Sujet Précédent Sujet Suivant

TR/vundo.qc

Résolu/Fermé
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010 - 13 févr. 2008 à 23:06
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 - 23 févr. 2008 à 00:13
Bonsoir,
Depuis prés d'une semaine mon PC est infecté par le virus TR/Vundo.qc.
J'ai tenté de le supprimer avec VundoFix mais sur les 6 fichiers trouvés lors le
scan , 5 ont été supprimé ,le dernier malgrés plusieurs tentatives reste désespérément
actif.En attendant votre aide
merci d'avance

22 réponses

  • 1
  • 2
Réponse 1 / 22
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
14 févr. 2008 à 05:18
scalp,

Bienvenue dans la communauté CCM.

Il existe une option pour forcer la suppression:

* Double-clique VundoFix.exe afin de le lancer.
* Ne clique pas sur le bouton Scan for Vundo mais fais un clic droit dans la fenêtre blanche et clique "Add more files?"
* Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (en haut):

--chemin du dll Vundo identifié--

* Copie/colle le chemin du fichier suivant dans la seconde case (au centre):

--chemin du dll Vundo identifié--

* Clique sur le bouton "Add File(s)"
* Clique sur le bouton "Close Window"
* Clique à nouveau sur "Remove Vundo"
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

Si le fichier est toujours présent, alors:
Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec (pour Vista suivre la même procédure que pour XP).

Si rien n'y fait
---------------------
-Essayez ces 2 autres fix également:

Télécharger Virtumondebegone

Et

puis Symantec Vundo Remove Tool

Démarrez Windows en mode sans échec, ensuite:

Exécutez VirtumundoBeGone.exe téléchargé au préalable
puis Exécutez Symantec Vundo Remove Tool

Renvoyez un log en cas de détection d’un infection Vundo

a+

Denis
0
Réponse 2 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
14 févr. 2008 à 15:13
Merci pour la rapidité de ta réponse David.
J'ai suivi les étapes de ton post mais le virus reste toujours actif , les alertes d'antivir
sont même plus nombreuse (TR/vundo.gen ;TR/vundo.qc;TR/vundo.DRW) et la page
viruseffaceur.com ne cesse de s'ouvrir.
0
Réponse 3 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
14 févr. 2008 à 15:15
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:14:55, on 14/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
0
Réponse 4 / 22
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
15 févr. 2008 à 01:55
salut,


1-Ton rapport HJThis ne montre rien de particulier.
As tu déjà fixé des lignes?
Pour contrer justement les infections vundo, il faut renommer le fichier HJThis:
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
Pour cela, clic droit de souris sur le fichier et choisir renommer dans la liste.
Et écrire par exemple CCM.exe

------------------------
2- Essayes Vundofix en mode sans échec, renvois le rapport ensuite.


------------------------
3- Fait une analyse complète Antivir en mode sans échec également
Puis renvois une copie du rapport d'analyse car le seul nom des trojan ne suffit pas.


------------------------
4- De plus tu n'as pas de parefeu, ça ce n'est pas bon.
Comme pare feu je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI


------------------------
5- Renvoyer un rapport HJthis.


A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
15 févr. 2008 à 05:07
As tu déjà fixé des lignes? NON



VundoFix V6.7.8

Checking Java version...

Scan started at 03:40:01 13/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\cuhkbjdx.dll
C:\WINDOWS\system32\fgofgvyf.dll
C:\WINDOWS\system32\heicqxks.dll
C:\WINDOWS\system32\lkutkrjo.dll
C:\WINDOWS\system32\qtljjoqe.dll
C:\WINDOWS\system32\rfefhopc.dll
C:\WINDOWS\system32\vddtpsdr.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\cuhkbjdx.dll
C:\WINDOWS\system32\cuhkbjdx.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\fgofgvyf.dll
C:\WINDOWS\system32\fgofgvyf.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\heicqxks.dll
C:\WINDOWS\system32\heicqxks.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\lkutkrjo.dll
C:\WINDOWS\system32\lkutkrjo.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qtljjoqe.dll
C:\WINDOWS\system32\qtljjoqe.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\rfefhopc.dll
C:\WINDOWS\system32\rfefhopc.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\vddtpsdr.dll
C:\WINDOWS\system32\vddtpsdr.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Scan started at 15:58:44 13/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\awtrrpn.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Scan started at 18:56:50 13/02/2008

Listing files found while scanning....


VundoFix V6.7.8

Checking Java version...

Scan started at 14:00:04 14/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\gebyx.dll
C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\xybeg.ini2

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\gebyx.dll
C:\WINDOWS\system32\gebyx.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\xybeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\xybeg.ini2
C:\WINDOWS\system32\xybeg.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Scan started at 14:22:02 14/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\gebyx.dll
C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\xybeg.ini2

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\gebyx.dll
C:\WINDOWS\system32\gebyx.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\xybeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\xybeg.ini2
C:\WINDOWS\system32\xybeg.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Scan started at 03:03:42 15/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\jjkmp.ini
C:\WINDOWS\system32\jjkmp.ini2
C:\WINDOWS\system32\pmkjj.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\jjkmp.ini
C:\WINDOWS\system32\jjkmp.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jjkmp.ini2
C:\WINDOWS\system32\jjkmp.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\pmkjj.dll
C:\WINDOWS\system32\pmkjj.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\awtrrpn.dll Could not be deleted.

