les fenetres de pub qui s'ovrent toutes seule Fermé

Question

Bonjour,
j'ai un petit problème, mais qui devient très vite rageant
dès que j'ouvre mon navigateur (IE ou FireFox) des fenêtres s'ouvrent toutes seules en disant qu'il y a des virus et des spywares sur mon PC. J'ai lu dans un forum qu'un certain WebMediaPlayer était derrière tout ça, et maintenant que j'y pense, cela a commencé quelques jours après l'avoir téléchargé. j'ai voulu réparer ça en me basant sur les réponses qu'on donné vos spécialistes à certains internautes, mais ils ont recommandé de ne pas le faire tout seul sans l'avis de l'un d'entre eux.
voici le log file de HiJackThis 
MERCI pour ceux qui m'auront aidé


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:30, on 28/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Fichiers communs\LibreSystem\strpmon.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Program Files\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 41.205.205.187:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\LibreSystem\strpmon.exe" dm=http://ww25.libresystem.com/ ad=http://ww25.libresystem.com/ sd=http://ww25.repay.libresystem.com/
O4 - HKLM\..\Run: [8016ab84] rundll32.exe "C:\WINDOWS\system32	xoilxcr.dll",b
O4 - HKLM\..\Run: [BM83259818] Rundll32.exe "C:\WINDOWS\system32\cffruehj.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - https://track.vcdc.com/proceed.php?domain=dlv4.com&hash=ef4289cab3b86918ace7ae13e577a00c&u=eyJkb21haW4iOiJkbHY0LmNvbSIsImRvbWFpbl9pZCI6IjI1NTQ1NTUiLCJmb2xkZXJfaWQiOm51bGwsIm1pZCI6IjE1MSIsImZpbHRlcl9pZCI6bnVsbCwiYWR2ZXJ0aXNlcl9pZCI6IjgiLCJ0YXJnZXQiOiJodHRwOlwvXC9tZWxhbnRoaW9zLWFuYS5jb21cL3pjdmlzaXRvclwvNDkyYmIyODItMzYzMS0xMWViLWFhMmItMTI3YTY0ZGFkZTE3XC82MDE5MTczYi02NzVlLTQ4NTItOThmNC1kNGY0N2VkYmI5NzI/Y2FtcGFpZ25pZD00N2Y4Mzc2MC1mMTE4LTExZWEtOWJjOC0wYWMyYmJmNGFkYTciLCJpcF9hZGRyZXNzIjoiOTEuMjA5LjM1LjIxOCIsInR5cGUiOiJqYXZhX3JlZGlyZWN0IiwiYmlkIjoiMC4wMDU1MiJ9
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7C182-8CD9-4C08-A2CB-B041E85CA167}: NameServer = 213.140.34.65 213.140.34.139
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: .NET Runtime Optimization Service v2.0.50215_X86 (clr_optimization_v2.0.50215_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50215\mscorsvw.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

g!rly · Answer

Salut

fais ceci :

Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt)

et

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+

spencer · Answer

salut,
merci d'avoir répondu à mon message
j'ai un petit souci avec FixWareout, dès que je commence le scan il y a un message qui dit :"you need administrative privileges to run this tool"

g!rly · Answer

re,

essaie comme ca :

clic droit -> "éxécuter en tant que..." -> administrateur...

spencer · Answer

ça marche toujours pas

g!rly · Answer

Re,

passes combofix on reviendra sur wareout plus tard

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Post egalement un nouveau hijack this dans ta reponse.

