Sujet Précédent Sujet Suivant

TR/Vundo.gen - vtstt.dll. Impossible à suppri

Fermé
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008 - 5 févr. 2008 à 10:55
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008 - 8 févr. 2008 à 12:08
Bonjour,

Voici mon problème:

J'avais des messages alertes concernant des spywares. En naviguant un peu sur ce forum, j'ai trouvé certaines solutions.
J'ai installé ANTIVIR, et ai fait scanné vundofix et sd fix.
Ils m'ont détecté pleins de choses malsaines.

Toutefois, il me reste une crasse détecté par Antivir:
un TR/Vundo.gen dans un fichier System32\vtstt.dll

Antivir me le détecte à chaque ouverture d'un programme (outlook, iexplorer, ...) (accompagné aussi d'ouverture d'une page publicitaire.

Ma dernière tentative d'éradiquer ce mal a été de faire tourné Fixvundo de Symantec.

Lorsqu'il atteint le vtstt.dll, Antivir me le signale comme malveillant, et Fixvundo plante en me signalant via pop up

Runtime error
program c:\.........\fixvundo.exe
R6034
An application has made an attempt to load the C runtime library incorrectly.
Please contact the support team....

Ce pop up apparraît plusieurs fois, je clique OK puis il continue son run.

Mais le Vundo\gen est toujours là

QUE dois-je faire? Je suis en XP pro

Merci d'avance pour votre aide

Voici un rapport Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53, on 2008-02-05
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Meaya\Popup Ad Filter\PopFilter.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Java\jre1.5.0_08\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Papa\Bureau\FixVundo.exe
c:\program files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ZipCentral\ZCentral.exe
C:\DOCUME~1\Papa\LOCALS~1\Temp\_ZCTmp.Dir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2C643BF8-0775-479F-9C2A-E24683A8CD2C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FCEDC29F-3BAF-4F4B-B1B3-121F455FF84A} - C:\WINDOWS\System32\vtstt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Program Files\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Allow Popups - C:\Program Files\Meaya\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
A voir également:

37 réponses

Précédent
  • 1
  • 2
Réponse 21 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
5 févr. 2008 à 14:43
Coucou,

Windows XP Service Pack 2 (SP2)
For information about the Setup boot disk versions that are available for download, visit the following Microsoft Web sites:

ATTENTION Supprimer la pub installée sur la page !

Windows XP Home Edition SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=15491F07-99F7-4A2D-983D-81C2137FF464&displaylang=en

Windows XP Professional SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=en


Et hjt est mal installé !! C:\DOCUME~1\Papa\LOCALS~1\Temp\_ZCTmp.Dir\HijackThis.exe (danger!)



Bonne chance
Al
0
Réponse 22 / 37
Utilisateur anonyme
5 févr. 2008 à 15:00
Bonjour Afideg , comment vas tu ? merci pour les liens !;-)

Angevince supprime ta version d'hijacthis et instal celle ci .

Télécharge sur le bureau " hijackthis "
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
= Clic-droit sur Hijackthis
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= clic droit sur Hijackthis ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
0
Réponse 23 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
5 févr. 2008 à 15:19
Salut M.L king

Autre lien https://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/29989.html

Bonne continuation
Al.
0
Réponse 24 / 37
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008
5 févr. 2008 à 15:21
Je suis occupé d'installer SP2 mais cela prend un temps fou. J'ai l'impression qu'il est coincé. Il en est au stade nettoyage en cours. je réinstalle Hijack
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
5 févr. 2008 à 15:30
Oui, il faut plus d'½ heure
0
Réponse 26 / 37
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
5 févr. 2008 à 15:46
'lu
AL.

;;))

0
Réponse 27 / 37
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008
5 févr. 2008 à 16:56
Me revoilà
cela a mis le temps!