Performing Repairs to the registry.
Done!
0
Réponse 6 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
15 févr. 2008 à 05:10
AntiVir PersonalEdition Classic
Report file date: vendredi 15 février 2008 03:30

Scanning for 1109165 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: scalp33
Computer name: SCALP33-F95693D

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 19:10:24
ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 08/02/2008 13:19:13
ANTIVIR3.VDF : 7.0.2.139 181760 Bytes 14/02/2008 16:25:14
AVEWIN32.DLL : 7.6.0.65 3240448 Bytes 13/02/2008 00:29:19
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 27/01/2008 19:10:30
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: H:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: vendredi 15 février 2008 03:30

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
14 processes with 14 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!
Boot sector 'G:\'
[NOTE] No virus was found!
Boot sector 'H:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '22' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <ZIK>
Begin scan in 'E:\'
Begin scan in 'F:\'
Begin scan in 'G:\'
Begin scan in 'H:\'


End of the scan: vendredi 15 février 2008 04:49
Used time: 1:18:43 min

The scan has been done completely.

12751 Scanning directories
452536 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
452536 Files not concerned
3842 Archives were scanned
2 Warnings
49 Notes
0
Réponse 7 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
15 févr. 2008 à 05:14
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:12:55, on 15/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 8 / 22
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
16 févr. 2008 à 00:55
salut,

-Effectivement coriace, ces 4 fichiers reviennent:
C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\jjkmp.ini
C:\WINDOWS\system32\jjkmp.ini2
C:\WINDOWS\system32\pmkjj.dll
Dont 1 ancien et 3 nouveaux parmis les différents scan.

As tu effectué le tout, en mode sans échec?

-Le rapport HJThis n'a pas changé mais si tu ne renommes pas le fichier comme je te l'ai demandé on ne verra rien apparaitre de plus dans le rapport ;-)

-Vundofix ne suffit par alors passons avec combofix:
Télécharger Combofix.exe (par sUBs) sur le Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

La traduction du tutorial officiel en français : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Double clique combofix.exe et suivre les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Sélectionner tout le rapport (Ctrl+A), puis Copier (Ctrl+C)/ Coller (Ctrl+V) ce rapport dans la prochaine réponse

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait faire figer l'ordinateur.
Le temps de l'analyse, désactiver Antivir pour éviter des messages intempestifs.

A+
0
Réponse 9 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
16 févr. 2008 à 04:06
Il me semblait pourtant bien avoir renommer le fichier HJThis (clic droit, renommé CCM).
J'ai bien effectué Vundofix et antivir en mode sans echec.
Ok je vais faire ça Lundi et je post le rapport ,encore merci pour ton aide
a+
0
Réponse 10 / 22
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
16 févr. 2008 à 04:46
salut,

On s'entend bien, il faut renommer le fichier lui même pas le raccourci?

Le fichier qui est ici:
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

Tiens moi au courant.

J'attends le rapport combofix

A+
0
Réponse 11 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
19 févr. 2008 à 18:21
ComboFix 08-02-19.2 - scalp33 2008-02-19 18:06:28.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.649 [GMT 1:00]
Endroit: C:\Documents and Settings\scalp33\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\scalp33\Application Data\inst.exe
C:\Documents and Settings\scalp33\Local Settings\Application Data\tsqoutrpcc.dat
C:\Documents and Settings\scalp33\Local Settings\Application Data\tsqoutrpcc_nav.dat
C:\Documents and Settings\scalp33\Local Settings\Application Data\tsqoutrpcc_navps.dat
C:\Program Files\Temporary
C:\WINDOWS\b149.exe
C:\WINDOWS\system32\awtrrpn.dll
C:\WINDOWS\system32\cccacef7_r.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\oqtss.ini
C:\WINDOWS\system32\oqtss.ini2
C:\WINDOWS\system32\rrutv.ini
C:\WINDOWS\system32\rrutv.ini2
C:\WINDOWS\system32\wycdd.ini
C:\WINDOWS\system32\wycdd.ini2
C:\WINDOWS\system32\xycdd.ini
C:\WINDOWS\system32\xycdd.ini2

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-19 to 2008-02-19 ))))))))))))))))))))))))))))))))))))
.

