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [16/12/99 01:00 20752 C:\WINNT\system32\internat.exe]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [04/09/07 22:40 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19/06/03 20:05 111888 C:\WINNT\system32\mobsync.exe]
"High Definition Audio Property Page Shortcut"="HDAudPropShortcut.exe" [17/03/04 14:10 61952 C:\WINNT\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [ ]
"HPDJ Taskbar Utility"="C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe" [ ]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [ ]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [08/01/07 21:39 185896]
"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [11/04/02 03:19 69632]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [17/12/04 23:20 278528]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [22/08/07 17:05 98304]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [04/02/08 19:53 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [16/12/99 01:00 20752 C:\WINNT\system32\internat.exe]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk.disabled [2005-10-08 23:56:54 1575]
Microsoft Office.lnk.disabled [2005-09-21 15:38:48 1578]
TrayMin300.exe.lnk.disabled [2006-03-13 15:21:23 616]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iexplore]
mgg4e.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
"Configuration de la neuf Box"=C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
"Uloe"="C:\WINNT\WNSXS~1\wowexec.exe" -vt ndrv
"Bgrtsccv"=C:\DOCUME~1\Buchet\MESDOC~1\SSTEM~1\RGSVR3~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
"eDonkey2000"="C:\Program Files\eDonkey2000\edonkey2000.exe" -t
"BigDogPath"=C:\WINNT\VM_STI.exe Philips SPC 200NC PC Camera
"New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
"PCSuiteTrayApplication"=C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
"Persistence"=C:\WINNT\system32\igfxpers.exe
"DataLayer"=C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18/07/07 14:21 ]
R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINNT\system32\drivers\pe3akt6c.sys [08/06/07 18:29 ]
R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINNT\system32\drivers\pf2akt6c.sys [08/06/07 18:28 ]
R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);C:\WINNT\system32\drivers\ps6akt6c.sys [08/06/07 18:28 ]
R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINNT\system32\drivers\ps7akt6c.sys [28/09/07 11:05 ]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINNT\system32\drivers\sfdrv01a.sys [05/07/06 13:46 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09/08/07 13:03 ]
R2 CD-ROM drive ;CD-ROM drive ;"C:\WINNT\Qtime.exe" [03/02/08 16:40 ]
R2 LicCtrlService;LicCtrl Service;C:\WINNT\runservice.exe [09/12/06 21:49 ]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" [15/07/05 21:38 ]
R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;C:\WINNT\system32\DRIVERS\usbhub20.sys [19/06/03 20:05 ]
S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINNT\system32\pr2akt6c.exe svc []
S2 W32MVS;Microsoft Visual Studio;C:\WINNT\system32\w32mvs.exe []

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-04 23:31:02
Windows 5.0.2195 Service Pack 4 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 04/02/2008 23:31:49
ComboFix-quarantined-files.txt 2008-02-04 22:31:29
ComboFix2.txt 2008-02-04 21:31:59

asmfranco · Answer

dem1 je travail tres tot, alors si ilr este encore beaucoup de chose a faire preferais les faire dem1, si ca ne te derange pas

g!rly · Answer

re,

supprime ceci :

C:\kmd.exe

C:\WINNT\system32\Perflib_Perfdata_3a4.dat

refais msnfix et post le resultat ici :

retelecharge le car !aur3n7 nous a averti qu´il venait d´etre mis a jour...

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

et 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

@+

g!rly · Answer

re,

ok tu feras ce que je t´ai indiqué au post 17 dem1

bonne nuit et bon courrage pour dem1 ;-)

@+

asmfranco · Answer

bonsoir, (peut-etre g!rly), merci deja pour toute l'aide, par contre je ne sais pas comment je doit faire pour supprimer ca :


C:\kmd.exe

C:\WINNT\system32\Perflib_Perfdata_3a4.dat 

merci de bien vouloir me repondre

asmfranco · Answer

personne ne peut m'aider ?

g!rly · Answer

salut,

Télécharge OTMoveIt http://sd-1.archive-host.com/membres/up/1366464061/OTMoveIt.rar sur ton Bureau.
double-click sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    
C:\kmd.exe
C:\WINNT\system32\Perflib_Perfdata_3a4.dat

Click sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
click sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Ps : il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

et

retelecharge le car !aur3n7 nous a averti qu´il venait d´etre mis a jour...

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

et

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum 

@+

asmfranco · Answer

voici pour la suppresion de fichier je fais le reste maintenant 

C:\kmd.exe moved successfully.
File/Folder C:\WINNT\system32\Perflib_Perfdata_3a4.dat not found.
 