Un nouveau rapport HJT suite à réinstallation et renommé.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56, on 2008-02-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Meaya\Popup Ad Filter\PopFilter.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Java\jre1.5.0_08\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2C643BF8-0775-479F-9C2A-E24683A8CD2C} - (no file)
O2 - BHO: (no name) - {4CB8A3E9-8F15-4675-AA85-344C9BCB6F07} - C:\WINDOWS\System32\vtstt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Program Files\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Allow Popups - C:\Program Files\Meaya\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 28 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
5 févr. 2008 à 17:30
Bonjour Angevince

BRAVO :
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe BIEN => Zone Labs ZoneAlarm
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe BIEN => Avira AntiVir PersonalEdition


Trois failles de sécurité !
1)- C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe => Sun Microsystems - Java Runtime
2)- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe => Logitech Desktop Messenger
3)- O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

Infections:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe ==> Added by the Troj/Agent-ECU Spyware TROJAN!
O2 - BHO: (no name) - {2C643BF8-0775-479F-9C2A-E24683A8CD2C} - (no file) ==> INCONNU ??
O2 - BHO: (no name) - {4CB8A3E9-8F15-4675-AA85-344C9BCB6F07} - C:\WINDOWS\System32\vtstt.dll


CONCLUSIONS:

A)- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:
-F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe
-O2 - BHO: (no name) - {2C643BF8-0775-479F-9C2A-E24683A8CD2C} - (no file)
•-Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
- Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!
•-Arrête tous les programmes en cours et ferme toutes les fenêtres.
( seul HijackThis doit être ouvert ) ,
•- et ensuite Clic [Fix checked] (fixer =corriger)
Aide en images Fixer ligne avec HJT http://dcangeldark.blogspot.com/2007/06/utilisation-dhijackthis-supprimer-des.html


B)- Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
< http://www.atribune.org/ccount/click.php?id=4 >
Double-clique VundoFix.exe afin de le lancer.

Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton « Scan for Vundo ».
Lorsque le scan est complété, clique sur le bouton « Remove Vundo ».
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport


C)- Télécharge ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre-le sur le bureau.

Avant d'utiliser ComboFix :
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message



Bonne chance
Al.
0
Réponse 29 / 37
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008
5 févr. 2008 à 20:41
Me revoilà,
J'ai dû m'absenter.

Voici le rapport combofix

ComboFix 08-02.05.3 - Papa 2008-02-05 20:29:04.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.237 [GMT 1:00]
Endroit: C:\Documents and Settings\Papa\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\vtstt.dll
.
---- Previous Run -------
.
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ttstv.ini
C:\WINDOWS\system32\ttstv.ini2
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-05 to 2008-02-05 ))))))))))))))))))))))))))))))))))))
.

