TR/vundo.qc

Résolu
scalp1983 Messages postés 16 Statut Membre -  
DeNisCoOl Messages postés 2871 Statut Membre -
Bonsoir,
Depuis prés d'une semaine mon PC est infecté par le virus TR/Vundo.qc.
J'ai tenté de le supprimer avec VundoFix mais sur les 6 fichiers trouvés lors le
scan , 5 ont été supprimé ,le dernier malgrés plusieurs tentatives reste désespérément
actif.En attendant votre aide
merci d'avance
Configuration: Windows XP
Firefox 3.0

22 réponses

  • 1
  • 2
  1. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    scalp,

    Bienvenue dans la communauté CCM.

    Il existe une option pour forcer la suppression:

    * Double-clique VundoFix.exe afin de le lancer.
    * Ne clique pas sur le bouton Scan for Vundo mais fais un clic droit dans la fenêtre blanche et clique "Add more files?"
    * Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (en haut):

    --chemin du dll Vundo identifié--

    * Copie/colle le chemin du fichier suivant dans la seconde case (au centre):

    --chemin du dll Vundo identifié--

    * Clique sur le bouton "Add File(s)"
    * Clique sur le bouton "Close Window"
    * Clique à nouveau sur "Remove Vundo"
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    * Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
    * Démarre ton PC à nouveau.
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt

    Si le fichier est toujours présent, alors:
    Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec (pour Vista suivre la même procédure que pour XP).

    Si rien n'y fait
    ---------------------
    -Essayez ces 2 autres fix également:

    Télécharger Virtumondebegone

    Et

    puis Symantec Vundo Remove Tool

    Démarrez Windows en mode sans échec, ensuite:

    Exécutez VirtumundoBeGone.exe téléchargé au préalable
    puis Exécutez Symantec Vundo Remove Tool

    Renvoyez un log en cas de détection d’un infection Vundo

    a+

    Denis
    0
  2. scalp1983 Messages postés 16 Statut Membre
     
    Merci pour la rapidité de ta réponse David.
    J'ai suivi les étapes de ton post mais le virus reste toujours actif , les alertes d'antivir
    sont même plus nombreuse (TR/vundo.gen ;TR/vundo.qc;TR/vundo.DRW) et la page
    viruseffaceur.com ne cesse de s'ouvrir.
    0
  3. scalp1983 Messages postés 16 Statut Membre
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:14:55, on 14/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
    0
  4. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    salut,

    1-Ton rapport HJThis ne montre rien de particulier.
    As tu déjà fixé des lignes?
    Pour contrer justement les infections vundo, il faut renommer le fichier HJThis:
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    Pour cela, clic droit de souris sur le fichier et choisir renommer dans la liste.
    Et écrire par exemple CCM.exe

    ------------------------
    2- Essayes Vundofix en mode sans échec, renvois le rapport ensuite.

    ------------------------
    3- Fait une analyse complète Antivir en mode sans échec également
    Puis renvois une copie du rapport d'analyse car le seul nom des trojan ne suffit pas.

    ------------------------
    4- De plus tu n'as pas de parefeu, ça ce n'est pas bon.
    Comme pare feu je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.
    Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

    Bien regarder le tutoriel ICI
    Et pour la version la plus récente ICI

    ------------------------
    5- Renvoyer un rapport HJthis.

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. scalp1983 Messages postés 16 Statut Membre
     
    As tu déjà fixé des lignes? NON

    VundoFix V6.7.8

    Checking Java version...

    Scan started at 03:40:01 13/02/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\cuhkbjdx.dll
    C:\WINDOWS\system32\fgofgvyf.dll
    C:\WINDOWS\system32\heicqxks.dll
    C:\WINDOWS\system32\lkutkrjo.dll
    C:\WINDOWS\system32\qtljjoqe.dll
    C:\WINDOWS\system32\rfefhopc.dll
    C:\WINDOWS\system32\vddtpsdr.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\cuhkbjdx.dll
    C:\WINDOWS\system32\cuhkbjdx.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\fgofgvyf.dll
    C:\WINDOWS\system32\fgofgvyf.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\heicqxks.dll
    C:\WINDOWS\system32\heicqxks.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\lkutkrjo.dll
    C:\WINDOWS\system32\lkutkrjo.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\qtljjoqe.dll
    C:\WINDOWS\system32\qtljjoqe.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\rfefhopc.dll
    C:\WINDOWS\system32\rfefhopc.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vddtpsdr.dll
    C:\WINDOWS\system32\vddtpsdr.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    VundoFix V6.7.8

    Checking Java version...

    Scan started at 15:58:44 13/02/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\awtrrpn.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    VundoFix V6.7.8

    Checking Java version...

    Scan started at 18:56:50 13/02/2008

    Listing files found while scanning....

    VundoFix V6.7.8

    Checking Java version...

    Scan started at 14:00:04 14/02/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\gebyx.dll
    C:\WINDOWS\system32\xybeg.ini
    C:\WINDOWS\system32\xybeg.ini2

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\gebyx.dll
    C:\WINDOWS\system32\gebyx.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\xybeg.ini
    C:\WINDOWS\system32\xybeg.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\xybeg.ini2
    C:\WINDOWS\system32\xybeg.ini2 Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.7.8

    Checking Java version...