2008-02-15 03:02 . 2008-02-15 03:26 330 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-02-15 02:59 . 2008-02-15 02:59 <REP> d-------- C:\Program Files\Sunbelt Software
2008-02-13 20:34 . 2008-02-13 20:34 <REP> d-------- C:\Documents and Settings\scalp33\Application Data\Grisoft
2008-02-13 20:33 . 2008-02-13 20:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-13 20:33 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-13 15:54 . 2008-02-19 17:38 <REP> d-------- C:\Program Files\CCM
2008-02-13 02:51 . 2008-02-13 02:51 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-13 02:47 . 2008-02-13 02:47 <REP> d-------- C:\csscod
2008-02-05 17:39 . 2008-02-13 00:41 <REP> d-------- C:\Program Files\Norton Security Scan
2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Program Files\Avira
2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-24 15:40 . 2008-01-27 20:38 <REP> d-------- C:\Program Files\Dot1XCfg
2008-01-22 17:46 . 2008-01-22 17:46 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 17:05 --------- d-----w C:\Documents and Settings\scalp33\Application Data\uTorrent
2008-02-19 16:35 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 2
2008-02-19 16:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-02-13 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-13 19:33 --------- d-----w C:\Program Files\WinClamAVShield
2008-02-13 17:49 --------- d-----w C:\Program Files\SlySoft
2008-02-13 17:40 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Lavasoft
2008-02-13 16:01 --------- d-----w C:\Documents and Settings\scalp33\Application Data\OpenOffice.org2
2008-02-12 23:45 --------- d-----w C:\Program Files\eMule
2008-02-12 17:13 --------- d-----w C:\Documents and Settings\scalp33\Application Data\ma-config.com
2008-02-11 15:47 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-11 15:26 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-10 20:26 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Vso
2008-02-07 19:30 --------- d-----w C:\Program Files\Incomplete
2008-02-07 19:25 --------- d-----w C:\Program Files\BitTorrent
2008-02-05 23:21 --------- d-----w C:\Documents and Settings\scalp33\Application Data\LimeWire
2008-02-05 23:14 --------- d-----w C:\Program Files\LimeWire
2008-02-05 16:35 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-01-31 01:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-30 14:44 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Microgaming
2008-01-18 01:20 --------- d-----w C:\Documents and Settings\scalp33\Application Data\dvdcss
2008-01-17 21:02 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Search Settings
2008-01-17 18:51 --------- d-----w C:\Program Files\Search Settings
2008-01-16 00:45 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Talkback
2008-01-16 00:03 --------- d-----w C:\Program Files\iTunes
2008-01-16 00:00 --------- d-----w C:\Program Files\iPod
2008-01-15 23:56 --------- d-----w C:\Program Files\QuickTime
2008-01-15 21:13 --------- d-----w C:\Program Files\adslTV
2008-01-14 19:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DNA
2008-01-14 16:08 --------- d-----w C:\Program Files\TuneUp Utilities 2007
2008-01-13 19:53 --------- d-----w C:\Documents and Settings\scalp33\Application Data\SopCast
2008-01-13 01:10 1,357,286 ----a-w C:\Program Files\temp3.exe
2008-01-13 01:10 1,357,253 ----a-w C:\Program Files\temp2.exe
2008-01-11 21:14 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Screenshot Sender
2008-01-03 15:20 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DAEMON Tools
2008-01-03 15:15 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-02 22:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\PCF-VLC
2007-12-30 23:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Locktime
2007-12-30 23:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Locktime
2007-12-30 13:42 --------- d-----w C:\Program Files\Nexus Radio
2007-12-29 17:16 --------- d-----w C:\Program Files\Azureus
2007-12-29 17:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Participatory Culture Foundation
2007-12-27 19:10 20,765,141 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_12_27_19_14_52_full.dmp.zip
2007-12-26 22:41 --------- d-----w C:\Program Files\neuf_VOD
2007-12-23 18:47 --------- d-----w C:\Program Files\JPrintCover
2007-12-23 18:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\.jprintcover
2007-12-23 18:05 --------- d-----w C:\Program Files\DVDCoverPrint
2007-12-23 17:18 --------- d-----w C:\Program Files\VSO
2007-12-22 22:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-12-22 14:20 --------- d-----w C:\Program Files\ma-config.com
2007-12-21 19:12 --------- d-----w C:\Program Files\Neuf
2007-12-19 17:14 --------- d-----w C:\Program Files\MSN Messenger
2007-12-19 17:14 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-05 23:23 47,360 ----a-w C:\Documents and Settings\scalp33\Application Data\pcouffin.sys
2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
2007-12-03 00:50 680 ----a-w C:\Program Files\mpc2.reg
2007-12-03 00:50 596 ----a-w C:\Program Files\mpc1.reg
2007-12-03 00:50 34,706 ----a-w C:\Program Files\ffdssetts.reg
2007-12-03 00:50 338 ----a-w C:\Program Files\mpc4.reg
2007-12-03 00:50 31,030 ----a-w C:\Program Files\ffdsvsetts.reg
2007-12-03 00:50 3,476 ----a-w C:\Program Files\mpc7.reg
2007-12-03 00:50 3,026 ----a-w C:\Program Files\mpc3.reg
2007-12-03 00:50 18,156 ----a-w C:\Program Files\mpc6.reg
2007-12-03 00:50 16,284 ----a-w C:\Program Files\mpc5.reg
2007-12-03 00:50 1,172 ----a-w C:\Program Files\ffdsasetts.reg
2007-11-23 00:15 4,704 ----a-w C:\Program Files\satsukidecodersettings.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
2007-12-06 11:58 1198432 --a------ C:\Program Files\Search Settings\kb125\SearchSettings.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8648639-A102-4D2C-BA19-E254F293EB21}]
C:\WINDOWS\system32\pmkjj.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-27 20:10 249896]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
"AnyDVD"=h:\films\utorrent\anydvd-hd.6.3.0.3\andv6.3.0.3\cracked\anydvd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"Alcmtr"=ALCMTR.EXE
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
"JMB36X Configure"=C:\WINDOWS\system32\JMRaidTool.exe boot
"RTHDCPL"=RTHDCPL.EXE
"Launch Ai Booster"="C:\Program Files\ASUS\Ai Booster\OverClk.exe"
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"SearchSettings"=C:\Program Files\Search Settings\SearchSettings.exe
"NeroCheck"=C:\WINDOWS\system32\\NeroCheck.exe
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0/u00.fcl [2007-09-19 21:37]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 10:35]
S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2007-12-13 04:40]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\autorun_PES2008.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28ddc7d0-227a-11dc-b85e-0007cb0000ff}]
\Shell\AutoRun\command - K:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc4d15e9-a34d-11dc-b920-0015af0694d8}]
\Shell\AutoRun\command - K:\PortableVault.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f92c9d2d-ba0e-11dc-91ae-0015af0694d8}]
\Shell\AutoRun\command - K:\Autorun.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-09 13:17:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-02-15 17:34:07 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-02-15 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Program Files\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 18:12:14
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-19 18:14:27 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-19 17:14:21
.
2008-02-13 18:20:37 --- E O F ---
0
Réponse 12 / 22
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
20 févr. 2008 à 06:17
salut scalp,