2008-02-05 16:50 . 2008-02-05 16:50 <REP> d-------- C:\WINDOWS\LastGood
2008-02-05 16:50 . 2008-02-05 16:50 <REP> d-------- C:\Documents and Settings\LocalService\Menu Démarrer
2008-02-05 16:36 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-05 16:36 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-05 16:36 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-05 16:36 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-05 16:36 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-05 16:36 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-05 16:36 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-05 16:36 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-05 16:36 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-05 16:35 . 2008-02-05 16:37 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-02-05 16:28 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-02-05 15:56 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-02-05 15:56 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-02-05 15:56 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-02-05 15:45 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-02-05 15:28 . 2008-02-05 15:28 <REP> d-------- C:\Program Files\Trend Micro
2008-02-05 14:55 . 2008-02-05 14:55 <REP> d-------- C:\WINDOWS\provisioning
2008-02-05 14:55 . 2008-02-05 14:55 <REP> d-------- C:\WINDOWS\peernet
2008-02-05 14:52 . 2008-02-05 14:52 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-02-05 14:46 . 2008-02-05 14:56 <REP> d-------- C:\WINDOWS\EHome
2008-02-05 14:38 . 2002-04-15 21:11 67,866 --------- C:\WINDOWS\system32\drivers\netwlan5.img
2008-02-05 14:38 . 2004-08-19 16:10 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2008-02-05 14:38 . 2004-08-02 14:20 7,208 --------- C:\WINDOWS\system32\secupd.sig
2008-02-05 14:38 . 2004-08-02 14:20 4,569 --------- C:\WINDOWS\system32\secupd.dat
2008-02-05 13:19 . 2004-08-20 00:09 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2008-02-05 13:19 . 2004-03-10 19:01 608,256 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll
2008-02-05 13:19 . 2004-08-20 00:09 332,800 --a------ C:\WINDOWS\system32\ipnathlp.dll
2008-02-05 13:19 . 2004-08-20 00:10 266,752 --a------ C:\WINDOWS\system32\h323.tsp
2008-02-05 13:19 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-02-05 12:42 . 2008-02-05 12:42 <REP> d-------- C:\WINDOWS\system32\bits
2008-02-05 12:41 . 2008-02-05 16:36 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-02-05 11:51 . 2008-02-05 11:51 <REP> d-------- C:\Program Files\Zone Labs
2008-02-05 11:51 . 2008-02-05 11:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-02-05 11:50 . 2008-02-05 13:37 <REP> d-------- C:\WINDOWS\Internet Logs
2008-02-04 13:45 . 2008-02-04 13:45 4 --a------ C:\WINDOWS\system32\34871df6
2008-02-04 13:29 . 2008-02-02 19:01 <REP> d-------- C:\SDFix
2008-02-04 13:05 . 2008-02-04 13:07 <REP> d-------- C:\Program Files\SpywareBlaster
2008-02-04 13:05 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-02-04 12:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-02-04 12:55 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-02-04 12:55 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-02-04 12:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-02-04 12:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-02-04 12:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-02-04 11:38 . 2008-02-04 11:38 <REP> d-------- C:\Program Files\Avira
2008-02-04 11:38 . 2008-02-04 11:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-04 10:49 . 2008-02-04 12:32 <REP> d-------- C:\VundoFix Backups
2008-01-29 19:49 . 2008-02-04 12:57 2,710 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-25 15:04 . 2001-08-17 22:55 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-05 18:37 --------- d-----w C:\Program Files\ZipCentral
2008-02-05 15:51 --------- d-----w C:\Program Files\MSN Messenger
2008-02-05 08:33 --------- d-----w C:\Program Files\Google
2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-12-13 18:27 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2007-12-13 18:27 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-12-13 18:27 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-12-13 18:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-11-28 12:55 0 ---ha-w C:\Documents and Settings\Harry\hpothb07.dat
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2006-10-28 15:28 17,144 ----a-w C:\Documents and Settings\Papa\Application Data\GDIPFONTCACHEV1.DAT
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-07 17:19 67128]
"Popup Ad Filter"="C:\Program Files\Meaya\Popup Ad Filter\PopFilter.exe" [2001-05-21 01:32 268288]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 10:06 700416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2002-07-25 10:04 290816 C:\WINDOWS\system32\atiptaxx.exe]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496]
"Cmaudio"="cmicnfg.cpl" []
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-05-07 20:56 188416]
"HPHUPD05"="C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-05-23 04:03 49152]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-04-08 11:45 212992]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 10:40 49152]
"HPHmon05"="C:\WINDOWS\System32\hphmon05.exe" [2003-05-23 03:56 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 09:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe" [2006-07-26 02:03 49263]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-04 11:47 249896]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 20:05:26 29696]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-03-07 17:19:17 67128]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2006-09-25 18:27:20 438272]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04 83360]
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2006-10-02 18:25:18 122880]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []

*Newly Created Service* - HTTPFILTER
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-10-25 17:52:06 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#7600#MY365112N184.job"
- C:\Program Files\HP\hpcoretech\comp\hpdarc.exe$/#Hewlett-Packard#7600#MY365112N184
"2008-02-05 18:51:01 C:\WINDOWS\Tasks\HP Usg Daily.job"
- C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\pexpress\hphped05.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 20:31:06
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-05 20:31:54
ComboFix-quarantined-files.txt 2008-02-05 19:31:32
.
2008-02-05 12:49:42 --- E O F ---


Je n'ai plus de message intempestif de'Antivir.
Apparement Mon PC est clean.

Nom de Dieu vous êtes géniaux!!!!!
0
Réponse 30 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
5 févr. 2008 à 22:38
(suite)

Fixe cette ligne O2 - BHO: (no name) - {4CB8A3E9-8F15-4675-AA85-344C9BCB6F07} - C:\WINDOWS\System32\vtstt.dll
... avec HJT, si elle est encore présente. Merci.