@+

spencer · Answer

re, eh bien, je sens déjà la différence, mon PC a regagné de la vitesse. Merci beaucoup le log de combofix: ComboFix 08-02-25.3 - Administrateur 2008-02-29 0:33:14.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.66 [GMT 0:00] Endroit: C:\Documents and Settings\Administrateur.IND_PC\Mes documents\Downloads\Programs\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\Documents and Settings\Administrateur.IND_PC\Local Settings\Application Data\yqyqcbqjw.dat c:\documents and settings\administrateur.ind_pc\local settings\application data\yqyqcbqjw.exe C:\Documents and Settings\Administrateur.IND_PC\Local Settings\Application Data\yqyqcbqjw_nav.dat c:\Documents and Settings\Administrateur.IND_PC\Local Settings\Application Data\yqyqcbqjw_navps.dat C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Conditions générales.url C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Confidentialité.url C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Désinstaller.lnk C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Website.url C:\Program Files\instant access C:\Program Files\instant access\Center\Crazy Girls.upd C:\Program Files\instant access\Dialer\234531774\Crazy Girls.lnk C:\Program Files\instant access\Dialer\234531774\fp.pc-on-internet.com\50253\images\background.gif C:\Program Files\instant access\Dialer\234531774\fp.pc-on-internet.com\50253\images\FR\index_01.jpg C:\Program Files\instant access\Dialer\234531774\fp.pc-on-internet.com\50253\images\FR\index_02.jpg C:\Program Files\instant access\Dialer\234531774\fp.pc-on-internet.com\50253\images\FR\index_03.jpg C:\Program Files\instant access\Dialer\234531774\fp.pc-on-internet.com\77fe9c8d9baeadcc47d4aeae71dddf9c.html C:\Program Files\instant access\Dialer\234531774\fp.pc-on-internet.com\77fe9c8d9baeadcc47d4aeae71dddf9c.html_0.loginvis C:\Program Files\instant access\Dialer\234531774\us2-external-api.dlv4.com\js\e1156a31c3833b6685b39f6146fe326b C:\Program Files\instant access\Dialer\234531774\us2-www.0texkax7c6hzuidk.com\Common\543a710508d829275da10b92d6215d30.html C:\Program Files\instant access\Dialer\234531774\us2-www.0texkax7c6hzuidk.com\custom\4239\FR\button1.gif C:\Program Files\instant access\Dialer\234531774\us2-www.0texkax7c6hzuidk.com\custom\4239\FR\button2.gif C:\Program Files\instant access\Dialer\234531774\us2-www.0texkax7c6hzuidk.com\custom\4239\FR\button3.gif C:\Program Files\instant access\Dialer\234531774\us2-www.0texkax7c6hzuidk.com\custom\4239\FR\button4.gif C:\Program Files\instant access\Dialer\876285603\Crazy Girls.lnk C:\Program Files\instant access\Dialer\876285603\fp.gad-network.com\2c2b5adccb236643ca2ab6b2d8402f5e.html C:\Program Files\instant access\Dialer\876285603\fp.gad-network.com\2c2b5adccb236643ca2ab6b2d8402f5e.html_0.loginvis C:\Program Files\instant access\Dialer\876285603\fp.gad-network.com\50252\images\FR\index_01.gif C:\Program Files\instant access\Dialer\876285603\fp.gad-network.com\50252\images\FR\index_02.gif C:\Program Files\instant access\Dialer\876285603\fp.gad-network.com\50252\images\index_03.jpg C:\Program Files\instant access\Dialer\876285603\fp.gad-network.com\50252\images\index_05.gif C:\Program Files\instant access\Dialer\876285603\fp.gad-network.com\50252\images\index_06.jpg C:\Program Files\instant access\Dialer\876285603\us2-external-api.dlv4.com\js\3aa8c319e2fdc790c56df518f7ff1baf C:\Program Files\instant access\Dialer\876285603\us2-www.0texkax7c6hzuidk.com\Common\f81dfc88127d516fe29eddcdc65859bd.html C:\WINDOWS\cookies.ini C:\WINDOWS\system32\amvo.exe C:\WINDOWS\system32\amvo0.dll C:\WINDOWS\system32\auxbuhji.ini C:\WINDOWS\system32\benfqtsr.dll C:\WINDOWS\system32\bmmnfndk.dll C:\WINDOWS\system32\bstjvclf.ini C:\WINDOWS\system32\cffruehj.dll C:\WINDOWS\system32\dnpoptrn.dll C:\WINDOWS\system32\drullkam.ini C:\WINDOWS\system32\dyegtvlx.dll C:\WINDOWS\system32\ecliiyxd.dll C:\WINDOWS\system32\efoutdfe.dll C:\WINDOWS\system32\fbfnpgeo.dll C:\WINDOWS\system32\gbqxesnr.ini C:\WINDOWS\system32\hepamgvm.dll C:\WINDOWS\system32\hliuthkn.dll C:\WINDOWS\system32\kcemtjsx.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32 eqrvjnq.ini C:\WINDOWS\system32 orqr.ini C:\WINDOWS\system32 orqr.ini2 C:\WINDOWS\system32 vs2.inf C:\WINDOWS\system32\oclvdcsg.ini C:\WINDOWS\system32\oehxppvf.dll C:\WINDOWS\system32\opnnkii.dll C:\WINDOWS\system32\pboypccd.ini C:\WINDOWS\system32\pgimndyr.dll C:\WINDOWS\system32\pskill.exe C:\WINDOWS\system32\qmqnosfn.ini C:\WINDOWS\system32\qpcqgiww.ini C:\WINDOWS\system32 cxlioxt.ini C:\WINDOWS\system32 qron.dll C:\WINDOWS\system32 qrqnkl.dll C:\WINDOWS\system32 shvchpu.dll C:\WINDOWS\system32\sokgiplr.ini C:\WINDOWS\system32 xoilxcr.dll C:\WINDOWS\system32\udjhhycj.dll C:\WINDOWS\system32\vbtpenyo.dll C:\WINDOWS\system32\wcqhohfa.ini C:\WINDOWS\system32\wwigqcpq.dll C:\WINDOWS\system32\xbllkoiy.dll C:\WINDOWS\system32\yaviiehx.ini C:\WINDOWS\system32\yayxxvs.dll C:\WINDOWS\system32\ygxaipvw.dll C:\WINDOWS\system32\ymkylpas.ini C:\WINDOWS\system32\yuyylddf.ini . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-28 to 2008-02-29 )))))))))))))))))))))))))))))))))))) . 2008-02-29 00:04 . 2008-02-29 00:20 d-------- C:\fixwareout 2008-02-28 22:32 . 2008-02-28 22:32 d-------- C:\Program Files\Navilog1 2008-02-28 22:25 . 2008-02-28 22:25 d-------- C:\Program Files\Trend Micro 2008-02-28 18:32 . 2008-02-28 18:32 d-------- C:\Program Files\Veoh Networks 2008-02-27 18:21 . 2008-02-27 18:21 d-------- C:\Program Files\Real 2008-02-26 16:02 . 2008-02-26 16:02 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\libresystem 2008-02-26 15:57 . 2008-02-26 15:57 dr------- C:\Documents and Settings\All Users.WINDOWS\Application Data\SalesMon 2008-02-26 15:57 . 2008-02-26 15:57 dr------- C:\Documents and Settings\All Users.WINDOWS\Application Data\libresystem 2008-02-26 15:56 . 2008-02-26 15:56 d-------- C:\Program Files\Fichiers communs\LibreSystem 2008-02-26 13:32 . 2008-02-29 00:11 99,677 --a------ C:\WINDOWS\BM83259818.xml 2008-02-26 13:32 . 2008-02-29 00:33 22 --a------ C:\WINDOWS\pskt.ini 2008-02-26 00:12 . 2008-02-26 00:12 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe 2008-02-25 12:49 . 2008-02-28 17:40 d-------- C:\Program Files\eMule 2008-02-23 18:10 . 2008-02-23 18:30 d-------- C:\Program Files\VirtualDJ 2008-02-23 16:34 . 2008-02-23 18:03 d-------- C:\Program Files\Ares 2008-02-23 10:29 . 2005-12-15 12:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-02-23 10:28 . 2008-02-23 10:28 d-------- C:\WINDOWS\system32\LogFiles 2008-02-23 10:26 . 2008-02-23 10:28 d-------- C:\WINDOWS\system32\drivers\umdf 2008-02-23 10:25 . 2006-05-17 18:58 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-02-17 16:17 . 2008-02-27 20:44 d-------- C:\Documents and Settings\Administrateur.IND_PC\amsn 2008-02-17 16:16 . 2008-02-17 16:16 d-------- C:\Program Files\aMSN 2008-02-14 21:38 . 2008-02-14 21:38 6,144 --ahs---- C:\WINDOWS\system32\access.ctl 2008-02-14 21:37 . 1998-02-06 22:37 299,520 --a------ C:\WINDOWS\uninst.exe 2008-02-14 13:33 . 2008-02-29 00:10 d-------- C:\Program Files\Mozilla Firefox 3 Beta 3 2008-02-13 23:32 . 2008-02-13 23:48 d-------- C:\WINDOWS\SxsCaPendDel 2008-02-13 22:52 . 2008-02-13 22:56 2,048 --a------ C:\WINDOWS\system32\drivers\kgpfr.cfg 2008-02-13 21:33 . 2008-02-13 21:33 68 --a------ C:\WINDOWS\wininit.ini 2008-02-13 20:33 . 2008-02-13 22:34 d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\SITEguard 2008-02-13 20:32 . 2008-02-13 20:32 d-------- C:\Program Files\Fichiers communs\iS3 2008-02-13 20:32 . 2008-02-13 23:31 d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\STOPzilla! 2008-02-13 11:45 . 1999-05-03 17:16 1,022,976 --a------ C:\WINDOWS\system32\SierraNW.dll 2008-02-13 11:45 . 1999-05-03 17:16 231,936 --a------ C:\WINDOWS\system32\SNWValid.dll 2008-02-13 11:44 . 2008-02-13 11:46 328 --a------ C:\WINDOWS\SIERRA.INI 2008-02-11 12:06 . 2008-02-11 12:06 267 --a------ C:\WINDOWS\game.ini 2008-02-10 23:55 . 2008-02-10 23:55 d-------- C:\Program Files\Google 2008-02-10 22:19 . 2008-02-10 22:19 d-------- C:\Program Files\LizardTech 2008-02-07 21:36 . 2008-02-28 17:21 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\BitTorrent 2008-02-07 21:35 . 2008-02-13 22:20 d-------- C:\Program Files\DNA 2008-02-07 21:35 . 2008-02-07 21:36 d-------- C:\Program Files\BitTorrent 2008-02-07 21:35 . 2008-02-13 22:11 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\DNA 2008-02-06 23:28 . 2008-02-06 23:28 0 --a------ C:\WINDOWS sreg.dat 2008-02-06 23:17 . 2008-02-09 08:38 d-------- C:\Program Files\Internet Download Manager 2008-02-06 23:17 . 2008-02-26 15:47 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\IDM 2008-02-06 23:17 . 2008-02-29 00:29 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\DMCache 2008-02-06 15:09 . 2008-02-11 16:37 d-------- C:\Documents and Settings\Administrateur.IND_PC\Contacts 2008-02-06 13:06 . 2008-02-06 13:06 d---s---- C:\Documents and Settings\Administrateur.IND_PC\UserData 2008-02-04 19:38 . 2005-12-05 13:18 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-02-04 19:37 . 2008-02-04 19:37 d-------- C:\Program Files\Huawei technologies 2008-02-04 19:37 . 2007-05-14 14:13 100,992 --a------ C:\WINDOWS\system32\drivers\ewusbmdm.sys 2008-02-04 19:37 . 2007-05-14 14:13 24,448 --a------ C:\WINDOWS\system32\drivers\ewdcsc.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-28 18:36 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-02-18 13:55 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-02-12 21:25 --------- d-----w C:\Program Files\TaskSwitchXP 2008-02-10 19:13 --------- d-----w C:\Program Files\JetAudio 2008-02-10 19:12 --------- d-----w C:\Documents and Settings\Administrateur.IND_PC\Application Data\COWON 2008-02-06 15:08 --------- d-----w C:\Program Files\MSN Messenger 2008-01-15 21:34 --------- d-----w C:\Documents and Settings\Administrateur.IND_PC\Application Data\Nokia Multimedia Player 2008-01-11 13:18 --------- d-----w C:\Program Files ell me more 2008-01-11 12:51 729,088 ----a-w C:\WINDOWS\iun6002.exe 2008-01-11 12:47 --------- d-----w C:\Program Files\ZOO Digital Publishing 2007-10-30 16:56 870,400 ----a-w C:\Documents and Settings\Administrateur.IND_PC\autorun.dat 2007-10-30 16:56 402,696 ----a-w C:\Documents and Settings\Administrateur.IND_PC\AutoRun.exe 2007-10-24 20:50 258 ----a-w C:\Documents and Settings\Administrateur.IND_PC\dat.bin . ------- Sigcheck ------- 51ef0166e709962ff5b052eccecbfd97 C:\WINDOWS\system32\wininet.dll ----a-w 675,328 2005-12-15 12:00:00 C:\WINDOWS\system32\wininet.dll -c--a-w 675,328 2005-12-15 12:00:00 C:\WINDOWS\system32\dllcache\wininet.dll ----a-w 664,576 2005-12-15 12:00:00 C:\WINDOWS\XPize\Backup\wininet.dll ebba0027de6e5da45363c4270a15f4c7 C:\WINDOWS\system32\drivers cpip.sys ----a-w 359,808 2005-12-15 12:00:00 C:\WINDOWS\system32\drivers cpip.sys 6fe10d50b0267484e8b483187811139d C:\WINDOWS\explorer.exe ----a-w 1,187,328 2005-12-15 12:00:00 C:\WINDOWS\explorer.exe -c--a-w 1,187,328 2005-12-15 12:00:00 C:\WINDOWS\system32\dllcache\explorer.exe ----a-w 1,036,288 2005-12-15 12:00:00 C:\WINDOWS\XPize\Backup\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-12-15 12:00 30208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"="nwiz.exe" [2006-10-22 10:22 1622016 C:\WINDOWS\system32 wiz.exe] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 13:00 79224] "LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.exe" [2002-01-28 12:48 885760] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 10:22 7700480] "NvMediaCenter"="NvMCTray.dll" [2006-10-22 10:22 86016 C:\WINDOWS\system32 vmctray.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-12-15 12:00 30208] "Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nlsf"="cmd.exe" [2005-12-15 12:00 515072 C:\WINDOWS\system32\cmd.exe] "nlhr"="C:\WINDOWS\System32\AdvPack.Dll" [2005-12-15 12:00 101888] "tscuninstall"="C:\WINDOWS\system32 scupgrd.exe" [2005-12-15 12:00 44544] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoFavoritesMenu"= 0 (0x0) "NoSMMyPictures"= 0 (0x0) "NoStartMenuMyMusic"= 0 (0x0) "NoInstrumentation"= 0 (0x0) "NoSimpleStartMenu"= 0 (0x0) "NoRecentDocsNetHood"= 1 (0x1) "NoSMHelp"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoFavoritesMenu"= 0 (0x0) "NoSMMyPictures"= 0 (0x0) "NoStartMenuMyMusic"= 0 (0x0) "NoUserNameInStartMenu"= 1 (0x1) "NoInstrumentation"= 0 (0x0) "ForceStartMenuLogoff"= 0 (0x0) "NoRecentDocsNetHood"= 1 (0x1) "NoSMHelp"= 1 (0x1) "NoStartMenuPinnedList"= 1 (0x1) [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^TClock.lnk] path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\TClock.lnk backup=C:\WINDOWS\pss\TClock.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\8016ab84] C:\WINDOWS\system32\xheiivay.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva] C:\WINDOWS\system32\amvo.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares] --a------ 2008-02-20 14:33 963072 C:\Program Files\Ares\Ares.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA] C:\Program Files\DNA\btdna.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ffedt] c:\documents and settings\administrateur.ind_pc\local settings\application data\ffedt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan] --a------ 2008-01-10 12:29 2577840 C:\Program Files\Internet Download Manager\IDMan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --------- 2005-05-13 15:11 1397760 C:\Program Files\Ahead\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] --a------ 2007-06-12 22:19 190024 C:\Program Files\MessengerPlus! 3\MsgPlus.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] --a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] --a------ 2007-06-18 15:10 271360 C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-10-23 12:47 98304 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2004-06-03 21:05 32881 C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TaskSwitchXP] --a------ 2005-08-24 21:11 61952 C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un-] "msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\Java\j2re1.4.2_05\bin\rmid.exe"= "C:\WINDOWS\system32\sessmgr.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\BitTorrent\bittorrent.exe"= "C:\Program Files\Ares\Ares.exe"= "D:\Trackmania\TrackMania Nations ESWC\TmNationsESWC.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= R2 Dnscache;Client DNS;C:\WINDOWS\system32\svchost.exe [2005-12-15 12:00] R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2001-07-30 07:55] S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2003-04-01 08:23] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e86c0170-d370-11dc-99d4-00eeb00109cb}] \Shell\AutoRun\command - J:\AutoRun.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-29 00:42:03 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\imapi.exe . ************************************************************************** . Temps d'accomplissement: 2008-02-29 0:46:13 - machine was rebooted ComboFix-quarantined-files.txt 2008-02-29 00:46:08