    Scan started at 14:22:02 14/02/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\gebyx.dll
    C:\WINDOWS\system32\xybeg.ini
    C:\WINDOWS\system32\xybeg.ini2

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\gebyx.dll
    C:\WINDOWS\system32\gebyx.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\xybeg.ini
    C:\WINDOWS\system32\xybeg.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\xybeg.ini2
    C:\WINDOWS\system32\xybeg.ini2 Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.7.8

    Checking Java version...

    Scan started at 03:03:42 15/02/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\jjkmp.ini
    C:\WINDOWS\system32\jjkmp.ini2
    C:\WINDOWS\system32\pmkjj.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\jjkmp.ini
    C:\WINDOWS\system32\jjkmp.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\jjkmp.ini2
    C:\WINDOWS\system32\jjkmp.ini2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\pmkjj.dll
    C:\WINDOWS\system32\pmkjj.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!
    0
  7. scalp1983 Messages postés 16 Statut Membre
     
    AntiVir PersonalEdition Classic
    Report file date: vendredi 15 février 2008 03:30

    Scanning for 1109165 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Username: scalp33
    Computer name: SCALP33-F95693D

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
    ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 19:10:24
    ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 08/02/2008 13:19:13
    ANTIVIR3.VDF : 7.0.2.139 181760 Bytes 14/02/2008 16:25:14
    AVEWIN32.DLL : 7.6.0.65 3240448 Bytes 13/02/2008 00:29:19
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
    AVPACK32.DLL : 7.6.0.3 360488 Bytes 27/01/2008 19:10:30
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: H:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: on
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: vendredi 15 février 2008 03:30

    Starting search for hidden objects.
    The driver could not be initialized.

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'avgas.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'guard.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    14 processes with 14 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    Boot sector 'D:\'
    [NOTE] No virus was found!
    Boot sector 'E:\'
    [NOTE] No virus was found!
    Boot sector 'F:\'
    [NOTE] No virus was found!
    Boot sector 'G:\'
    [NOTE] No virus was found!
    Boot sector 'H:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '22' files ).

    Starting the file scan:

    Begin scan in 'C:\'
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING] The file could not be opened!
    Begin scan in 'D:\' <ZIK>
    Begin scan in 'E:\'
    Begin scan in 'F:\'
    Begin scan in 'G:\'
    Begin scan in 'H:\'

    End of the scan: vendredi 15 février 2008 04:49
    Used time: 1:18:43 min

    The scan has been done completely.

    12751 Scanning directories
    452536 Files were scanned
    0 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    2 Files cannot be scanned
    452536 Files not concerned
    3842 Archives were scanned
    2 Warnings
    49 Notes
    0
  8. scalp1983 Messages postés 16 Statut Membre
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 05:12:55, on 15/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0
  9. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    salut,

    -Effectivement coriace, ces 4 fichiers reviennent:
    C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\jjkmp.ini
    C:\WINDOWS\system32\jjkmp.ini2
    C:\WINDOWS\system32\pmkjj.dll
    Dont 1 ancien et 3 nouveaux parmis les différents scan.

    As tu effectué le tout, en mode sans échec?

    -Le rapport HJThis n'a pas changé mais si tu ne renommes pas le fichier comme je te l'ai demandé on ne verra rien apparaitre de plus dans le rapport ;-)

    -Vundofix ne suffit par alors passons avec combofix:
    Télécharger Combofix.exe (par sUBs) sur le Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    La traduction du tutorial officiel en français : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Double clique combofix.exe et suivre les invites.
    Lorsque le scan sera complété, un rapport apparaîtra.

    Sélectionner tout le rapport (Ctrl+A), puis Copier (Ctrl+C)/ Coller (Ctrl+V) ce rapport dans la prochaine réponse

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait faire figer l'ordinateur.
    Le temps de l'analyse, désactiver Antivir pour éviter des messages intempestifs.

    A+
    0
  10. scalp1983 Messages postés 16 Statut Membre
     
    Il me semblait pourtant bien avoir renommer le fichier HJThis (clic droit, renommé CCM).
    J'ai bien effectué Vundofix et antivir en mode sans echec.
    Ok je vais faire ça Lundi et je post le rapport ,encore merci pour ton aide
    a+
    0
  11. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    salut,

    On s'entend bien, il faut renommer le fichier lui même pas le raccourci?

    Le fichier qui est ici:
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    Tiens moi au courant.

    J'attends le rapport combofix

    A+
    0
  12. scalp1983 Messages postés 16 Statut Membre
     
    ComboFix 08-02-19.2 - scalp33 2008-02-19 18:06:28.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.649 [GMT 1:00]
    Endroit: C:\Documents and Settings\scalp33\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\scalp33\Application Data\inst.exe
    C:\Documents and Settings\scalp33\Local Settings\Application Data\tsqoutrpcc.dat
    C:\Documents and Settings\scalp33\Local Settings\Application Data\tsqoutrpcc_nav.dat
    C:\Documents and Settings\scalp33\Local Settings\Application Data\tsqoutrpcc_navps.dat
    C:\Program Files\Temporary
    C:\WINDOWS\b149.exe
    C:\WINDOWS\system32\awtrrpn.dll
    C:\WINDOWS\system32\cccacef7_r.dll
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\nvs2.inf
    C:\WINDOWS\system32\oqtss.ini
    C:\WINDOWS\system32\oqtss.ini2
    C:\WINDOWS\system32\rrutv.ini
    C:\WINDOWS\system32\rrutv.ini2
    C:\WINDOWS\system32\wycdd.ini
    C:\WINDOWS\system32\wycdd.ini2
    C:\WINDOWS\system32\xycdd.ini
    C:\WINDOWS\system32\xycdd.ini2