A)- Il faudrait faire analyser ces dossiers chez VirusTotal, comme ceci

1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

Note:
Dis-moi ce que contiennent ces dossiers.

2°- Ensuite vas là :< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des dossiers en gras ci-après dans la liste ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "Parcourir", fichier par fichier ) )
•- c'est-à-dire :

C:\WINDOWS\$hf_mig$
C:\WINDOWS\system32\34871df6
C:\WINDOWS\system32\bits
C:\Documents and Settings\All Users\Application Data\MailFrontier

•- quand tu as trouvé le premier dosssier $hf_mig$ </gras, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le dossier<gras>$hf_mig$ se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )
DONC, tu refais la manipulation pour les trois autres dont tu postes le rapport à chaque fois.

Merci pour ta collaboration


B)- Puis rends toi sur ce lien < https://www.java.com/fr/download/ > afin de télécharger une version Java à jour (Version 6 Update 3).
-Après installation et redémarrage, vas dans le "panneau de configuration"/"Ajout-Suppr. de programmes" afin de désinstaller les anciennes versions. (C:\Program Files\Java\jre1.5.0_08 par exemple)
-Une fois JRE installé, dans votre « console de paramétrage », accessible depuis le « Panneau de configuration », choisir l’onglet "Java", puis dans "paramètres de l'application Java Runtime", clic sur bouton "afficher", vous accédez à cet écran."
Source: < http://www.libellules.ch/dotclear/index.php?2007/02/03/1671-java-toutes-petites-astuces >


C)- Pour \8876480\ de Logitec
-C'est un prog espion qui soi-disant sert à faire des mises a jour...mais rien n'est prouvé et il semblerait qu'il soit plus espion que programme de mise à jour.
-Mais il peut aussi se trouver dans d'autres programmes.
-Le problème majeur étant qu'il provoque une faille de sécurité.

-•Pour résoudre ce type de problèmes en dehors du fait qu'il expose votre vie privée aux fournisseurs:
-Désinstaller "Logitech Desktop Messenger" dans « Panneau de Configuration » > "Ajout/Suppr.de programmes" et le prog « backweb-8876480.exe » disparaîtra.
-Il ne sert pas à grand-chose sinon à bouffer de la mémoire et de la bande passante internet.
-Les mises à jour de logiciels "Logitech" se font aisément à partir des progs eux-mêmes ( en manuel : tu cliques sur la miniature de ta WebCam près de l’horloge ), donc pas de soucis de ce côté.
Une fiche bien détaillée :< http://assiste.com.free.fr/p/parasites/backweb.html > qui stipule que si l’on supprime le processus BackWeb « IadHide3.dll » , cela interrompera le téléchargement automatique des mises à jour. Pour lesquelles, il est inutile qu’elles soient en automatique !!


D)- Mettre à jour Acrobat Reader
Télécharger Adobe Reader 8.1 pour Windows
Il existe déja une version 8.1 https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
( http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.1/fra/AdbeRdr810_fr_FR.exe lien direct)
- Décocher Téléchargez également :Adobe Photoshop® Album Édition
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.


E)- Fais un ScanOnline PANDA( sous Internet explorer donc ), pour terminer.
< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
•- Procédure :
- Branche les disques amovibles.
- "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
•- Note : Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•- Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.hugedomains.com/domain_profile.cfm?d=monaco-pro&e=com
NOTE* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
Attention!! Panda peut entrer en conflit avec autre antivirus . Par exemple, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. (idem pour le Tea-Timer de Spybot S&D si tu l’as)



Bonne chance
Al.
0
Réponse 31 / 37
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008
6 févr. 2008 à 15:10
Bonjour,

J'ai fait tout ce que tu m'as dit. Les màj et la suppression de logitech.

Les scan virustotal sont complètement clean. Aucun virus trouvé.
Le fichier $hf_mig$ contient plein de sous dossier nommé KB123456 (par exemple). Je pense qu'il s'agit des màj de Microsoft.