spencer · Answer

et voilà celui de HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:47:21, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 41.205.205.187:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - https://track.vcdc.com/proceed.php?domain=dlv4.com&hash=ef4289cab3b86918ace7ae13e577a00c&u=eyJkb21haW4iOiJkbHY0LmNvbSIsImRvbWFpbl9pZCI6IjI1NTQ1NTUiLCJmb2xkZXJfaWQiOm51bGwsIm1pZCI6IjE1MSIsImZpbHRlcl9pZCI6bnVsbCwiYWR2ZXJ0aXNlcl9pZCI6IjgiLCJ0YXJnZXQiOiJodHRwOlwvXC9tZWxhbnRoaW9zLWFuYS5jb21cL3pjdmlzaXRvclwvNDkyYmIyODItMzYzMS0xMWViLWFhMmItMTI3YTY0ZGFkZTE3XC82MDE5MTczYi02NzVlLTQ4NTItOThmNC1kNGY0N2VkYmI5NzI/Y2FtcGFpZ25pZD00N2Y4Mzc2MC1mMTE4LTExZWEtOWJjOC0wYWMyYmJmNGFkYTciLCJpcF9hZGRyZXNzIjoiOTEuMjA5LjM1LjIxOCIsInR5cGUiOiJqYXZhX3JlZGlyZWN0IiwiYmlkIjoiMC4wMDU1MiJ9
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: .NET Runtime Optimization Service v2.0.50215_X86 (clr_optimization_v2.0.50215_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50215\mscorsvw.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

g!rly · Answer

ok

la suite :

Copie le texte ci-dessous :

File::
C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
C:\WINDOWS\system32\xheiivay.dll
C:\WINDOWS\BM83259818.xml
C:\WINDOWS\pskt.ini

Folder::
C:\fixwareout
C:\Program Files\Navilog1
C:\Documents and Settings\All Users.WINDOWS\Application Data\SalesMon
c:\documents and settings\administrateur.ind_pc\local settings\application data\ffedt.exe
C:\Program Files\Fichiers communs\LibreSystem
C:\Documents and Settings\Administrateur.IND_PC\Application Data\libresystem
C:\Documents and Settings\All Users.WINDOWS\Application Data\libresystem

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\8016ab84]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DaemonTools_WhenUSave_Installer]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ffedt]

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

puis :

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui ci-dessous: 

@ echo off

if exist \G!RLY.TXT del \G!RLY.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\G!RLY.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\G!RLY.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\G!RLY.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\G!RLY.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
notepad \G!RLY.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape G!RLY.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé G!RLY.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc:
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier G!RLY.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport. 

donc post les trois rapports 

ps : c´est quoi ceci : C:\Documents and Settings\Administrateur.IND_PC\Application Data\libresystem 

@+

spencer · Answer

pour libresystem
ça, c'est les conneries de mon frère.
il a installé le logiciel qui était proposé par l'un de ces maudits site

g!rly · Answer

ok alors je vais le rajouter a la liste;  je fais un edit tu feras la manip apres tu le verras sous folder::

g!rly · Answer

ok je l´ai rajouté...