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_DOMAINSERVICE

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-19 to 2008-02-19 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-15 03:02 . 2008-02-15 03:26 330 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
    2008-02-15 02:59 . 2008-02-15 02:59 <REP> d-------- C:\Program Files\Sunbelt Software
    2008-02-13 20:34 . 2008-02-13 20:34 <REP> d-------- C:\Documents and Settings\scalp33\Application Data\Grisoft
    2008-02-13 20:33 . 2008-02-13 20:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-02-13 20:33 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-02-13 15:54 . 2008-02-19 17:38 <REP> d-------- C:\Program Files\CCM
    2008-02-13 02:51 . 2008-02-13 02:51 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-02-13 02:47 . 2008-02-13 02:47 <REP> d-------- C:\csscod
    2008-02-05 17:39 . 2008-02-13 00:41 <REP> d-------- C:\Program Files\Norton Security Scan
    2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Program Files\Avira
    2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-01-24 15:40 . 2008-01-27 20:38 <REP> d-------- C:\Program Files\Dot1XCfg
    2008-01-22 17:46 . 2008-01-22 17:46 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-19 17:05 --------- d-----w C:\Documents and Settings\scalp33\Application Data\uTorrent
    2008-02-19 16:35 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 2
    2008-02-19 16:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
    2008-02-13 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-02-13 19:33 --------- d-----w C:\Program Files\WinClamAVShield
    2008-02-13 17:49 --------- d-----w C:\Program Files\SlySoft
    2008-02-13 17:40 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Lavasoft
    2008-02-13 16:01 --------- d-----w C:\Documents and Settings\scalp33\Application Data\OpenOffice.org2
    2008-02-12 23:45 --------- d-----w C:\Program Files\eMule
    2008-02-12 17:13 --------- d-----w C:\Documents and Settings\scalp33\Application Data\ma-config.com
    2008-02-11 15:47 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-02-11 15:26 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
    2008-02-10 20:26 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Vso
    2008-02-07 19:30 --------- d-----w C:\Program Files\Incomplete
    2008-02-07 19:25 --------- d-----w C:\Program Files\BitTorrent
    2008-02-05 23:21 --------- d-----w C:\Documents and Settings\scalp33\Application Data\LimeWire
    2008-02-05 23:14 --------- d-----w C:\Program Files\LimeWire
    2008-02-05 16:35 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-01-31 01:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-30 14:44 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Microgaming
    2008-01-18 01:20 --------- d-----w C:\Documents and Settings\scalp33\Application Data\dvdcss
    2008-01-17 21:02 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Search Settings
    2008-01-17 18:51 --------- d-----w C:\Program Files\Search Settings
    2008-01-16 00:45 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Talkback
    2008-01-16 00:03 --------- d-----w C:\Program Files\iTunes
    2008-01-16 00:00 --------- d-----w C:\Program Files\iPod
    2008-01-15 23:56 --------- d-----w C:\Program Files\QuickTime
    2008-01-15 21:13 --------- d-----w C:\Program Files\adslTV
    2008-01-14 19:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DNA
    2008-01-14 16:08 --------- d-----w C:\Program Files\TuneUp Utilities 2007
    2008-01-13 19:53 --------- d-----w C:\Documents and Settings\scalp33\Application Data\SopCast
    2008-01-13 01:10 1,357,286 ----a-w C:\Program Files\temp3.exe
    2008-01-13 01:10 1,357,253 ----a-w C:\Program Files\temp2.exe
    2008-01-11 21:14 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Screenshot Sender
    2008-01-03 15:20 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DAEMON Tools
    2008-01-03 15:15 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
    2008-01-02 22:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\PCF-VLC
    2007-12-30 23:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Locktime
    2007-12-30 23:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Locktime
    2007-12-30 13:42 --------- d-----w C:\Program Files\Nexus Radio
    2007-12-29 17:16 --------- d-----w C:\Program Files\Azureus
    2007-12-29 17:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Participatory Culture Foundation
    2007-12-27 19:10 20,765,141 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_12_27_19_14_52_full.dmp.zip
    2007-12-26 22:41 --------- d-----w C:\Program Files\neuf_VOD
    2007-12-23 18:47 --------- d-----w C:\Program Files\JPrintCover
    2007-12-23 18:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\.jprintcover
    2007-12-23 18:05 --------- d-----w C:\Program Files\DVDCoverPrint
    2007-12-23 17:18 --------- d-----w C:\Program Files\VSO
    2007-12-22 22:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
    2007-12-22 14:20 --------- d-----w C:\Program Files\ma-config.com
    2007-12-21 19:12 --------- d-----w C:\Program Files\Neuf
    2007-12-19 17:14 --------- d-----w C:\Program Files\MSN Messenger
    2007-12-19 17:14 --------- d-----w C:\Program Files\Messenger Plus! Live
    2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
    2007-12-05 23:23 47,360 ----a-w C:\Documents and Settings\scalp33\Application Data\pcouffin.sys
    2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
    2007-12-03 00:50 680 ----a-w C:\Program Files\mpc2.reg
    2007-12-03 00:50 596 ----a-w C:\Program Files\mpc1.reg
    2007-12-03 00:50 34,706 ----a-w C:\Program Files\ffdssetts.reg
    2007-12-03 00:50 338 ----a-w C:\Program Files\mpc4.reg
    2007-12-03 00:50 31,030 ----a-w C:\Program Files\ffdsvsetts.reg
    2007-12-03 00:50 3,476 ----a-w C:\Program Files\mpc7.reg
    2007-12-03 00:50 3,026 ----a-w C:\Program Files\mpc3.reg
    2007-12-03 00:50 18,156 ----a-w C:\Program Files\mpc6.reg
    2007-12-03 00:50 16,284 ----a-w C:\Program Files\mpc5.reg
    2007-12-03 00:50 1,172 ----a-w C:\Program Files\ffdsasetts.reg
    2007-11-23 00:15 4,704 ----a-w C:\Program Files\satsukidecodersettings.ini
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
    2007-12-06 11:58 1198432 --a------ C:\Program Files\Search Settings\kb125\SearchSettings.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8648639-A102-4D2C-BA19-E254F293EB21}]
    C:\WINDOWS\system32\pmkjj.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-27 20:10 249896]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
    "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
    "AnyDVD"=h:\films\utorrent\anydvd-hd.6.3.0.3\andv6.3.0.3\cracked\anydvd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
    "Alcmtr"=ALCMTR.EXE
    "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
    "JMB36X Configure"=C:\WINDOWS\system32\JMRaidTool.exe boot
    "RTHDCPL"=RTHDCPL.EXE
    "Launch Ai Booster"="C:\Program Files\ASUS\Ai Booster\OverClk.exe"
    "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    "SearchSettings"=C:\Program Files\Search Settings\SearchSettings.exe
    "NeroCheck"=C:\WINDOWS\system32\\NeroCheck.exe
    "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