Sinon petite question: J'ai plusieurs fichier .log dans le C:\windows. puis-je les supprimer?
0
Réponse 32 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
6 févr. 2008 à 16:57
Bonjour

Non, aucune raison de les supprimer .
Qu'y a-t-il dedans ? ==> essaie de m'en dresser la liste .

Je n'ai pu vu le log de ScanOnline PANDA ??

Al

0
Réponse 33 / 37
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008
6 févr. 2008 à 19:56
Pour les fichiers .log, apparement ce sont des màj microsoft
Voici un début de fichier.


[KB944653.log]
1.437: ================================================================================
1.437: 2008/02/05 15:51:09.708 (local)
1.437: C:\WINDOWS\SoftwareDistribution\Download\0736b9819d78ce6fd28d7a44be52cc29\update\update.exe (version 6.2.29.0)
1.453: Hotfix started with following command line: /si /ParentInfo:e68c1ad37a5efe4cac65dec633942d60
1.625: ---- Old Information In The Registry ------
1.625: Source:C:\WINDOWS\System32\DRIVERS\_003901_.tmp.dll (5.1.2600.1106)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003925_.tmp.dll (5.1.2600.0)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003926_.tmp.dll (5.1.2600.1106)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003927_.tmp.dll (5.1.2600.1699)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003928_.tmp.dll (5.1.2600.1755)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003935_.tmp.dll (5.1.2600.1613)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003936_.tmp.dll
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003937_.tmp.dll (5.1.2600.1106)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003938_.tmp.dll (5.1.2600.1106)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003940_.tmp.dll (5.1.2600.0)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003941_.tmp.dll (5.1.2600.1347)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003944_.tmp.dll (5.1.2600.0)
1.625: Destination:
1.625: Source:C:\WINDOWS\System32\_003945_.tmp.dll (5.1.2600.1106)

Pour le scan Panda,

Au téléchargement Antivir détecte des .exe suspect que j'ai laissé passé, mais il ya tout de même un trojan de détecté lors du téléchargement, je n'ai pas osé continué.
A l'heure actuel, le pc à l'air clean, plus de détection intempestive, les performances sont bonnes. Je ne suis plus trop inquiet. Juste mes fichiers .log; et aussi, est-ce normal d'avoir plusieurs svchost.exe qui tourne en même temps dans processus?
0
Réponse 34 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
6 févr. 2008 à 20:58
Bon,

A)- Qu'avais-je écrit dans la procédure PANDA ? ==> Ceci:
« Attention!! Panda peut entrer en conflit avec autre antivirus . Par exemple, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. (idem pour le Tea-Timer de Spybot S&D si tu l’as) »
QUESTION: Avais-tu donc désactivé ANTIVIR ? ==> Non, puisqu'il a détecté !
Cela n'est pas précisé dans un tuto ?
CONCLUSION: Donc, relance-le SVP et poste le rapport. Merci.

B)- Cit. « est-ce normal d'avoir plusieurs svchost.exe qui tourne en même temps dans processus? »
REPONSE: svchost c'est le "gestionnaire" de service windows (SVC = Service et Host = Hôte)
C'est via ce processus que les services windows sont executés (par ex le pare-feu.. entre moultes autres).
C'est donc tout à fait normal que tu en aies plusieurs , vu qu'il s'agit ni plus ni moins de windows en lui-même.
Lire < http://cf.geocities.com/wilouwilou/svchost.htm > ==> SVCHOST.EXE est un processus générique qui regroupe plusieurs services. C'est pour cette raison, d'ailleurs, qu'il apparaît souvent plusieurs fois dans le gestionnaire des tâches.

C)- Pour ceci: 1.625: ---- Old Information In The Registry ------
Je trouve curieux que ComboFix ne les aie pas supprimés.

Fais comme ceci, SVP:

1°- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

2°- Double-cliquer sur OTMoveIt.exe pour le lancer.