spencer · Answer

voici le log de ComboFix ComboFix 08-02-25.3 - Administrateur 2008-02-29 1:36:23.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.88 [GMT 0:00] Endroit: C:\Documents and Settings\Administrateur.IND_PC\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Administrateur.IND_PC\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe C:\WINDOWS\BM83259818.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\xheiivay.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Administrateur.IND_PC\Application Data\libresystem C:\Documents and Settings\Administrateur.IND_PC\Application Data\libresystem\Logs\update.log C:\Documents and Settings\All Users.WINDOWS\Application Data\libresystem C:\Documents and Settings\All Users.WINDOWS\Application Data\libresystem\Data\ac C:\Documents and Settings\All Users.WINDOWS\Application Data\libresystem\Data\em C:\Documents and Settings\All Users.WINDOWS\Application Data\libresystem\Data\oid C:\Documents and Settings\All Users.WINDOWS\Application Data\libresystem\Data\user C:\Documents and Settings\All Users.WINDOWS\Application Data\SalesMon C:\fixwareout C:\fixwareout\FindT\dumphive.exe C:\fixwareout\FindT\FixWareOut.reg C:\fixwareout\FindT ircmd.exe C:\fixwareout\FindT\patterns.txt C:\fixwareout\FindT bot.bat C:\fixwareout\FindT\RestartIt.exe C:\fixwareout\FindT uns.vbs C:\fixwareout\FindT\swreg.exe C:\fixwareout\FindT\vfind.exe C:\fixwareout\FindT\XP-2K2.cmd C:\fixwareout\FixIt.BAT C:\Program Files\Fichiers communs\LibreSystem C:\Program Files\Fichiers communs\LibreSystem\strpmon.exe C:\Program Files\Navilog1 C:\Program Files\Navilog1\catchme.exe C:\Program Files\Navilog1\GetPaths.exe C:\Program Files\Navilog1\gnc.exe C:\Program Files\Navilog1 avilog1.bat C:\Program Files\Navilog1\oem2ansi.exe C:\Program Files\Navilog1\Process.exe C:\Program Files\Navilog1 eboot.exe C:\Program Files\Navilog1 eg.exe C:\Program Files\Navilog1 egnavi.reg C:\Program Files\Navilog1 raite.bat C:\Program Files\Navilog1 raite2.bat C:\Program Files\Navilog1\unins000.dat C:\Program Files\Navilog1\unins000.exe C:\WINDOWS\BM83259818.xml C:\WINDOWS\pskt.ini . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-28 to 2008-02-29 )))))))))))))))))))))))))))))))))))) . 2008-02-28 22:25 . 2008-02-28 22:25 d-------- C:\Program Files\Trend Micro 2008-02-28 18:32 . 2008-02-28 18:32 d-------- C:\Program Files\Veoh Networks 2008-02-27 18:21 . 2008-02-27 18:21 d-------- C:\Program Files\Real 2008-02-26 00:12 . 2008-02-26 00:12 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe 2008-02-25 12:49 . 2008-02-28 17:40 d-------- C:\Program Files\eMule 2008-02-23 18:10 . 2008-02-23 18:30 d-------- C:\Program Files\VirtualDJ 2008-02-23 16:34 . 2008-02-23 18:03 d-------- C:\Program Files\Ares 2008-02-23 10:29 . 2005-12-15 12:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-02-23 10:28 . 2008-02-23 10:28 d-------- C:\WINDOWS\system32\LogFiles 2008-02-23 10:26 . 2008-02-23 10:28 d-------- C:\WINDOWS\system32\drivers\umdf 2008-02-23 10:25 . 2006-05-17 18:58 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-02-17 16:17 . 2008-02-27 20:44 d-------- C:\Documents and Settings\Administrateur.IND_PC\amsn 2008-02-17 16:16 . 2008-02-17 16:16 d-------- C:\Program Files\aMSN 2008-02-14 21:38 . 2008-02-14 21:38 6,144 --ahs---- C:\WINDOWS\system32\access.ctl 2008-02-14 21:37 . 1998-02-06 22:37 299,520 --a------ C:\WINDOWS\uninst.exe 2008-02-14 13:33 . 2008-02-29 00:48 d-------- C:\Program Files\Mozilla Firefox 3 Beta 3 2008-02-13 23:32 . 2008-02-13 23:48 d-------- C:\WINDOWS\SxsCaPendDel 2008-02-13 22:52 . 2008-02-13 22:56 2,048 --a------ C:\WINDOWS\system32\drivers\kgpfr.cfg 2008-02-13 21:33 . 2008-02-13 21:33 68 --a------ C:\WINDOWS\wininit.ini 2008-02-13 20:33 . 2008-02-13 22:34 d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\SITEguard 2008-02-13 20:32 . 2008-02-13 20:32 d-------- C:\Program Files\Fichiers communs\iS3 2008-02-13 20:32 . 2008-02-13 23:31 d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\STOPzilla! 2008-02-13 11:45 . 1999-05-03 17:16 1,022,976 --a------ C:\WINDOWS\system32\SierraNW.dll 2008-02-13 11:45 . 1999-05-03 17:16 231,936 --a------ C:\WINDOWS\system32\SNWValid.dll 2008-02-13 11:44 . 2008-02-13 11:46 328 --a------ C:\WINDOWS\SIERRA.INI 2008-02-11 12:06 . 2008-02-11 12:06 267 --a------ C:\WINDOWS\game.ini 2008-02-10 23:55 . 2008-02-10 23:55 d-------- C:\Program Files\Google 2008-02-10 22:19 . 2008-02-10 22:19 d-------- C:\Program Files\LizardTech 2008-02-07 21:36 . 2008-02-29 01:35 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\BitTorrent 2008-02-07 21:35 . 2008-02-13 22:20 d-------- C:\Program Files\DNA 2008-02-07 21:35 . 2008-02-07 21:36 d-------- C:\Program Files\BitTorrent 2008-02-07 21:35 . 2008-02-13 22:11 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\DNA 2008-02-06 23:28 . 2008-02-06 23:28 0 --a------ C:\WINDOWS sreg.dat 2008-02-06 23:17 . 2008-02-09 08:38 d-------- C:\Program Files\Internet Download Manager 2008-02-06 23:17 . 2008-02-26 15:47 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\IDM 2008-02-06 23:17 . 2008-02-29 00:29 d-------- C:\Documents and Settings\Administrateur.IND_PC\Application Data\DMCache 2008-02-06 15:09 . 2008-02-11 16:37 d-------- C:\Documents and Settings\Administrateur.IND_PC\Contacts 2008-02-06 13:06 . 2008-02-06 13:06 d---s---- C:\Documents and Settings\Administrateur.IND_PC\UserData 2008-02-04 19:38 . 2005-12-05 13:18 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-02-04 19:37 . 2008-02-04 19:37 d-------- C:\Program Files\Huawei technologies 2008-02-04 19:37 . 2007-05-14 14:13 100,992 --a------ C:\WINDOWS\system32\drivers\ewusbmdm.sys 2008-02-04 19:37 . 2007-05-14 14:13 24,448 --a------ C:\WINDOWS\system32\drivers\ewdcsc.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-28 18:36 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-02-18 13:55 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-02-12 21:25 --------- d-----w C:\Program Files\TaskSwitchXP 2008-02-10 19:13 --------- d-----w C:\Program Files\JetAudio 2008-02-10 19:12 --------- d-----w C:\Documents and Settings\Administrateur.IND_PC\Application Data\COWON 2008-02-06 15:08 --------- d-----w C:\Program Files\MSN Messenger 2008-01-15 21:34 --------- d-----w C:\Documents and Settings\Administrateur.IND_PC\Application Data\Nokia Multimedia Player 2008-01-11 13:18 --------- d-----w C:\Program Files ell me more 2008-01-11 12:51 729,088 ----a-w C:\WINDOWS\iun6002.exe 2008-01-11 12:47 --------- d-----w C:\Program Files\ZOO Digital Publishing 2008-01-08 12:13 202,160 ----a-w C:\WINDOWS\system32\idmmbc.dll 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr 2007-10-30 16:56 870,400 ----a-w C:\Documents and Settings\Administrateur.IND_PC\autorun.dat 2007-10-30 16:56 402,696 ----a-w C:\Documents and Settings\Administrateur.IND_PC\AutoRun.exe 2007-10-24 20:50 258 ----a-w C:\Documents and Settings\Administrateur.IND_PC\dat.bin . ------- Sigcheck ------- 51ef0166e709962ff5b052eccecbfd97 C:\WINDOWS\system32\wininet.dll ----a-w 675,328 2005-12-15 12:00:00 C:\WINDOWS\system32\wininet.dll -c--a-w 675,328 2005-12-15 12:00:00 C:\WINDOWS\system32\dllcache\wininet.dll ----a-w 664,576 2005-12-15 12:00:00 C:\WINDOWS\XPize\Backup\wininet.dll ebba0027de6e5da45363c4270a15f4c7 C:\WINDOWS\system32\drivers cpip.sys ----a-w 359,808 2005-12-15 12:00:00 C:\WINDOWS\system32\drivers cpip.sys 6fe10d50b0267484e8b483187811139d C:\WINDOWS\explorer.exe ----a-w 1,187,328 2005-12-15 12:00:00 C:\WINDOWS\explorer.exe -c--a-w 1,187,328 2005-12-15 12:00:00 C:\WINDOWS\system32\dllcache\explorer.exe ----a-w 1,036,288 2005-12-15 12:00:00 C:\WINDOWS\XPize\Backup\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-12-15 12:00 30208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"="nwiz.exe" [2006-10-22 10:22 1622016 C:\WINDOWS\system32 wiz.exe] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 13:00 79224] "LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.exe" [2002-01-28 12:48 885760] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 10:22 7700480] "NvMediaCenter"="NvMCTray.dll" [2006-10-22 10:22 86016 C:\WINDOWS\system32 vmctray.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-12-15 12:00 30208] "Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nlsf"="cmd.exe" [2005-12-15 12:00 515072 C:\WINDOWS\system32\cmd.exe] "nlhr"="C:\WINDOWS\System32\AdvPack.Dll" [2005-12-15 12:00 101888] "tscuninstall"="C:\WINDOWS\system32 scupgrd.exe" [2005-12-15 12:00 44544] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoFavoritesMenu"= 0 (0x0) "NoSMMyPictures"= 0 (0x0) "NoStartMenuMyMusic"= 0 (0x0) "NoInstrumentation"= 0 (0x0) "NoSimpleStartMenu"= 0 (0x0) "NoRecentDocsNetHood"= 1 (0x1) "NoSMHelp"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoFavoritesMenu"= 0 (0x0) "NoSMMyPictures"= 0 (0x0) "NoStartMenuMyMusic"= 0 (0x0) "NoUserNameInStartMenu"= 1 (0x1) "NoInstrumentation"= 0 (0x0) "ForceStartMenuLogoff"= 0 (0x0) "NoRecentDocsNetHood"= 1 (0x1) "NoSMHelp"= 1 (0x1) "NoStartMenuPinnedList"= 1 (0x1) [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^TClock.lnk] path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\TClock.lnk backup=C:\WINDOWS\pss\TClock.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares] --a------ 2008-02-20 14:33 963072 C:\Program Files\Ares\Ares.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA] C:\Program Files\DNA\btdna.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan] --a------ 2008-01-10 12:29 2577840 C:\Program Files\Internet Download Manager\IDMan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --------- 2005-05-13 15:11 1397760 C:\Program Files\Ahead\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] --a------ 2007-06-12 22:19 190024 C:\Program Files\MessengerPlus! 3\MsgPlus.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] --a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] --a------ 2007-06-18 15:10 271360 C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-10-23 12:47 98304 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2004-06-03 21:05 32881 C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TaskSwitchXP] --a------ 2005-08-24 21:11 61952 C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un-] "msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\Java\j2re1.4.2_05\bin\rmid.exe"= "C:\WINDOWS\system32\sessmgr.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\BitTorrent\bittorrent.exe"= "C:\Program Files\Ares\Ares.exe"= "D:\Trackmania\TrackMania Nations ESWC\TmNationsESWC.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= R2 Dnscache;Client DNS;C:\WINDOWS\system32\svchost.exe [2005-12-15 12:00] R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2001-07-30 07:55] S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2003-04-01 08:23] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e86c0170-d370-11dc-99d4-00eeb00109cb}] \Shell\AutoRun\command - J:\AutoRun.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-29 01:38:59 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-02-29 1:39:59 ComboFix-quarantined-files.txt 2008-02-29 01:39:44 ComboFix2.txt 2008-02-29 00:46:14