    R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
    R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
    R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0/u00.fcl [2007-09-19 21:37]
    R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]
    S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
    S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 10:35]
    S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2007-12-13 04:40]
    S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
    \Shell\AutoRun\command - I:\autorun_PES2008.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28ddc7d0-227a-11dc-b85e-0007cb0000ff}]
    \Shell\AutoRun\command - K:\setupSNK.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc4d15e9-a34d-11dc-b920-0015af0694d8}]
    \Shell\AutoRun\command - K:\PortableVault.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f92c9d2d-ba0e-11dc-91ae-0015af0694d8}]
    \Shell\AutoRun\command - K:\Autorun.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-02-09 13:17:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-02-15 17:34:07 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
    "2008-02-15 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
    - C:\Program Files\Norton Security Scan\Nss.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-19 18:12:14
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-19 18:14:27 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-19 17:14:21
    .
    2008-02-13 18:20:37 --- E O F ---
    0
  13. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    salut scalp,

    Combofix a fait beaucoup de ménage.

    Pour continuer
    ------------------------------
    Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes d'un seul bloc :


    Registry::
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F8648639-A102-4D2C-BA19-E254F293EB21}]

    File::
    C:\WINDOWS\system32\pmkjj.dll
    C:\WINDOWS\system32\jjkmp.ini
    C:\WINDOWS\system32\jjkmp.ini2
    C:\Program Files\temp3.exe
    C:\Program Files\temp2.exe

    Driver::
    LEGACY_DOMAINSERVICE


    Enregistre ce fichier sous le nom CFScript

    *Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme montré sur ce lien :
    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
    *Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
    *Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne toucher à rien tant que le scan n'est pas terminé.
    *Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.

    *Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt

    Repasser Vundofix pour voir si il trouve encore d'autre .dll

    Ensuite
    ---------------------
    Le fichier ci-dessous doit être à l’origine d’un détournement de la page de recherche:
    C:\Program Files\Search Settings\SearchSettings.exe

    Pour l’enlever
    Aller dans le menu Démarrer / Tous les programmes / Accessoires / Outils système
    Cliquer sur Internet explorer (sans module complémentaire ou Aucun module complémentaire)
    IE va s’ouvrir sans les module complémentaires.
    Aller dans le menu Outils, puis dans Gérer les modules complémentaires, et enlever SearchSettings.

    Cela devrait être suffisant.

    Renvoyer un rapport HJThis.

    ---------------------
    Répertoire C:\Program Files\WinClamAVShield, AV Actif ou juste les traces de WinClamAVShield?

    Je ne fais pas parti de la police mais la liste des programmes ci-dessous est non seulement à prohiber pour des raisons évidentes de copyright.
    C:\Documents and Settings\scalp33\Application Data\uTorrent
    C:\Program Files\eMule
    C:\Program Files\BitTorrent
    C:\Program Files\LimeWire

    Mais en ce qui nous concerne, les échanges p2p = plein 2 problème… de sécurité. Car les fichiers trouvés ne sont jamais garantis 100% sure.
    En attendant la fin de la désinfection je vous demanderais donc d’arrêter de les utiliser, merci.