3°- Sélectionner et copier cette liste ci-dessous :

C:\WINDOWS\System32\DRIVERS\_003901_.tmp.dll
C:\WINDOWS\System32\_003925_.tmp.dll
C:\WINDOWS\System32\_003926_.tmp.dll
C:\WINDOWS\System32\_003927_.tmp.dll
C:\WINDOWS\System32\_003928_.tmp.dll
C:\WINDOWS\System32\_003935_.tmp.dll
C:\WINDOWS\System32\_003936_.tmp.dll
C:\WINDOWS\System32\_003937_.tmp.dll
C:\WINDOWS\System32\_003938_.tmp.dll
C:\WINDOWS\System32\_003940_.tmp.dll
C:\WINDOWS\System32\_003941_.tmp.dll
C:\WINDOWS\System32\_003944_.tmp.dll
C:\WINDOWS\System32\_003945_.tmp.dll

4°- La coller dans le cadre supérieur gauche de OTMoveIt2 :"Paste standard List of Files/Folders to be moved"
NOTE: La case "Unregister Dll's and OCX's" doit être cochée.
Astuce: Si cette option n'est pas disponible (ce peut être le cas si vous avez entré une liste de fichiers) : déroulez la liste, sélectionnez un fichier dll quelconque pour activer l'option et pouvoir la cocher ... ==> ... de telle sorte que tous les fichiers de la liste comprenant des DLL soient supprimés avec _OTMoveIt

5°- -clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.

6°- •- Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport.

(Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.)


Merci et bonne soirée
Al.
0
Réponse 35 / 37
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008
7 févr. 2008 à 10:10
Bonjour,

Désolé, j'avais peur pour pandascan que le site soit infecté. Merci pour ton explication SVChost.

Voici le rapport:

***********************************************************************************************************************************************************************************
ANALYSIS: 2008-02-07 09:57:33
PROTECTIONS: 1
MALWARE: 6
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition 7.0.2.100
No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139535 Application/Processor HackTools No 0 Yes No C:\WINDOWS\system32\Process.exe
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Papa\Cookies\papa@xiti[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Papa\Cookies\papa@advertising[1].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\Papa\Cookies\papa@bluestreak[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Papa\Cookies\papa@smartadserver[2].txt
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\Nircmd.exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================


Et voici le rapport MoveIt,

File/Folder [KB944653.log] not found.
File/Folder 1.437: ================================================================================ not found.
File/Folder 1.437: 2008/02/05 15:51:09.708 (local) not found.
File/Folder 1.437: C:\WINDOWS\SoftwareDistribution\Download\0736b9819d78ce6fd28d7a44be52cc29\update\update.ex e (version 6.2.29.0) not found.
File/Folder 1.453: Hotfix started with following command line: /si /ParentInfo:e68c1ad37a5efe4cac65dec633942d60 not found.
File/Folder 1.625: ---- Old Information In The Registry ------ not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\DRIVERS\_003901_.tmp.dll (5.1.2600.1106) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003925_.tmp.dll (5.1.2600.0) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003926_.tmp.dll (5.1.2600.1106) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003927_.tmp.dll (5.1.2600.1699) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003928_.tmp.dll (5.1.2600.1755) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003935_.tmp.dll (5.1.2600.1613) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003936_.tmp.dll not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003937_.tmp.dll (5.1.2600.1106) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003938_.tmp.dll (5.1.2600.1106) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003940_.tmp.dll (5.1.2600.0) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003941_.tmp.dll (5.1.2600.1347) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003944_.tmp.dll (5.1.2600.0) not found.
File/Folder 1.625: Destination: not found.
File/Folder 1.625: Source:C:\WINDOWS\System32\_003945_.tmp.dll (5.1.2600.1106) not found.

OTMoveIt2 v1.0.18 log created on 02072008_100805

Ue dois-je faire maintenant?

Vincent
0
Réponse 36 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
7 févr. 2008 à 12:41
Bonjour

Ce rapport de _OTMoveIt (de Old_Timer) que tu me livres, ne correspond pas à la liste que je t'ai donnée au post # 34
Avais-tu sélectionner et copier strictement cette liste ci-dessous :