Combofix a fait beaucoup de ménage.

Pour continuer
------------------------------
Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes d'un seul bloc :


Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F8648639-A102-4D2C-BA19-E254F293EB21}]

File::
C:\WINDOWS\system32\pmkjj.dll
C:\WINDOWS\system32\jjkmp.ini
C:\WINDOWS\system32\jjkmp.ini2
C:\Program Files\temp3.exe
C:\Program Files\temp2.exe

Driver::
LEGACY_DOMAINSERVICE


Enregistre ce fichier sous le nom CFScript

*Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme montré sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
*Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
*Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.
*Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.

*Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt


Repasser Vundofix pour voir si il trouve encore d'autre .dll



Ensuite
---------------------
Le fichier ci-dessous doit être à l’origine d’un détournement de la page de recherche:
C:\Program Files\Search Settings\SearchSettings.exe

Pour l’enlever
Aller dans le menu Démarrer / Tous les programmes / Accessoires / Outils système
Cliquer sur Internet explorer (sans module complémentaire ou Aucun module complémentaire)
IE va s’ouvrir sans les module complémentaires.
Aller dans le menu Outils, puis dans Gérer les modules complémentaires, et enlever SearchSettings.

Cela devrait être suffisant.

Renvoyer un rapport HJThis.


---------------------
Répertoire C:\Program Files\WinClamAVShield, AV Actif ou juste les traces de WinClamAVShield?


Je ne fais pas parti de la police mais la liste des programmes ci-dessous est non seulement à prohiber pour des raisons évidentes de copyright.
C:\Documents and Settings\scalp33\Application Data\uTorrent
C:\Program Files\eMule
C:\Program Files\BitTorrent
C:\Program Files\LimeWire

Mais en ce qui nous concerne, les échanges p2p = plein 2 problème… de sécurité. Car les fichiers trouvés ne sont jamais garantis 100% sure.
En attendant la fin de la désinfection je vous demanderais donc d’arrêter de les utiliser, merci.


A+
0
Réponse 13 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
20 févr. 2008 à 15:46
ComboFix 08-02-19.2 - scalp33 2008-02-20 15:07:49.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.574 [GMT 1:00]
Endroit: C:\Documents and Settings\scalp33\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\scalp33\Bureau\CFScript.txt
* Création d'un nouveau point de restauration


FILE ::
C:\Program Files\temp2.exe
C:\Program Files\temp3.exe
C:\WINDOWS\system32\jjkmp.ini
C:\WINDOWS\system32\jjkmp.ini2
C:\WINDOWS\system32\pmkjj.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\temp2.exe
C:\Program Files\temp3.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-20 to 2008-02-20 ))))))))))))))))))))))))))))))))))))
.