spencer · Answer

et celui de HiJackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:44:10, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Program Files\Mozilla Firefox 3 Beta 3\firefox.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 41.205.205.187:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - https://track.vcdc.com/proceed.php?domain=dlv4.com&hash=ef4289cab3b86918ace7ae13e577a00c&u=eyJkb21haW4iOiJkbHY0LmNvbSIsImRvbWFpbl9pZCI6IjI1NTQ1NTUiLCJmb2xkZXJfaWQiOm51bGwsIm1pZCI6IjE1MSIsImZpbHRlcl9pZCI6bnVsbCwiYWR2ZXJ0aXNlcl9pZCI6IjgiLCJ0YXJnZXQiOiJodHRwOlwvXC9tZWxhbnRoaW9zLWFuYS5jb21cL3pjdmlzaXRvclwvNDkyYmIyODItMzYzMS0xMWViLWFhMmItMTI3YTY0ZGFkZTE3XC82MDE5MTczYi02NzVlLTQ4NTItOThmNC1kNGY0N2VkYmI5NzI/Y2FtcGFpZ25pZD00N2Y4Mzc2MC1mMTE4LTExZWEtOWJjOC0wYWMyYmJmNGFkYTciLCJpcF9hZGRyZXNzIjoiOTEuMjA5LjM1LjIxOCIsInR5cGUiOiJqYXZhX3JlZGlyZWN0IiwiYmlkIjoiMC4wMDU1MiJ9
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7C182-8CD9-4C08-A2CB-B041E85CA167}: NameServer = 213.140.34.65 213.140.34.139
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: .NET Runtime Optimization Service v2.0.50215_X86 (clr_optimization_v2.0.50215_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50215\mscorsvw.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

spencer · Answer

Et voilà le dernier rapport

C:\autorun.inf Non trouvé
C:\MS32DLL.dll.vbs Non trouvé
D:\autorun.inf Non trouvé
D:\MS32DLL.dll.vbs Non trouvé
E:\autorun.inf Non trouvé
E:\MS32DLL.dll.vbs Non trouvé
J:\autorun.inf Non trouvé
J:\MS32DLL.dll.vbs Non trouvé
K:\autorun.inf Présent
K:\MS32DLL.dll.vbs Non trouvé
C:\WINDOWS\MS32DLL.dll.vbs non trouvé 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    nwiz	REG_SZ	nwiz.exe /install
    avast!	REG_SZ	C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    LXSUPMON	REG_SZ	C:\WINDOWS\system32\LXSUPMON.EXE RUN
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    NvMediaCenter	REG_SZ	RunDLL32.exe NvMCTray.dll,NvTaskbarInit