Created on 02/05/2008 21:24:58

g!rly · Answer

ok
@+

asmfranco · Answer

SDFix: Version 1.137

Run by Buchet on mar. 05/02/2008 at 22:31 

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINNT\SYSTEM32\TASKKILL.EXE - Deleted
C:\Program Files\Fichiers communs\Carlson\carlton  - Deleted



Folder C:\Program Files\Fichiers communs\Carlson - Removed


Removing Temp Files...

ADS Check:
 


                                 Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 22:36:13
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:4ab9d5b3
"s2"=dword:0340199c
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:0c,47,1f,25,cd,d0,68,58,47,4d,8d,7c,02,f3,17,eb,c6,90,94,44,9d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:3b,f4,37,8d,59,f5,46,8f,7d,69,0b,b7,b0,7f,02,6f,f9,72,14,97,e7,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,f2,8f,73,9a,9b,06,ef,8c,56,c9,e4,57,f2,f5,c3,aa,44,..
"khjeh"=hex:4c,da,b7,f9,2e,6e,8c,f6,ff,89,00,63,33,ba,bb,f5,23,f8,9c,4e,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:1e,0c,9d,d7,db,2a,13,b8,32,5a,13,04,9d,0d,92,81,39,b3,e5,fc,f8,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:fe,40,4f,ac,4b,4f,c4,5a,1c,26,d7,a4,a8,19,41,67,2e,b9,ee,33,a2,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:98,79,9e,1c,5f,36,48,5b,f6,ca,db,17,f1,92,2e,d4,f2,d5,15,73,6d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:fe,40,4f,ac,4b,4f,c4,5a,1c,26,d7,a4,a8,19,41,67,2e,b9,ee,33,a2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:0c,47,1f,25,cd,d0,68,58,47,4d,8d,7c,02,f3,17,eb,c6,90,94,44,9d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:3b,f4,37,8d,59,f5,46,8f,7d,69,0b,b7,b0,7f,02,6f,f9,72,14,97,e7,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,f2,8f,73,9a,9b,06,ef,8c,56,c9,e4,57,f2,f5,c3,aa,44,..
"khjeh"=hex:4c,da,b7,f9,2e,6e,8c,f6,ff,89,00,63,33,ba,bb,f5,23,f8,9c,4e,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:1e,0c,9d,d7,db,2a,13,b8,32,5a,13,04,9d,0d,92,81,39,b3,e5,fc,f8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:fe,40,4f,ac,4b,4f,c4,5a,1c,26,d7,a4,a8,19,41,67,2e,b9,ee,33,a2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:98,79,9e,1c,5f,36,48,5b,f6,ca,db,17,f1,92,2e,d4,f2,d5,15,73,6d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:fe,40,4f,ac,4b,4f,c4,5a,1c,26,d7,a4,a8,19,41,67,2e,b9,ee,33,a2,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue  5 Feb 2008           593 A.SH. --- "C:\WINNT\system32\mmf.sys"
Mon  5 Sep 2005         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 13 Nov 2004        37,376 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Mon  4 Feb 2008             0 A..H. --- "C:\WINNT\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT1.tmp"
Wed 22 Mar 2006        19,968 ...H. --- "C:\Documents and Settings\Buchet\Application Data\Microsoft\Word\~WRL0003.tmp"
Wed 22 Mar 2006        19,968 ...H. --- "C:\Documents and Settings\Buchet\Application Data\Microsoft\Word\~WRL0005.tmp"
Mon  5 Sep 2005         4,348 ...H. --- "C:\Documents and Settings\Buchet\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Sat  9 Dec 2006            20 A..H. --- "C:\Documents and Settings\Buchet\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

Finished!

g!rly · Answer

ok

maintenant refais msn fix stp

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt 

et repost un  nouveau hijack this egalement

@+

asmfranco · Answer

ah je croit bien que c bon, plus aucun virus, j'attend ton verdict, mais deja merci pour tout 

MSNFix 1.654  
 
C:\MSNFix\MSNFix 
Fix exécuté le mar. 05/02/2008 - 22:55:18,79 By Buchet 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
 
    Information  ......  Information ......   Information ...... 
 
/!\   /!\  MSNFix n'est pas affilié a livekill CleanMessenger  /!\   /!\ 
 
   Ce pseudo antivirus copie les bases de MSNFix pour se tenir a jour 


/!\  /!\ MSNFix is not affiliated with Livekill CleanMessenger /!\  /!\ 

------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

asmfranco · Answer

en attente de ton verdisct merci

g!rly · Answer

ok

repost un hijack this stp

@+

Infecter par le virus carlson

28 réponses

Votre réponse

Discussions similaires

Newsletters