2008-02-15 03:02 . 2008-02-15 03:26 330 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-02-15 02:59 . 2008-02-15 02:59 <REP> d-------- C:\Program Files\Sunbelt Software
2008-02-13 20:34 . 2008-02-13 20:34 <REP> d-------- C:\Documents and Settings\scalp33\Application Data\Grisoft
2008-02-13 20:33 . 2008-02-13 20:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-13 20:33 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-13 15:54 . 2008-02-19 17:38 <REP> d-------- C:\Program Files\CCM
2008-02-13 02:51 . 2008-02-13 02:51 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-13 02:47 . 2008-02-13 02:47 <REP> d-------- C:\csscod
2008-02-05 17:39 . 2008-02-13 00:41 <REP> d-------- C:\Program Files\Norton Security Scan
2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Program Files\Avira
2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-24 15:40 . 2008-01-27 20:38 <REP> d-------- C:\Program Files\Dot1XCfg
2008-01-22 17:46 . 2008-01-22 17:46 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-20 14:05 --------- d-----w C:\Documents and Settings\scalp33\Application Data\uTorrent
2008-02-20 14:04 --------- d-----w C:\Program Files\Azureus
2008-02-20 13:45 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 2
2008-02-20 01:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\dvdcss
2008-02-19 16:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-02-13 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-13 19:33 --------- d-----w C:\Program Files\WinClamAVShield
2008-02-13 17:49 --------- d-----w C:\Program Files\SlySoft
2008-02-13 17:40 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Lavasoft
2008-02-13 16:01 --------- d-----w C:\Documents and Settings\scalp33\Application Data\OpenOffice.org2
2008-02-12 23:45 --------- d-----w C:\Program Files\eMule
2008-02-12 17:13 --------- d-----w C:\Documents and Settings\scalp33\Application Data\ma-config.com
2008-02-11 15:47 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-11 15:26 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-10 20:26 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Vso
2008-02-07 19:30 --------- d-----w C:\Program Files\Incomplete
2008-02-07 19:25 --------- d-----w C:\Program Files\BitTorrent
2008-02-05 23:21 --------- d-----w C:\Documents and Settings\scalp33\Application Data\LimeWire
2008-02-05 23:14 --------- d-----w C:\Program Files\LimeWire
2008-02-05 16:35 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-01-31 01:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-30 14:44 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Microgaming
2008-01-17 21:02 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Search Settings
2008-01-17 18:51 --------- d-----w C:\Program Files\Search Settings
2008-01-16 00:45 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Talkback
2008-01-16 00:03 --------- d-----w C:\Program Files\iTunes
2008-01-16 00:00 --------- d-----w C:\Program Files\iPod
2008-01-15 23:56 --------- d-----w C:\Program Files\QuickTime
2008-01-15 21:13 --------- d-----w C:\Program Files\adslTV
2008-01-14 19:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DNA
2008-01-14 16:08 --------- d-----w C:\Program Files\TuneUp Utilities 2007
2008-01-13 19:53 --------- d-----w C:\Documents and Settings\scalp33\Application Data\SopCast
2008-01-11 21:14 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Screenshot Sender
2008-01-03 15:20 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DAEMON Tools
2008-01-03 15:15 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-02 22:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\PCF-VLC
2007-12-30 23:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Locktime
2007-12-30 23:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Locktime
2007-12-30 13:42 --------- d-----w C:\Program Files\Nexus Radio
2007-12-29 17:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Participatory Culture Foundation
2007-12-27 19:10 20,765,141 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_12_27_19_14_52_full.dmp.zip
2007-12-26 22:41 --------- d-----w C:\Program Files\neuf_VOD
2007-12-23 18:47 --------- d-----w C:\Program Files\JPrintCover
2007-12-23 18:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\.jprintcover
2007-12-23 18:05 --------- d-----w C:\Program Files\DVDCoverPrint
2007-12-23 17:18 --------- d-----w C:\Program Files\VSO
2007-12-22 22:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-12-22 14:20 --------- d-----w C:\Program Files\ma-config.com
2007-12-21 19:12 --------- d-----w C:\Program Files\Neuf
2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-05 23:23 47,360 ----a-w C:\Documents and Settings\scalp33\Application Data\pcouffin.sys
2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
2007-12-03 00:50 680 ----a-w C:\Program Files\mpc2.reg
2007-12-03 00:50 596 ----a-w C:\Program Files\mpc1.reg
2007-12-03 00:50 34,706 ----a-w C:\Program Files\ffdssetts.reg
2007-12-03 00:50 338 ----a-w C:\Program Files\mpc4.reg
2007-12-03 00:50 31,030 ----a-w C:\Program Files\ffdsvsetts.reg
2007-12-03 00:50 3,476 ----a-w C:\Program Files\mpc7.reg
2007-12-03 00:50 3,026 ----a-w C:\Program Files\mpc3.reg
2007-12-03 00:50 18,156 ----a-w C:\Program Files\mpc6.reg
2007-12-03 00:50 16,284 ----a-w C:\Program Files\mpc5.reg
2007-12-03 00:50 1,172 ----a-w C:\Program Files\ffdsasetts.reg
2007-11-23 00:15 4,704 ----a-w C:\Program Files\satsukidecodersettings.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-27 20:10 249896]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
"AnyDVD"=h:\films\utorrent\anydvd-hd.6.3.0.3\andv6.3.0.3\cracked\anydvd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"Alcmtr"=ALCMTR.EXE
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
"JMB36X Configure"=C:\WINDOWS\system32\JMRaidTool.exe boot
"RTHDCPL"=RTHDCPL.EXE
"Launch Ai Booster"="C:\Program Files\ASUS\Ai Booster\OverClk.exe"
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"SearchSettings"=C:\Program Files\Search Settings\SearchSettings.exe
"NeroCheck"=C:\WINDOWS\system32\\NeroCheck.exe
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0/u00.fcl [2007-09-19 21:37]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 10:35]
S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2007-12-13 04:40]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\autorun_PES2008.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28ddc7d0-227a-11dc-b85e-0007cb0000ff}]
\Shell\AutoRun\command - K:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc4d15e9-a34d-11dc-b920-0015af0694d8}]
\Shell\AutoRun\command - K:\PortableVault.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f92c9d2d-ba0e-11dc-91ae-0015af0694d8}]
\Shell\AutoRun\command - K:\Autorun.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-09 13:17:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-02-15 17:34:07 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-02-15 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Program Files\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-20 15:10:46
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-20 15:11:59
ComboFix-quarantined-files.txt 2008-02-20 14:11:54
ComboFix2.txt 2008-02-19 17:14:29
.
2008-02-13 18:20:37 --- E O F ---
0
Réponse 14 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
20 févr. 2008 à 16:06
Salut
J'ai refait un test avec Vundofix il ne detecte aucun .dll .
Pour SearchSettings, j'ai bien cliquer sur IE sans module complémentaire
mais l'entrée Gérer les modules complémentaires est grisé.