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe

g!rly · Answer

ok fais ceci : a l´aide de hijack this coche et fix la ligne suivante O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - https://track.vcdc.com/proceed.php?domain=dlv4.com&hash=ef4289cab3b86918ace7ae13e577a00c&u=eyJkb21haW4iOiJkbHY0LmNvbSIsImRvbWFpbl9pZCI6IjI1NTQ1NTUiLCJmb2xkZXJfaWQiOm51bGwsIm1pZCI6IjE1MSIsImZpbHRlcl9pZCI6bnVsbCwiYWR2ZXJ0aXNlcl9pZCI6IjgiLCJ0YXJnZXQiOiJodHRwOlwvXC9tZWxhbnRoaW9zLWFuYS5jb21cL3pjdmlzaXRvclwvNDkyYmIyODItMzYzMS0xMWViLWFhMmItMTI3YTY0ZGFkZTE3XC82MDE5MTczYi02NzVlLTQ4NTItOThmNC1kNGY0N2VkYmI5NzI/Y2FtcGFpZ25pZD00N2Y4Mzc2MC1mMTE4LTExZWEtOWJjOC0wYWMyYmJmNGFkYTciLCJpcF9hZGRyZXNzIjoiOTEuMjA5LjM1LjIxOCIsInR5cGUiOiJqYXZhX3JlZGlyZWN0IiwiYmlkIjoiMC4wMDU1MiJ9 Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation) -> http://pageperso.aol.fr/balltrap34/demohijack.htm essaie de repasser le fixwareout maintenant : Télécharge FixWareout d'un de ces deux sites sur le bureau: http://downloads.subratam.org/Fixwareout.exe http://swandog46.geekstogo.com/Fixwareout.exe Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. *Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) puis instales un par feu : par feu : kerio http://www.malekal.com/kerio_firewall.php#mozTocId721480 https://www.vulgarisation-informatique.com/kerio.php https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall ou Comodo 3 pro : http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro ou Online armor : http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=35606 ou zone alarm plus facil a configurer mais moins performant https://www.malekal.com/tutoriel-zonealarm-firewall/ puis (une infection est presente ici : K:\autorun.inf Présent) Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus • Clique droit sur le fichier .ZIP > Extraire sur > le Bureau • Doucle clic sur >> RAV.exe << afin de lancer l'outil. • Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles) • Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain . • Retire tes disques amovibles et redémarre ton ordinateur . Poste le rapport , si infection! puis regarde ceci concernant avast : antivir vs avast : -> http://forum.malekal.com/ftopic3528.php alors je te conseille de le desinstaller et d´installer antivir a la place Telecharge et instales l'antivirus Antivir Personal Edition Classic : ->https://www.malekal.com/avira-free-security-antivirus-gratuit/ https://www.avira.com/en/prime http://mickael.barroux.free.fr/securite/antivir.php http://speedweb1.free.fr/frames2.php?page=tuto5 <- tutoriel configuration du scanner... une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir. puis sur la droite coche les case suivantes : scan boot sectors of selected drives scan master boot sectors scan memory search foe rootkit before scan decoche : ignore off line files toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp et repost un nouveau hijack this aussi ps : je te donne tout d´un coup car je vais me coucher... Bonne nuit ;-) @+

spencer · Answer

Merci d'avoir veillé si tard et bonne nuit

spencer · Answer

bon voici le rapport de FixWareout


Username "Administrateur" - 29/02/2008  2:18:10 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
"nwiz"="nwiz.exe /install"
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
"LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.EXE RUN"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

g!rly · Answer

salut spensser,

a l´aide de hijack this coche et fix cette ligne :

O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7C182-8CD9-4C08-A2CB-B041E85CA167}: NameServer = 213.140.34.65 213.140.34.139 

puis continue ce que je t´avais dicté au post 15

@+

spencer · Answer

voici le rapport de fixwareout


Username "Administrateur" - 29/02/2008 12:41:44 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
"nwiz"="nwiz.exe /install"
"LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.EXE RUN"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"avgnt"="\"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

g!rly · Answer

Salut spensser. oui tu l´avais deja posté... a l´aide de hijack this coche et fix cette ligne : O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7C182-8CD9-4C08-A2CB-B041E85CA167}: NameServer = 213.140.34.65 213.140.34.139 puis fais la suite : instales un par feu : par feu : kerio http://www.malekal.com/kerio_firewall.php#mozTocId721480 https://www.vulgarisation-informatique.com/kerio.php https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall ou Comodo 3 pro : https://www.commentcamarche.net/telecharger/ 34055041 comodo firewall pro ou Online armor : https://www.commentcamarche.net/telecharger/ 34055356 online armor personal firewall tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=35606 ou zone alarm plus facil a configurer mais moins performant https://www.malekal.com/tutoriel-zonealarm-firewall/ puis (une infection est presente ici : K:\autorun.inf Présent) Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus • Clique droit sur le fichier .ZIP > Extraire sur > le Bureau • Doucle clic sur >> RAV.exe << afin de lancer l'outil. • Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles) • Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain . • Retire tes disques amovibles et redémarre ton ordinateur . Poste le rapport , si infection! puis regarde ceci concernant avast : antivir vs avast : -> http://forum.malekal.com/ftopic3528.php alors je te conseille de le desinstaller et d´installer antivir a la place Telecharge et instales l'antivirus Antivir Personal Edition Classic : ->https://www.malekal.com/avira-free-security-antivirus-gratuit/ https://www.avira.com/en/prime http://mickael.barroux.free.fr/securite/antivir.php http://speedweb1.free.fr/frames2.php?page=tuto5 <- tutoriel configuration du scanner... une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir. puis sur la droite coche les case suivantes : scan boot sectors of selected drives scan master boot sectors scan memory search foe rootkit before scan decoche : ignore off line files toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp et repost un nouveau hijack this aussi bon courrage ;-) @+

spencer · Answer

re,
Ah enfin le scan est terminé....OUF!
le rapport est vraiment très très long:)


AntiVir PersonalEdition Classic
Report file date: vendredi 29 février 2008  18:31

Scanning for 1127934 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    IND_PC

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 14:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 13:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 16:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 13:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 15:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 03:29:43
ANTIVIR2.VDF : 7.0.2.181   1993728 Bytes  24/02/2008 03:29:43
ANTIVIR3.VDF : 7.0.2.209    103424 Bytes  28/02/2008 03:29:43
AVEWIN32.DLL : 7.6.0.67    3293696 Bytes  29/02/2008 03:29:45
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 11:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 08:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 14:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  29/02/2008 03:29:46
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 08:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 13:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 08:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 12:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 13:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 13:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 10:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: high
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: E:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Expanded search settings.........: 0x00001000