C:\WINDOWS\System32\DRIVERS\_003901_.tmp.dll
C:\WINDOWS\System32\_003925_.tmp.dll
C:\WINDOWS\System32\_003926_.tmp.dll
C:\WINDOWS\System32\_003927_.tmp.dll
C:\WINDOWS\System32\_003928_.tmp.dll
C:\WINDOWS\System32\_003935_.tmp.dll
C:\WINDOWS\System32\_003936_.tmp.dll
C:\WINDOWS\System32\_003937_.tmp.dll
C:\WINDOWS\System32\_003938_.tmp.dll
C:\WINDOWS\System32\_003940_.tmp.dll
C:\WINDOWS\System32\_003941_.tmp.dll
C:\WINDOWS\System32\_003944_.tmp.dll
C:\WINDOWS\System32\_003945_.tmp.dll

Tu remarqueras qu'elle ne contient pas :

File/Folder [KB944653.log] not found.
File/Folder 1.437: not found.
File/Folder 1.437: 2008/02/05 15:51:09.708 (local) not found.
File/Folder 1.437: C:\WINDOWS\SoftwareDistribution\Download\0736b9819d78ce6fd28d7a44be52cc29\update\update.ex e (version 6.2.29.0) not found.
File/Folder 1.453: Hotfix started with following command line: /si /ParentInfo:e68c1ad37a5efe4cac65dec633942d60 not found.
File/Folder 1.625: ---- Old Information In The Registry ------ not found.

Et tu liras ci-dessous un log ComboFix récent du "user 2008-02-06 16:08:05.1 - NTFSx86"
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.599 [GMT 1:00], que cet outil supprime ce genre de lignes :

((((((((( Autres suppressions ))))))))
C:\WINDOWS\bhtex.dll
C:\WINDOWS\bhtsrc32.dll
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000010_.tmp.dll
C:\WINDOWS\system32\_000011_.tmp.dll


Supprime ta version ComboFix actuellement dans ton PC et sur le bureau.

Relance une analyse comme ceci:

Télécharge ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre-le sur le bureau.

Avant d'utiliser ComboFix :
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


Merci
Al.



0
Réponse 37 / 37
angevince Messages postés 16 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 8 février 2008
8 févr. 2008 à 12:08
Bonjour,

Voici le nouveau rapport Combofix

ComboFix 08-02.05.3 - Papa 2008-02-08 12:01:59.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.236 [GMT 1:00]
Endroit: C:\Documents and Settings\Papa\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))
.