    A+
    0
  14. scalp1983 Messages postés 16 Statut Membre
     
    ComboFix 08-02-19.2 - scalp33 2008-02-20 15:07:49.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.574 [GMT 1:00]
    Endroit: C:\Documents and Settings\scalp33\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\scalp33\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    FILE ::
    C:\Program Files\temp2.exe
    C:\Program Files\temp3.exe
    C:\WINDOWS\system32\jjkmp.ini
    C:\WINDOWS\system32\jjkmp.ini2
    C:\WINDOWS\system32\pmkjj.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Program Files\temp2.exe
    C:\Program Files\temp3.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-01-20 to 2008-02-20 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-15 03:02 . 2008-02-15 03:26 330 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
    2008-02-15 02:59 . 2008-02-15 02:59 <REP> d-------- C:\Program Files\Sunbelt Software
    2008-02-13 20:34 . 2008-02-13 20:34 <REP> d-------- C:\Documents and Settings\scalp33\Application Data\Grisoft
    2008-02-13 20:33 . 2008-02-13 20:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-02-13 20:33 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-02-13 15:54 . 2008-02-19 17:38 <REP> d-------- C:\Program Files\CCM
    2008-02-13 02:51 . 2008-02-13 02:51 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-02-13 02:47 . 2008-02-13 02:47 <REP> d-------- C:\csscod
    2008-02-05 17:39 . 2008-02-13 00:41 <REP> d-------- C:\Program Files\Norton Security Scan
    2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Program Files\Avira
    2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-01-24 15:40 . 2008-01-27 20:38 <REP> d-------- C:\Program Files\Dot1XCfg
    2008-01-22 17:46 . 2008-01-22 17:46 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-20 14:05 --------- d-----w C:\Documents and Settings\scalp33\Application Data\uTorrent
    2008-02-20 14:04 --------- d-----w C:\Program Files\Azureus
    2008-02-20 13:45 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 2
    2008-02-20 01:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\dvdcss
    2008-02-19 16:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
    2008-02-13 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-02-13 19:33 --------- d-----w C:\Program Files\WinClamAVShield
    2008-02-13 17:49 --------- d-----w C:\Program Files\SlySoft
    2008-02-13 17:40 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Lavasoft
    2008-02-13 16:01 --------- d-----w C:\Documents and Settings\scalp33\Application Data\OpenOffice.org2
    2008-02-12 23:45 --------- d-----w C:\Program Files\eMule
    2008-02-12 17:13 --------- d-----w C:\Documents and Settings\scalp33\Application Data\ma-config.com
    2008-02-11 15:47 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-02-11 15:26 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
    2008-02-10 20:26 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Vso
    2008-02-07 19:30 --------- d-----w C:\Program Files\Incomplete
    2008-02-07 19:25 --------- d-----w C:\Program Files\BitTorrent
    2008-02-05 23:21 --------- d-----w C:\Documents and Settings\scalp33\Application Data\LimeWire
    2008-02-05 23:14 --------- d-----w C:\Program Files\LimeWire
    2008-02-05 16:35 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-01-31 01:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-30 14:44 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Microgaming
    2008-01-17 21:02 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Search Settings
    2008-01-17 18:51 --------- d-----w C:\Program Files\Search Settings
    2008-01-16 00:45 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Talkback
    2008-01-16 00:03 --------- d-----w C:\Program Files\iTunes
    2008-01-16 00:00 --------- d-----w C:\Program Files\iPod
    2008-01-15 23:56 --------- d-----w C:\Program Files\QuickTime
    2008-01-15 21:13 --------- d-----w C:\Program Files\adslTV
    2008-01-14 19:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DNA
    2008-01-14 16:08 --------- d-----w C:\Program Files\TuneUp Utilities 2007
    2008-01-13 19:53 --------- d-----w C:\Documents and Settings\scalp33\Application Data\SopCast
    2008-01-11 21:14 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Screenshot Sender
    2008-01-03 15:20 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DAEMON Tools
    2008-01-03 15:15 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
    2008-01-02 22:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\PCF-VLC
    2007-12-30 23:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Locktime
    2007-12-30 23:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Locktime
    2007-12-30 13:42 --------- d-----w C:\Program Files\Nexus Radio
    2007-12-29 17:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Participatory Culture Foundation
    2007-12-27 19:10 20,765,141 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_12_27_19_14_52_full.dmp.zip
    2007-12-26 22:41 --------- d-----w C:\Program Files\neuf_VOD
    2007-12-23 18:47 --------- d-----w C:\Program Files\JPrintCover
    2007-12-23 18:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\.jprintcover
    2007-12-23 18:05 --------- d-----w C:\Program Files\DVDCoverPrint
    2007-12-23 17:18 --------- d-----w C:\Program Files\VSO
    2007-12-22 22:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
    2007-12-22 14:20 --------- d-----w C:\Program Files\ma-config.com
    2007-12-21 19:12 --------- d-----w C:\Program Files\Neuf
    2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
    2007-12-05 23:23 47,360 ----a-w C:\Documents and Settings\scalp33\Application Data\pcouffin.sys
    2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
    2007-12-03 00:50 680 ----a-w C:\Program Files\mpc2.reg
    2007-12-03 00:50 596 ----a-w C:\Program Files\mpc1.reg
    2007-12-03 00:50 34,706 ----a-w C:\Program Files\ffdssetts.reg
    2007-12-03 00:50 338 ----a-w C:\Program Files\mpc4.reg
    2007-12-03 00:50 31,030 ----a-w C:\Program Files\ffdsvsetts.reg
    2007-12-03 00:50 3,476 ----a-w C:\Program Files\mpc7.reg
    2007-12-03 00:50 3,026 ----a-w C:\Program Files\mpc3.reg
    2007-12-03 00:50 18,156 ----a-w C:\Program Files\mpc6.reg
    2007-12-03 00:50 16,284 ----a-w C:\Program Files\mpc5.reg
    2007-12-03 00:50 1,172 ----a-w C:\Program Files\ffdsasetts.reg
    2007-11-23 00:15 4,704 ----a-w C:\Program Files\satsukidecodersettings.ini
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-27 20:10 249896]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
    "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
    "AnyDVD"=h:\films\utorrent\anydvd-hd.6.3.0.3\andv6.3.0.3\cracked\anydvd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
    "Alcmtr"=ALCMTR.EXE
    "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
    "JMB36X Configure"=C:\WINDOWS\system32\JMRaidTool.exe boot
    "RTHDCPL"=RTHDCPL.EXE
    "Launch Ai Booster"="C:\Program Files\ASUS\Ai Booster\OverClk.exe"
    "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    "SearchSettings"=C:\Program Files\Search Settings\SearchSettings.exe
    "NeroCheck"=C:\WINDOWS\system32\\NeroCheck.exe
    "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