Start of the scan: vendredi 29 février 2008  18:31

Starting search for hidden objects.
An ARK instance is already running.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe'
Scan process 'avscan.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe'
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe'
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Internet Explorer\iexplore.exe'
Scan process 'firefox.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Mozilla Firefox 3 Beta 3\firefox.exe'
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\MSN Messenger\usnsvc.exe'
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\MSN Messenger\msnmsgr.exe'
Scan process 'Mobile Connect.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe'
Scan process 'alg.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\System32\alg.exe'
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe'
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\RunDLL32.exe'
Scan process 'LXSUPMON.EXE' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\LXSUPMON.EXE'
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32
vsvc32.exe'
Scan process 'CDANTSRV.EXE' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE'
Scan process 'sched.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe'
Scan process 'avguard.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe'
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\spoolsv.exe'
Scan process 'LEXBCES.EXE' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\LEXBCES.EXE'
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\ctfmon.exe'
Scan process 'explorer.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\Explorer.EXE'
Scan process 'svchost.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\svchost.exe'
Scan process 'svchost.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\svchost.exe'
Scan process 'svchost.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\System32\svchost.exe'
Scan process 'svchost.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\svchost.exe'
Scan process 'svchost.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\svchost.exe'
Scan process 'lsass.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\lsass.exe'
Scan process 'services.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\services.exe'
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\winlogon.exe'
Scan process 'csrss.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\system32\csrss.exe'
Scan process 'smss.exe' - '1' Module(s) have been scanned
  Module is OK -> 'C:\WINDOWS\System32\smss.exe'
30 processes with 30 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'E:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
C:\WINDOWS\system32\
  nwiz.exe
      [NOTE]      HKEY_LOCAL_MACHINE
wiz.exe /install
C:\WINDOWS\system32\
  LXSUPMON.EXE
      [NOTE]      HKEY_LOCAL_MACHINE\C:\WINDOWS\system32\LXSUPMON.EXE RUN
C:\WINDOWS\system32\
  rundll32.exe
      [NOTE]      HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
C:\WINDOWS\system32\
  nvcpl.dll
      [NOTE]      HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
C:\WINDOWS\system32\
  rundll32.exe
      [NOTE]      HKEY_LOCAL_MACHINE\RunDLL32.exe NvMCTray.dll,NvTaskbarInit
C:\WINDOWS\system32\
  crypt32.dll
      [NOTE]      HKEY_LOCAL_MACHINE\crypt32.dll
C:\WINDOWS\system32\
  cryptnet.dll
      [NOTE]      HKEY_LOCAL_MACHINE\cryptnet.dll
C:\WINDOWS\system32\
  cscdll.dll
      [NOTE]      HKEY_LOCAL_MACHINE\cscdll.dll
C:\WINDOWS\system32\
  wlnotify.dll
      [NOTE]      HKEY_LOCAL_MACHINE\wlnotify.dll
C:\WINDOWS\system32\
  wlnotify.dll
      [NOTE]      HKEY_LOCAL_MACHINE\wlnotify.dll
C:\WINDOWS\system32\
  sclgntfy.dll
      [NOTE]      HKEY_LOCAL_MACHINE\sclgntfy.dll
C:\WINDOWS\system32\
  wlnotify.dll
      [NOTE]      HKEY_LOCAL_MACHINE\WlNotify.dll
C:\WINDOWS\system32\
  wlnotify.dll
      [NOTE]      HKEY_LOCAL_MACHINE\wlnotify.dll
C:\WINDOWS\system32\
  wlnotify.dll
      [NOTE]      HKEY_LOCAL_MACHINE\wlnotify.dll
C:\WINDOWS\system32\
  ctfmon.exe
      [NOTE]      HKEY_CURRENT_USER\C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\
  syssetup.dll
      [NOTE]      HKEY_CURRENT_USER\cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
C:\WINDOWS\system32\
  syssetup.dll
      [NOTE]      HKEY_CURRENT_USER\cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
C:\WINDOWS\system32\
  syssetup.dll
      [NOTE]      HKEY_CURRENT_USER\cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
C:\WINDOWS\system32\
  syssetup.dll
      [NOTE]      HKEY_CURRENT_USER\cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
C:\WINDOWS\system32\
  syssetup.dll
      [NOTE]      HKEY_CURRENT_USER\cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
C:\WINDOWS\system32\
  syssetup.dll
      [NOTE]      HKEY_CURRENT_USER\cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
C:\WINDOWS\system32\
  rundll32.exe
      [NOTE]      HKEY_CURRENT_USER\RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf
lite.inf,C
C:\WINDOWS\system32\
  advpack.dll
      [NOTE]      HKEY_CURRENT_USER\RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf
lite.inf,C
C:\WINDOWS\inf\
  nlite.inf
      [NOTE]      HKEY_CURRENT_USER\RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf
lite.inf,C
C:\WINDOWS\system32\
  tscupgrd.exe
      [NOTE]      HKEY_CURRENT_USER\%systemroot%\system32	scupgrd.exe
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\
  desktop.ini
      [NOTE]      HKEY_LOCAL_MACHINE\C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\desktop.ini
C:\WINDOWS\system32\
  desktop.ini
      [NOTE]      HKEY_LOCAL_MACHINE\C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\desktop.ini
C:\WINDOWS\system32\
  desktop.ini
      [NOTE]      HKEY_LOCAL_MACHINE\C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\desktop.ini
C:\WINDOWS\system32\
  desktop.ini
      [NOTE]      HKEY_LOCAL_MACHINE\C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\desktop.ini
C:\WINDOWS\system32\
  desktop.ini
      [NOTE]      HKEY_LOCAL_MACHINE\C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\desktop.ini
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\
  desktop.ini
      [NOTE]      HKEY_CURRENT_USER\C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
C:\WINDOWS\system32\
  desktop.ini
      [NOTE]      HKEY_CURRENT_USER\C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\
  desktop.ini
      [NOTE]      HKEY_USERS\C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
C:\WINDOWS\system32\
  desktop.ini
      [NOTE]      HKEY_USERS\C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
The registry was scanned ( '34' files ).

spencer · Answer

est ce que c'est suffisant ou dois-je poster tout le rapport?

spencer · Answer

voila le dernier rapport de HiJackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:23, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Mozilla Firefox 3 Beta 3\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 41.205.205.187:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7C182-8CD9-4C08-A2CB-B041E85CA167}: NameServer = 213.140.34.65 213.140.34.139
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: .NET Runtime Optimization Service v2.0.50215_X86 (clr_optimization_v2.0.50215_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50215\mscorsvw.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

g!rly · Answer

salut spencer,

dans antivir tu as choisi rapport complete ou default, je crois que tu as du choisir complete dans ce ca il doit etre super long ,-(

t´as t´il trouvé des saloperies?

tu as bien fixer la ligne 017 a l´aide de hijack this ?

tu as fais le scan avec rav antivirus?

pourquoi n´instales tu pas de par feu?

fais ceci egalement 

meme si tu surf avec firefox mets  ie a jour tu veux la version 7.0

https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70 

regarde ce tutorial pour mettre ta console java a jour :
 
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

@+

spencer · Answer

j'utilise le pare-feu windows
oui j'ai fixé la ligne O17, fait un scan avec rav (PC saint)
et antivir a trouvé 23 chevaux de Troie + 1 objet suspect

g!rly · Answer

Re,

Post le rapport complet d´antivir stp

instales un par feu car celui de windows est une vrai passoire..

puis fais ceci :

ouvre le bloc note et copie colle les commandes en gras :

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe

ferme le bloc et enregistre le sur le bureau sous le nom de kill_autorun_vbs.bat

va sur le bureau et double clik sur kill_autorun_vbs.bat et laisse le faire son boulot

Télécharge ensuite l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Utilisation :
Téléchargez et enregistrez Flash_Disinfector.exe sur votre bureau.
Double cliquez sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquez sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyez sur "Ok", pour faire réapparaitre le bureau.

Redémarre le PC

puis fais ceci :

Démarrer > Exécuter puis tape cmd et valide.

Dans la fenêtre de l'invite copie et colle ces lignes de commandes une après l'autre en validant à chaque fois avec [entrée] avant de copier/coller la suivante :

RD \.\C:\autorun.inf /Q /S

RD \.\E:\autorun.inf /Q /S

RD \.\D:\autorun.inf /Q /S

RD \.\J:\autorun.inf /Q /S

RD \.\K:\autorun.inf /Q /S

puis repost le rapport de g1rly.bat

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui ci-dessous: 

@ echo off

if exist \G!RLY.TXT del \G!RLY.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\G!RLY.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\G!RLY.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\G!RLY.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\G!RLY.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
notepad \G!RLY.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape G!RLY.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé G!RLY.bat.

repost egalement un nouveau hijackthis dans ta reponse.

@+

spencer · Answer

la taille du rapport d'Antivir est de 17Mo
Mon PC se bloque quand je veux le copier ici

g!rly · Answer

salut ral`,-)

biz`

spencer,

refais le scan a l´aide d´antivir et post le rapport mais cette fois ci avant de le lancer va dans configuration a gauche sous scanner deploie et click sur report. dans la fenetre de droite coche la case "default" sous report...

fais le reste du post 26 egalement`

@+

spencer · Answer

le scan est en cours mais ça prendra environ 1heure et comme tu es restée très tard hier soir alors si tu veux dormir moi je te retiens pas. tu pourras me répondre demain  ;-)
merci t'es très gentille

g!rly · Answer

Re,

spencer,

fais ceci egalement : le fichier n´avais pas ete supprimé lors du passage de combofix...