2008-02-07 10:08 . 2008-02-07 10:08 <REP> d-------- C:\_OTMoveIt
2008-02-06 19:17 . 2008-02-07 10:34 <REP> d-------- C:\Program Files\Panda Security
2008-02-06 15:04 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-05 20:57 . 2008-02-05 20:57 <REP> d-------- C:\Program Files\MSXML 4.0
2008-02-05 19:39 . 2004-08-20 00:09 400,896 --a------ C:\kmd.exe
2008-02-05 16:50 . 2008-02-05 16:50 <REP> d-------- C:\Documents and Settings\LocalService\Menu Démarrer
2008-02-05 16:36 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-05 16:36 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-05 16:36 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-05 16:36 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-05 16:36 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-05 16:36 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-05 16:36 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-05 16:36 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-05 16:36 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-05 16:35 . 2008-02-05 16:37 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-02-05 16:28 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-02-05 15:56 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-02-05 15:56 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-02-05 15:56 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-02-05 15:45 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-02-05 15:28 . 2008-02-05 15:28 <REP> d-------- C:\Program Files\Trend Micro
2008-02-05 14:55 . 2008-02-05 14:55 <REP> d-------- C:\WINDOWS\provisioning
2008-02-05 14:55 . 2008-02-05 14:55 <REP> d-------- C:\WINDOWS\peernet
2008-02-05 14:52 . 2008-02-05 14:52 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-02-05 14:46 . 2008-02-05 14:56 <REP> d-------- C:\WINDOWS\EHome
2008-02-05 14:38 . 2002-04-15 21:11 67,866 --------- C:\WINDOWS\system32\drivers\netwlan5.img
2008-02-05 14:38 . 2004-08-19 16:10 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2008-02-05 14:38 . 2004-08-02 14:20 7,208 --------- C:\WINDOWS\system32\secupd.sig
2008-02-05 14:38 . 2004-08-02 14:20 4,569 --------- C:\WINDOWS\system32\secupd.dat
2008-02-05 13:19 . 2004-08-20 00:09 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2008-02-05 13:19 . 2004-03-10 19:01 608,256 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll
2008-02-05 13:19 . 2004-08-20 00:09 332,800 --a------ C:\WINDOWS\system32\ipnathlp.dll
2008-02-05 13:19 . 2004-08-20 00:10 266,752 --a------ C:\WINDOWS\system32\h323.tsp
2008-02-05 13:19 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-02-05 12:42 . 2008-02-05 12:42 <REP> d-------- C:\WINDOWS\system32\bits
2008-02-05 12:41 . 2008-02-06 09:48 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-02-05 11:51 . 2008-02-05 11:51 <REP> d-------- C:\Program Files\Zone Labs
2008-02-05 11:50 . 2008-02-07 15:02 <REP> d-------- C:\WINDOWS\Internet Logs
2008-02-04 13:45 . 2008-02-04 13:45 4 --a------ C:\WINDOWS\system32\34871df6
2008-02-04 13:29 . 2008-02-02 19:01 <REP> d-------- C:\SDFix
2008-02-04 13:05 . 2008-02-04 13:07 <REP> d-------- C:\Program Files\SpywareBlaster
2008-02-04 13:05 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-02-04 12:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-02-04 12:55 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-02-04 12:55 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-02-04 12:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-02-04 12:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-02-04 12:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-02-04 11:38 . 2008-02-04 11:38 <REP> d-------- C:\Program Files\Avira
2008-02-04 11:38 . 2008-02-04 11:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-04 10:49 . 2008-02-04 12:32 <REP> d-------- C:\VundoFix Backups
2008-01-29 19:49 . 2008-02-04 12:57 2,710 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-25 15:04 . 2001-08-17 22:55 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-07 10:08 1,490,432 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-02-06 14:26 --------- d-----w C:\Program Files\Google
2008-02-06 14:22 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-06 14:04 --------- d-----w C:\Program Files\Java
2008-02-06 08:52 --------- d-----w C:\Program Files\Logitech
2008-02-05 18:37 --------- d-----w C:\Program Files\ZipCentral
2008-02-05 15:51 --------- d-----w C:\Program Files\MSN Messenger
2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-12-13 18:27 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2007-12-13 18:27 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-12-13 18:27 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-12-13 18:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-11-28 12:55 0 ---ha-w C:\Documents and Settings\Harry\hpothb07.dat
2006-10-28 15:28 17,144 ----a-w C:\Documents and Settings\Papa\Application Data\GDIPFONTCACHEV1.DAT
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"Popup Ad Filter"="C:\Program Files\Meaya\Popup Ad Filter\PopFilter.exe" [2001-05-21 01:32 268288]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 10:06 700416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2002-07-25 10:04 290816 C:\WINDOWS\system32\atiptaxx.exe]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496]
"Cmaudio"="cmicnfg.cpl" []
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-05-07 20:56 188416]
"HPHUPD05"="C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-05-23 04:03 49152]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-04-08 11:45 212992]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 10:40 49152]
"HPHmon05"="C:\WINDOWS\System32\hphmon05.exe" [2003-05-23 03:56 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 09:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-04 11:47 249896]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2006-09-25 18:27:20 438272]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04 83360]
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2006-10-02 18:25:18 122880]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-10-25 17:52:06 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#7600#MY365112N184.job"
- C:\Program Files\HP\hpcoretech\comp\hpdarc.exe$/#Hewlett-Packard#7600#MY365112N184
"2008-02-08 10:51:01 C:\WINDOWS\Tasks\HP Usg Daily.job"
- C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\pexpress\hphped05.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 12:03:43
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-08 12:04:31
ComboFix-quarantined-files.txt 2008-02-08 11:04:13
ComboFix2.txt 2008-02-05 19:31:55
.
2008-02-06 09:27:44 --- E O F ---

Merci.
Vincent
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Casque sans fil senheiser TR 120
Thiet78 -
baladur13 -

2 réponses
"Bip-bip" intempestif dans mon casque Sennheiser RR 4200"
Pierre -
baladur13 -

1 réponse