    R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
    R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
    R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0/u00.fcl [2007-09-19 21:37]
    R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]
    S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
    S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 10:35]
    S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2007-12-13 04:40]
    S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
    \Shell\AutoRun\command - I:\autorun_PES2008.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28ddc7d0-227a-11dc-b85e-0007cb0000ff}]
    \Shell\AutoRun\command - K:\setupSNK.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc4d15e9-a34d-11dc-b920-0015af0694d8}]
    \Shell\AutoRun\command - K:\PortableVault.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f92c9d2d-ba0e-11dc-91ae-0015af0694d8}]
    \Shell\AutoRun\command - K:\Autorun.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-02-09 13:17:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-02-15 17:34:07 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
    "2008-02-15 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
    - C:\Program Files\Norton Security Scan\Nss.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-20 15:10:46
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-20 15:11:59
    ComboFix-quarantined-files.txt 2008-02-20 14:11:54
    ComboFix2.txt 2008-02-19 17:14:29
    .
    2008-02-13 18:20:37 --- E O F ---
    0
  15. scalp1983 Messages postés 16 Statut Membre
     
    Salut
    J'ai refait un test avec Vundofix il ne detecte aucun .dll .
    Pour SearchSettings, j'ai bien cliquer sur IE sans module complémentaire
    mais l'entrée Gérer les modules complémentaires est grisé.

    Répertoire C:\Program Files\WinClamAVShield ,AV était inactif
    j'avais installé Spyware Terminator (auj. désinstallé ).
    Faut t'il supprimer WinClamAVShield ?

    je post le rapport HJThis.

    A+
    0
  16. scalp1983 Messages postés 16 Statut Membre
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:16:30, on 20/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox 3 Beta 2\firefox.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\ccm.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0
  17. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    Salut scalp,

    Pour enlever Search Settings:
    ------------------------------
    Recommencer la procédure CFScript avec les répertoires ci dessous.
    Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :


    Folder::
    C:\Program Files\Search Settings\
    C:\Documents and Settings\scalp33\Application Data\Search Settings


    Enregistre ce fichier sous le nom CFScript

    *Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
    *Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
    *Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne toucher à rien tant que le scan n'est pas terminé.
    *Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.

    *Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt

    Ou en sont les symptômes?

    Ensuite pour terminer le nettoyage:

    ------------------------
    1- Cliquer sur Spywareblaster pour le télécharger
    Après l’installation et la configuration, il suffit de faire les mises à jour il s’occupe du reste (Incompatible Vista).
    Le tutorial très complet ICI (merci à 01net.com)

    ------------------------
    2- Cliquer CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.

    Pendant l'installation si vous avez déjà une barre de recherche, alors décocher l'ajout de la barre yahoo.
    Son tutorial ICI
    Une fois installé, aller dans Options/Propriétés/ Effacement sécurisé du fichier (lent) Type NSA (7 Passages).
    Ensuite dans Options/Avancés, décocher : effacer uniquement les fichiers du répertoires temp de Windows de plus vieux que 48h.
    Bouton Nettoyer, cliquer sur Analyse laisser travailler cela peut être très long ensuite cliquer sur Lancer le nettoyage.
    Ensuite sur le bouton Registre répéter 2 fois les étapes suivantes:
    Chercher les erreurs- Réparer les erreurs sélectionnées
    Ne pas oublier de sauvegarder au cas où il supprimerait une mauvaise clef (peu probable).
    À effacer ensuite s’il n’y a pas de problème par la suite.

    ------------------------
    3- Cliquer sur Ad-aware2007
    Un très bon complément entre Spybot et CCleaner.
    Nouvelle version en français, (appuyer sur gratuit quand il demande les numéros de série pour avoir la version gratuite).
    La première fois, appuyer sur le bouton mise à jour il va demander si vous voulez exécuter la mise à jour confirmer en cliquant Oui.
    Ensuite appuyer sur Lancer l’analyse et la première fois, cocher analyse complète et appuyer sur scan (la fois suivante, cocher analyse astucieuse, il fera une analyse des zones principales).
    Cliquer sur les 2 onglets Objets Critiques et Privés , cocher les objets trouvés et cliquer sur Supprimer ou sur Quarantaine en cas de doute.