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

c:\documents and settings\administrateur.ind_pc\local settings\application data\ffedt.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

@+

g!rly · Answer

spensser, 
je vais rester encore un peu, mais surement pas une heure, tu as vu j´ai rajouté un fichier a supprimer au post ci dessus
bonne fin de soirée ;-)
@+

g!rly · Answer

U2 ;-)

spencer · Answer

le scan d'antivir utilise toutes les ressources du PC, mon pauvre Celeron 1.2GHz n'arrive plus à suivre.
vivement le core 2 Extreme !
au fait G!rly, maintenant que j'y pense, t'as un joli profil 
:p

g!rly · Answer

Oui c´est plus ce que c´etait : Celeron 1.2GHz ;-(
ps : si tu quittais toutes tes applications et ton navigateur le scan irait plus vite ;-)
merci pour tes compliments...
mais sais tu a quoi correspond mon profil?
https://myspace.com/periwigs
Bonne nuit`
@+

spencer · Answer

voila le rapport d'antivir


AntiVir PersonalEdition Classic
Report file date: samedi 1 mars 2008  00:23

Scanning for 1127934 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    IND_PC

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 14:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 13:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 16:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 13:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 15:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 03:29:43
ANTIVIR2.VDF : 7.0.2.181   1993728 Bytes  24/02/2008 03:29:43
ANTIVIR3.VDF : 7.0.2.209    103424 Bytes  28/02/2008 03:29:43
AVEWIN32.DLL : 7.6.0.67    3293696 Bytes  29/02/2008 03:29:45
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 11:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 08:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 14:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  29/02/2008 03:29:46
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 08:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 13:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 08:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 12:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 13:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 13:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 10:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: E:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: samedi 1 mars 2008  00:23

Starting search for hidden objects.
Error in ARK lib

The scan of running processes will be started
Scan process 'avconfig.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'taskmgr.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'Mobile Connect.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'LXSUPMON.EXE' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'CDANTSRV.EXE' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'LEXBCES.EXE' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
32 processes with 32 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'E:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '34' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
      [WARNING]   The file could not be opened!
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
      [WARNING]   The file could not be opened!
Begin scan in 'D:\'
Begin scan in 'E:\'


End of the scan: samedi 1 mars 2008  02:32
Used time:  2:09:33 min

The scan has been done completely.

   5892 Scanning directories
 250860 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      3 Files cannot be scanned
 250860 Files not concerned
   2163 Archives were scanned
      3 Warnings
      2 Notes
  20900 Objects were scanned with rootkit scan
      0 Hidden objects were found

spencer · Answer

le rapport de G!RLY.bat


C:\autorun.inf Non trouvé
C:\MS32DLL.dll.vbs Non trouvé
D:\autorun.inf Non trouvé
D:\MS32DLL.dll.vbs Non trouvé
E:\autorun.inf Non trouvé
E:\MS32DLL.dll.vbs Non trouvé
K:\autorun.inf Présent
K:\MS32DLL.dll.vbs Non trouvé
C:\WINDOWS\MS32DLL.dll.vbs non trouvé 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    nwiz	REG_SZ	nwiz.exe /install
    LXSUPMON	REG_SZ	C:\WINDOWS\system32\LXSUPMON.EXE RUN
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    NvMediaCenter	REG_SZ	RunDLL32.exe NvMCTray.dll,NvTaskbarInit
    avgnt	REG_SZ	"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    COMODO Firewall Pro	REG_SZ	"C:\Program Files\COMODO\Firewall\cfp.exe" -h

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\optionalcomponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe

spencer · Answer

......le rapport de HiJackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:53:49, on 01/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Program Files\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 41.205.205.187:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7C182-8CD9-4C08-A2CB-B041E85CA167}: NameServer = 213.140.34.65 213.140.34.139
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: .NET Runtime Optimization Service v2.0.50215_X86 (clr_optimization_v2.0.50215_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50215\mscorsvw.exe (file missing)
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

spencer · Answer

au fait OTMoveIt2 ne trouve pas c:\documents and settings\administrateur.ind_pc\local settings\application data\ffedt.exe 
(poste 32)

g!rly · Answer

salut spencer,

C´est bon pour ffedt.exe la cle avait ete supprimé le fichier ne devait pas existé...

le hijack this parais propre sauf cette ligne 017 qui revient tout le temps, elle etait partie apres le passage de combofix au debut mais est revenue surement car tu n´avais pas de par feu, on va repasser combofix pour voir si elle disparait pour de bon maintenant que tu as installé un par feu
puis il y a toujours l´autorun.inf dans le lecteur k ! a quoi correspond ce lecteur?

alors repasse combofix et repost un hijack this stp et dis moi pour le lecteur k

@+

spencer · Answer

k c'est le modem

spencer · Answer

j'ai fixé la ligne O17 puis passé combofix, après redémarrage j'ai refait HiJackThis et y avait plus de ligne O17.
donc maintenant c'est bon ??

g!rly · Answer

spensser,

ok pour la ligbe 017

le truc c´est qu´il reste ce foutu autorun.inf dans ton lecteur k, a quoi correspond ce lecteur?

@+

raleuboleu · Answer

voir post 45 ^^ nan jmemerde po !!!! arrete d'aller chez liddle mdr

spencer · Answer

(K:) c'est le modem, j'ai un modem sans fil, le PC le reconnait comme disque amovible

spencer · Answer

c'est quoi liddle ??

g!rly · Answer

Salut spensse et ral´

oui raleuboleu aime me charier en parlant d´une eau petillante que je buvais dans le temps; acheté a liddl contenatenat ni plus ni moins de l´uranium LOL

je n´avais pas vu que tu m´avais repondu pour le lecteur K

ouvre ce lecteur et regarde si tu voie ceci : autorun.inf peut etre devra tu afficher les fichiers et dossiers cachés pour le trouver...

Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «Ok» pour valider les changements.

Et appliquer ! 

si tu le trouve renomme le en autorun.inf.old 

dis moi quoi

@+

g!rly · Answer

tu sait bien ral`
j´suis irradiée ;-( snif LOL
...

spencer · Answer

le fichier est nécessaire au fonctionnement du modem, et il est en lecture seule

g!rly · Answer

Salut spensser,

ok autant pour moi...

comment va ton pc maintenant?

@+

spencer · Answer

salut
bon ça va pour le PC je n'ai plus de probleme
merci pour ton aide
je me demande comment est ce qu'on peut faire de la coiffure, boire de l'uranium, et etre bon en informatique.
(je crois que j'ai affaire à un extra-terrestre. LOL).
Merci beaucoup.
tu sais quoi, le 1er jour ou j'ai posté le probleme, il y avait des images pornographiques qui s'affichaient dans tous les sites, meme celui là !!! bon debarras.
une idée m'est venue en tete, pourquoi ne pas infecter avec ces salopperies plusieurs systemes, voire des milliers, on pourra alors porter plainte contre ceux qui les ont fabriqué, à mille contre un, y a pas photo.
@+                  f(x)=x²+x-2ln(x²-2)

concernant ton profil myspace, je t'avoue que les videos en noir et blanc me foutent les jetons! franchement ça m'a fait peur!

g!rly · Answer

Bonsoir/salut spencer.

bon ça va pour le PC je n'ai plus de probleme
merci pour ton aide

Cool

de rien ;-)

je me demande comment est ce qu'on peut faire de la coiffure, boire de l'uranium, et etre bon en informatique.
(je crois que j'ai affaire à un extra-terrestre. LOL).

Je me le demande aussi parfois ;-) mais superman ainsi que superg!rl(y) ne venaient-ils pas de la planette krypton ?! LOL

Merci beaucoup.

re de rien ;-)

tu sais quoi, le 1er jour ou j'ai posté le probleme, il y avait des images pornographiques qui s'affichaient dans tous les sites, meme celui là !!! bon debarras.
une idée m'est venue en tete, pourquoi ne pas infecter avec ces salopperies plusieurs systemes, voire des milliers, on pourra alors porter plainte contre ceux qui les ont fabriqué, à mille contre un, y a pas photo. 

si tu savais le nombre d´infection de ce type j´ai desinfecté tu rirais surement jaune !

ce que je peux te proposer c´est de denoncer ton infection sur ce site; 

tu voie d´autrre y ont penssé aussi !

Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = instant access ( pour simplifier )
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)
Indique aussi le nom du Forum qui t'a aidé.
---> https://malwarecomplaints.info/

Plus d'informations ici
http://forum.zebulon.fr/index.php?showtopic=88688

@+ f(x)=x²+x-2ln(x²-2) 

faudra que tu m´apprennes lol

concernant ton profil myspace, je t'avoue que les videos en noir et blanc me foutent les jetons! franchement ça m'a fait peur!

Y faut avoir bu de l´uranium enrichie ou apauvrie pour comprendre LOL

@ te lire...

g!rly · Answer

&#9829;
Ne me quittes pas, snif...
&#9788;

g!rly · Answer

je voie ;-(
@ bientot ;-)
"good night"

g!rly · Answer

Demandes a ton pote jeff LOL
mais ne supprime rien, peut etre voudras tu revenir?!
re : Ne me quittes pas, snif...

Les fenetres de pub qui s'ovrent toutes seule

54 réponses

Discussions similaires