Répertoire C:\Program Files\WinClamAVShield ,AV était inactif
j'avais installé Spyware Terminator (auj. désinstallé ).
Faut t'il supprimer WinClamAVShield ?

je post le rapport HJThis.

A+
0
Réponse 15 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
20 févr. 2008 à 16:20
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:30, on 20/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox 3 Beta 2\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\ccm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 16 / 22
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
21 févr. 2008 à 01:29
Salut scalp,

Pour enlever Search Settings:
------------------------------
Recommencer la procédure CFScript avec les répertoires ci dessous.
Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :


Folder::
C:\Program Files\Search Settings\
C:\Documents and Settings\scalp33\Application Data\Search Settings


Enregistre ce fichier sous le nom CFScript

*Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
*Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
*Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.
*Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.

*Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt

Ou en sont les symptômes?

Ensuite pour terminer le nettoyage:


------------------------
1- Cliquer sur Spywareblaster pour le télécharger
Après l’installation et la configuration, il suffit de faire les mises à jour il s’occupe du reste (Incompatible Vista).
Le tutorial très complet ICI (merci à 01net.com)


------------------------
2- Cliquer CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.

Pendant l'installation si vous avez déjà une barre de recherche, alors décocher l'ajout de la barre yahoo.
Son tutorial ICI
Une fois installé, aller dans Options/Propriétés/ Effacement sécurisé du fichier (lent) Type NSA (7 Passages).
Ensuite dans Options/Avancés, décocher : effacer uniquement les fichiers du répertoires temp de Windows de plus vieux que 48h.
Bouton Nettoyer, cliquer sur Analyse laisser travailler cela peut être très long ensuite cliquer sur Lancer le nettoyage.
Ensuite sur le bouton Registre répéter 2 fois les étapes suivantes:
Chercher les erreurs- Réparer les erreurs sélectionnées
Ne pas oublier de sauvegarder au cas où il supprimerait une mauvaise clef (peu probable).
À effacer ensuite s’il n’y a pas de problème par la suite.


------------------------
3- Cliquer sur Ad-aware2007
Un très bon complément entre Spybot et CCleaner.
Nouvelle version en français, (appuyer sur gratuit quand il demande les numéros de série pour avoir la version gratuite).
La première fois, appuyer sur le bouton mise à jour il va demander si vous voulez exécuter la mise à jour confirmer en cliquant Oui.
Ensuite appuyer sur Lancer l’analyse et la première fois, cocher analyse complète et appuyer sur scan (la fois suivante, cocher analyse astucieuse, il fera une analyse des zones principales).
Cliquer sur les 2 onglets Objets Critiques et Privés , cocher les objets trouvés et cliquer sur Supprimer ou sur Quarantaine en cas de doute.