    ------------------------
    4- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
    Kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Utile à rajouter dans ses favoris)

    A+
    0
  18. scalp1983 Messages postés 16 Statut Membre
     
    ComboFix 08-02-19.2 - scalp33 2008-02-21 2:32:18.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.677 [GMT 1:00]
    Endroit: C:\Documents and Settings\scalp33\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\scalp33\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\scalp33\Application Data\Search Settings
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\ErrorPageTemplate.css
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\help.gif
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\pixel.gif
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\tab_icon.png
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\tabdata.js
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\tablib.js
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\tabwelcome_en.html
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\toolbar_background.gif
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\vista_directions.png
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\xp_directions.png
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\yahoo_search.gif
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\temp\ws-13928.log
    C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\temp\ws-13929.log
    C:\Program Files\Search Settings\
    C:\Program Files\Search Settings\\kb125\res\ErrorPageTemplate.css
    C:\Program Files\Search Settings\\kb125\res\help.gif
    C:\Program Files\Search Settings\\kb125\res\pixel.gif
    C:\Program Files\Search Settings\\kb125\res\tab_icon.png
    C:\Program Files\Search Settings\\kb125\res\tabdata.js
    C:\Program Files\Search Settings\\kb125\res\tablib.js
    C:\Program Files\Search Settings\\kb125\res\tabwelcome_en.html
    C:\Program Files\Search Settings\\kb125\res\toolbar_background.gif
    C:\Program Files\Search Settings\\kb125\res\vista_directions.png
    C:\Program Files\Search Settings\\kb125\res\xp_directions.png
    C:\Program Files\Search Settings\\kb125\res\yahoo_search.gif
    C:\Program Files\Search Settings\\kb125\SearchSettings.dll
    C:\Program Files\Search Settings\\SearchSettings.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-01-21 to 2008-02-21 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-20 18:27 . 2008-02-20 18:32 <REP> d-------- C:\Program Files\GF38_Immersive_Stadium
    2008-02-20 15:27 . 2008-02-20 15:27 <REP> d-------- C:\VundoFix Backups
    2008-02-15 03:02 . 2008-02-20 20:30 850 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
    2008-02-15 02:59 . 2008-02-15 02:59 <REP> d-------- C:\Program Files\Sunbelt Software
    2008-02-13 20:34 . 2008-02-13 20:34 <REP> d-------- C:\Documents and Settings\scalp33\Application Data\Grisoft
    2008-02-13 20:33 . 2008-02-13 20:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-02-13 20:33 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-02-13 15:54 . 2008-02-19 17:38 <REP> d-------- C:\Program Files\CCM
    2008-02-13 02:51 . 2008-02-13 02:51 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-02-13 02:47 . 2008-02-13 02:47 <REP> d-------- C:\csscod
    2008-02-05 17:39 . 2008-02-13 00:41 <REP> d-------- C:\Program Files\Norton Security Scan
    2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Program Files\Avira
    2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-01-24 15:40 . 2008-01-27 20:38 <REP> d-------- C:\Program Files\Dot1XCfg
    2008-01-22 17:46 . 2008-01-22 17:46 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-21 01:31 --------- d-----w C:\Documents and Settings\scalp33\Application Data\uTorrent
    2008-02-21 01:20 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 2
    2008-02-20 17:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
    2008-02-20 14:59 --------- d-----w C:\Program Files\LimeWire
    2008-02-20 14:44 --------- d-----w C:\Program Files\Incomplete
    2008-02-20 14:04 --------- d-----w C:\Program Files\Azureus
    2008-02-20 01:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\dvdcss
    2008-02-13 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-02-13 19:33 --------- d-----w C:\Program Files\WinClamAVShield
    2008-02-13 17:49 --------- d-----w C:\Program Files\SlySoft
    2008-02-13 17:40 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Lavasoft
    2008-02-13 16:01 --------- d-----w C:\Documents and Settings\scalp33\Application Data\OpenOffice.org2
    2008-02-12 23:45 --------- d-----w C:\Program Files\eMule
    2008-02-12 17:13 --------- d-----w C:\Documents and Settings\scalp33\Application Data\ma-config.com
    2008-02-11 15:47 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-02-11 15:26 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
    2008-02-10 20:26 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Vso
    2008-02-05 23:21 --------- d-----w C:\Documents and Settings\scalp33\Application Data\LimeWire
    2008-02-05 16:35 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-01-31 01:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-30 14:44 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Microgaming
    2008-01-16 00:45 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Talkback
    2008-01-16 00:03 --------- d-----w C:\Program Files\iTunes
    2008-01-16 00:00 --------- d-----w C:\Program Files\iPod
    2008-01-15 23:56 --------- d-----w C:\Program Files\QuickTime
    2008-01-15 21:13 --------- d-----w C:\Program Files\adslTV
    2008-01-14 19:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DNA
    2008-01-14 16:08 --------- d-----w C:\Program Files\TuneUp Utilities 2007
    2008-01-13 19:53 --------- d-----w C:\Documents and Settings\scalp33\Application Data\SopCast
    2008-01-11 21:14 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Screenshot Sender
    2008-01-03 15:20 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DAEMON Tools
    2008-01-03 15:15 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
    2008-01-02 22:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\PCF-VLC
    2007-12-30 23:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Locktime
    2007-12-30 23:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Locktime
    2007-12-30 13:42 --------- d-----w C:\Program Files\Nexus Radio
    2007-12-29 17:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Participatory Culture Foundation
    2007-12-27 19:10 20,765,141 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_12_27_19_14_52_full.dmp.zip
    2007-12-26 22:41 --------- d-----w C:\Program Files\neuf_VOD
    2007-12-23 18:47 --------- d-----w C:\Program Files\JPrintCover
    2007-12-23 18:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\.jprintcover
    2007-12-23 18:05 --------- d-----w C:\Program Files\DVDCoverPrint
    2007-12-23 17:18 --------- d-----w C:\Program Files\VSO
    2007-12-22 22:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
    2007-12-22 14:20 --------- d-----w C:\Program Files\ma-config.com
    2007-12-21 19:12 --------- d-----w C:\Program Files\Neuf
    2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
    2007-12-05 23:23 47,360 ----a-w C:\Documents and Settings\scalp33\Application Data\pcouffin.sys
    2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
    2007-12-03 00:50 680 ----a-w C:\Program Files\mpc2.reg
    2007-12-03 00:50 596 ----a-w C:\Program Files\mpc1.reg
    2007-12-03 00:50 34,706 ----a-w C:\Program Files\ffdssetts.reg
    2007-12-03 00:50 338 ----a-w C:\Program Files\mpc4.reg
    2007-12-03 00:50 31,030 ----a-w C:\Program Files\ffdsvsetts.reg
    2007-12-03 00:50 3,476 ----a-w C:\Program Files\mpc7.reg
    2007-12-03 00:50 3,026 ----a-w C:\Program Files\mpc3.reg
    2007-12-03 00:50 18,156 ----a-w C:\Program Files\mpc6.reg
    2007-12-03 00:50 16,284 ----a-w C:\Program Files\mpc5.reg
    2007-12-03 00:50 1,172 ----a-w C:\Program Files\ffdsasetts.reg
    2007-11-23 00:15 4,704 ----a-w C:\Program Files\satsukidecodersettings.ini
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-27 20:10 249896]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
    "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
    "AnyDVD"=h:\films\utorrent\anydvd-hd.6.3.0.3\andv6.3.0.3\cracked\anydvd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
    "Alcmtr"=ALCMTR.EXE
    "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
    "JMB36X Configure"=C:\WINDOWS\system32\JMRaidTool.exe boot
    "RTHDCPL"=RTHDCPL.EXE
    "Launch Ai Booster"="C:\Program Files\ASUS\Ai Booster\OverClk.exe"
    "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    "SearchSettings"=C:\Program Files\Search Settings\SearchSettings.exe
    "NeroCheck"=C:\WINDOWS\system32\\NeroCheck.exe
    "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