------------------------
4- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
Kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Utile à rajouter dans ses favoris)


A+
0
Réponse 17 / 22
scalp1983 Messages postés 16 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 8 août 2010
21 févr. 2008 à 02:44
ComboFix 08-02-19.2 - scalp33 2008-02-21 2:32:18.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.677 [GMT 1:00]
Endroit: C:\Documents and Settings\scalp33\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\scalp33\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\scalp33\Application Data\Search Settings
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\ErrorPageTemplate.css
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\help.gif
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\pixel.gif
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\tab_icon.png
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\tabdata.js
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\tablib.js
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\tabwelcome_en.html
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\toolbar_background.gif
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\vista_directions.png
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\xp_directions.png
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\res\yahoo_search.gif
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\temp\ws-13928.log
C:\Documents and Settings\scalp33\Application Data\Search Settings\kb125\temp\ws-13929.log
C:\Program Files\Search Settings\
C:\Program Files\Search Settings\\kb125\res\ErrorPageTemplate.css
C:\Program Files\Search Settings\\kb125\res\help.gif
C:\Program Files\Search Settings\\kb125\res\pixel.gif
C:\Program Files\Search Settings\\kb125\res\tab_icon.png
C:\Program Files\Search Settings\\kb125\res\tabdata.js
C:\Program Files\Search Settings\\kb125\res\tablib.js
C:\Program Files\Search Settings\\kb125\res\tabwelcome_en.html
C:\Program Files\Search Settings\\kb125\res\toolbar_background.gif
C:\Program Files\Search Settings\\kb125\res\vista_directions.png
C:\Program Files\Search Settings\\kb125\res\xp_directions.png
C:\Program Files\Search Settings\\kb125\res\yahoo_search.gif
C:\Program Files\Search Settings\\kb125\SearchSettings.dll
C:\Program Files\Search Settings\\SearchSettings.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-21 to 2008-02-21 ))))))))))))))))))))))))))))))))))))
.

2008-02-20 18:27 . 2008-02-20 18:32 <REP> d-------- C:\Program Files\GF38_Immersive_Stadium
2008-02-20 15:27 . 2008-02-20 15:27 <REP> d-------- C:\VundoFix Backups
2008-02-15 03:02 . 2008-02-20 20:30 850 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-02-15 02:59 . 2008-02-15 02:59 <REP> d-------- C:\Program Files\Sunbelt Software
2008-02-13 20:34 . 2008-02-13 20:34 <REP> d-------- C:\Documents and Settings\scalp33\Application Data\Grisoft
2008-02-13 20:33 . 2008-02-13 20:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-13 20:33 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-13 15:54 . 2008-02-19 17:38 <REP> d-------- C:\Program Files\CCM
2008-02-13 02:51 . 2008-02-13 02:51 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-13 02:47 . 2008-02-13 02:47 <REP> d-------- C:\csscod
2008-02-05 17:39 . 2008-02-13 00:41 <REP> d-------- C:\Program Files\Norton Security Scan
2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Program Files\Avira
2008-01-27 19:42 . 2008-01-27 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-24 15:40 . 2008-01-27 20:38 <REP> d-------- C:\Program Files\Dot1XCfg
2008-01-22 17:46 . 2008-01-22 17:46 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-21 01:31 --------- d-----w C:\Documents and Settings\scalp33\Application Data\uTorrent
2008-02-21 01:20 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 2
2008-02-20 17:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-02-20 14:59 --------- d-----w C:\Program Files\LimeWire
2008-02-20 14:44 --------- d-----w C:\Program Files\Incomplete
2008-02-20 14:04 --------- d-----w C:\Program Files\Azureus
2008-02-20 01:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\dvdcss
2008-02-13 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-13 19:33 --------- d-----w C:\Program Files\WinClamAVShield
2008-02-13 17:49 --------- d-----w C:\Program Files\SlySoft
2008-02-13 17:40 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Lavasoft
2008-02-13 16:01 --------- d-----w C:\Documents and Settings\scalp33\Application Data\OpenOffice.org2
2008-02-12 23:45 --------- d-----w C:\Program Files\eMule
2008-02-12 17:13 --------- d-----w C:\Documents and Settings\scalp33\Application Data\ma-config.com
2008-02-11 15:47 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-11 15:26 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-10 20:26 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Vso
2008-02-05 23:21 --------- d-----w C:\Documents and Settings\scalp33\Application Data\LimeWire
2008-02-05 16:35 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-01-31 01:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-30 14:44 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Microgaming
2008-01-16 00:45 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Talkback
2008-01-16 00:03 --------- d-----w C:\Program Files\iTunes
2008-01-16 00:00 --------- d-----w C:\Program Files\iPod
2008-01-15 23:56 --------- d-----w C:\Program Files\QuickTime
2008-01-15 21:13 --------- d-----w C:\Program Files\adslTV
2008-01-14 19:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DNA
2008-01-14 16:08 --------- d-----w C:\Program Files\TuneUp Utilities 2007
2008-01-13 19:53 --------- d-----w C:\Documents and Settings\scalp33\Application Data\SopCast
2008-01-11 21:14 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Screenshot Sender
2008-01-03 15:20 --------- d-----w C:\Documents and Settings\scalp33\Application Data\DAEMON Tools
2008-01-03 15:15 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-02 22:35 --------- d-----w C:\Documents and Settings\scalp33\Application Data\PCF-VLC
2007-12-30 23:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Locktime
2007-12-30 23:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Locktime
2007-12-30 13:42 --------- d-----w C:\Program Files\Nexus Radio
2007-12-29 17:09 --------- d-----w C:\Documents and Settings\scalp33\Application Data\Participatory Culture Foundation
2007-12-27 19:10 20,765,141 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_12_27_19_14_52_full.dmp.zip
2007-12-26 22:41 --------- d-----w C:\Program Files\neuf_VOD
2007-12-23 18:47 --------- d-----w C:\Program Files\JPrintCover
2007-12-23 18:08 --------- d-----w C:\Documents and Settings\scalp33\Application Data\.jprintcover
2007-12-23 18:05 --------- d-----w C:\Program Files\DVDCoverPrint
2007-12-23 17:18 --------- d-----w C:\Program Files\VSO
2007-12-22 22:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-12-22 14:20 --------- d-----w C:\Program Files\ma-config.com
2007-12-21 19:12 --------- d-----w C:\Program Files\Neuf
2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-05 23:23 47,360 ----a-w C:\Documents and Settings\scalp33\Application Data\pcouffin.sys
2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
2007-12-03 00:50 680 ----a-w C:\Program Files\mpc2.reg
2007-12-03 00:50 596 ----a-w C:\Program Files\mpc1.reg
2007-12-03 00:50 34,706 ----a-w C:\Program Files\ffdssetts.reg
2007-12-03 00:50 338 ----a-w C:\Program Files\mpc4.reg
2007-12-03 00:50 31,030 ----a-w C:\Program Files\ffdsvsetts.reg
2007-12-03 00:50 3,476 ----a-w C:\Program Files\mpc7.reg
2007-12-03 00:50 3,026 ----a-w C:\Program Files\mpc3.reg
2007-12-03 00:50 18,156 ----a-w C:\Program Files\mpc6.reg
2007-12-03 00:50 16,284 ----a-w C:\Program Files\mpc5.reg
2007-12-03 00:50 1,172 ----a-w C:\Program Files\ffdsasetts.reg
2007-11-23 00:15 4,704 ----a-w C:\Program Files\satsukidecodersettings.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-27 20:10 249896]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
"AnyDVD"=h:\films\utorrent\anydvd-hd.6.3.0.3\andv6.3.0.3\cracked\anydvd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"Alcmtr"=ALCMTR.EXE
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
"JMB36X Configure"=C:\WINDOWS\system32\JMRaidTool.exe boot
"RTHDCPL"=RTHDCPL.EXE
"Launch Ai Booster"="C:\Program Files\ASUS\Ai Booster\OverClk.exe"
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"SearchSettings"=C:\Program Files\Search Settings\SearchSettings.exe
"NeroCheck"=C:\WINDOWS\system32\\NeroCheck.exe
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0/u00.fcl [2007-09-19 21:37]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 10:35]
S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2007-12-13 04:40]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\autorun_PES2008.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28ddc7d0-227a-11dc-b85e-0007cb0000ff}]
\Shell\AutoRun\command - K:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc4d15e9-a34d-11dc-b920-0015af0694d8}]
\Shell\AutoRun\command - K:\PortableVault.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f92c9d2d-ba0e-11dc-91ae-0015af0694d8}]
\Shell\AutoRun\command - K:\Autorun.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-09 13:17:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-02-15 17:34:07 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-02-15 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Program Files\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-21 02:35:31
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-21 2:36:43
ComboFix-quarantined-files.txt 2008-02-21 01:36:38
ComboFix2.txt 2008-02-20 14:12:00
ComboFix3.txt 2008-02-19 17:14:29
.
2008-02-13 18:20:37 --- E O F ---