    R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
    R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
    R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0/u00.fcl [2007-09-19 21:37]
    R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]
    S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
    S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 10:35]
    S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2007-12-13 04:40]
    S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
    \Shell\AutoRun\command - I:\autorun_PES2008.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28ddc7d0-227a-11dc-b85e-0007cb0000ff}]
    \Shell\AutoRun\command - K:\setupSNK.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc4d15e9-a34d-11dc-b920-0015af0694d8}]
    \Shell\AutoRun\command - K:\PortableVault.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f92c9d2d-ba0e-11dc-91ae-0015af0694d8}]
    \Shell\AutoRun\command - K:\Autorun.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-02-09 13:17:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-02-15 17:34:07 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
    "2008-02-15 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
    - C:\Program Files\Norton Security Scan\Nss.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-21 02:35:31
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-21 2:36:43
    ComboFix-quarantined-files.txt 2008-02-21 01:36:38
    ComboFix2.txt 2008-02-20 14:12:00
    ComboFix3.txt 2008-02-19 17:14:29
    .
    2008-02-13 18:20:37 --- E O F ---

    Depuis le premier nettoyage avec combofix hier aprem plus aucun probleme.
    ( aucune alerte d'AV et aucune pub , page web intempestive.)
    0
  19. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    Re,

    Faut t'il supprimer WinClamAVShield ?
    Si il n'est pas actif c'est bon à toi de décider.

    Depuis le premier nettoyage avec combofix hier aprem plus aucun probleme.
    Parfait, bien continuer les procédures du message précédent, la fin est très proche.

    Terminer avec
    ------------------------
    5- ToolsCleaner de A.Rothstein
    Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques

    Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau.
    * Double-clique sur ToolsCleaner2.bat et laisse le travailler
    * Clique sur Recherche et laisse le scan se terminer.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter, pour que le rapport puisse se créer.
    * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)

    ------------------------
    6- Mises à jours pour voir si tu as les dernières versions des Plugs in, Navigateur, Windows, Flash...
    C’est en anglais mais il y a juste 1 ou 2 boutons à cliquer.
    https://www.flexera.com/products/operations/software-vulnerability-management.html
    une petite explication dans ce lien (merci malekal).
    Et bien entendu windows update: http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

    A+
    0
  20. scalp1983
     
    salut
    ça y'est les mises a jours sont faite , le probleme me semble bien résolu .
    Un grand merci Denis , pour ton aide .
    ++
    0
  21. DeNisCoOl Messages postés 2871 Statut Membre 224
     
    scalp,

    Oui c'est quasiment fait.
    As tu fait le scan en ligne Kaspersky, et le reste des étapes également?

    Tu pourras cocher le problème comme résolu en haut du premier message.

    A+
    0
  • 1
  • 2