Depuis le premier nettoyage avec combofix hier aprem plus aucun probleme.
( aucune alerte d'AV et aucune pub , page web intempestive.)
0
Réponse 18 / 22
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
21 févr. 2008 à 02:56
Re,

Faut t'il supprimer WinClamAVShield ?
Si il n'est pas actif c'est bon à toi de décider.


Depuis le premier nettoyage avec combofix hier aprem plus aucun probleme.
Parfait, bien continuer les procédures du message précédent, la fin est très proche.


Terminer avec
------------------------
5- ToolsCleaner de A.Rothstein
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau.
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)


------------------------
6- Mises à jours pour voir si tu as les dernières versions des Plugs in, Navigateur, Windows, Flash...
C’est en anglais mais il y a juste 1 ou 2 boutons à cliquer.
https://www.flexera.com/products/operations/software-vulnerability-management.html
une petite explication dans ce lien (merci malekal).
Et bien entendu windows update: http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr


A+
0
Réponse 19 / 22
scalp1983
21 févr. 2008 à 14:05
salut
ça y'est les mises a jours sont faite , le probleme me semble bien résolu .
Un grand merci Denis , pour ton aide .
++
0
Réponse 20 / 22
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
22 févr. 2008 à 01:35
scalp,

Oui c'est quasiment fait.
As tu fait le scan en ligne Kaspersky, et le reste des étapes également?

Tu pourras cocher le problème comme résolu en haut du premier message.

A+
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Casque sans fil senheiser TR 120
Thiet78 -
baladur13 -

2 réponses
"Bip-bip" intempestif dans mon casque Sennheiser RR 4200"
Pierre -
baladur13 -

1 réponse