Sujet Précédent Sujet Suivant

PC portable lent, impossible à desinfecté

skillhunters -  
 skillhunters -
Bonjour,

Depuis hier, je ne peux utiliser mon pc portable
uniquement en mode sans echec, j'ai mon UC qui tourne à 100% tout le temps!
Les processus qui bougent et cligontent sans arrêt. Lorsque j'essaye de demarrer l'ordi en mode normal, il met
au moins 40 minutes, et bien sur impossible de l'utiliser, car le ralentissement abusif me faire perdre
patience de suite et m'incite à le demarrer en mode sans echec!

J'ai essayer spybot, ad-aware, combo-fix, msnfix, smitfraudfix, avg, et antivir sans succes.

J'avais découvert plusieurs trojans mais a priori mon ordi est tout infecté!

a noter que le dernier scan de antivir a durer exactement 14h!! A d"couvert un "warning" file mais n'a rien résolu!

Voici le rapport de smitfraudfixe en mode sans echec:

SmitFraudFix v2.299

Rapport fait à 18:36:17.85, 2008-03-02
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8A839D3F-380C-4BB3-9FC9-C9915FE7CCAE}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8A839D3F-380C-4BB3-9FC9-C9915FE7CCAE}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Bonjour,
Depuis hier, je ne peux utiliser mon pc portable (hp pavilon sous XP, sous antivir)
uniquement en mode sans echec, j'ai mon UC qui tourne à 100% tout le temps!
Les processus qui bougent sans arrêt. Lorsque j'essaye de demarrer l'ordi en mode normal, il met
au moins 40 minutes, et bien sur impossible de l'utiliser, car le ralentissement abusif me faire perdre
patience de suite et m'incite à le demarrer en mode sans echec!

J'ai essayer spybot, ad-aware, combo-fix, msnfix, smitfraudfix, avg, et antivir sans succes.

a noter que le dernier scan de antivir a durer exactement 14h!! Et n'a rien résolu!

Voici le rapport de smitfraudfixe en mode sans echec:

SmitFraudFix v2.299

Rapport fait à 18:36:17.85, 2008-03-02
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8A839D3F-380C-4BB3-9FC9-C9915FE7CCAE}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8A839D3F-380C-4BB3-9FC9-C9915FE7CCAE}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Et le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11, on 2008-03-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
c:\program files\avira\antivir personaledition classic\avscan.exe
C:\Documents and Settings\Administrateur\Bureau\Nouveau dossier\HiJackThis\HijackThis.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDFix] C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix\RunThis.bat /second
O4 - HKLM\..\RunOnce: [SDFix] C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
A voir également:

16 réponses

Réponse 1 / 16
hyptos Messages postés 361 Statut Membre 115
 
formate => reinstalle
0
Réponse 2 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Salut !

Avant de formater essaye ceci stp !
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur

Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Déroule la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
0
skillhunters
 
bon me revoila!

j'ai fais la manip' que tu m'a conseillé, mais l'écran bleu de windows reste gelé avec "veuillez patienter"

voici le maigre rapport que j'ai opptenu :

[b]SDFix: Version 1.150 [/b]

Run by Administrateur on 2008-03-02 at 20:25

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File


le rapport catchme.log:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 20:25:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden files ...

IPC error: 2 Le fichier spécifié est introuvable.
scan completed successfully
hidden files: 0


et le rapport antivir :




AntiVir PersonalEdition Classic
Report file date: 2008-03-02 01:37

Scanning for 1129035 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: 0FED07355D974CB

Version information:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 00:15:59
ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 2008-02-24 00:16:46
ANTIVIR3.VDF : 7.0.2.215 117248 Bytes 2008-02-29 00:16:51
AVEWIN32.DLL : 7.6.0.73 3334656 Bytes 2008-03-02 00:27:00
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-03-02 00:29:29
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 2008-03-02 01:37

The scan of running processes will be started
Scan process 'nircmd.cfexe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'CF12630.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
27 processes with 27 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '15' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0000208.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '47fa33c9.qua'!
C:\WINDOWS\system32\drivers\Sag20.sys
[WARNING] The file could not be opened!


End of the scan: 2008-03-02 15:32
Used time: 13:54:31 min

The scan has been done completely.

4774 Scanning directories
124475 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
124474 Files not concerned
1016 Archives were scanned
2 Warnings
0 Notes

Je préférerai ne pas formater car je ne suis actuelement pas en france et je n'ai de toute façon pas le cd
de windows pour le faire...
0
Réponse 3 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
reposte moi un log Hijackthis stp...
0
skillhunters
 
j'étais justement en train de le faire ^^



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26, on 2008-03-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Nouveau dossier\HiJackThis\HijackThis.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDFix] C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix\RunThis.bat /second
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [SDFix] C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 4 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Il va falloir analyser un fichier suspect !

Il se peut qu'il se trouve dans les " dossiers cachés " du systeme. Il faut donc les rendre visibles pour le scan.
Pour afficher les dossiers et fichiers cachés:
Panneau de configuration > Options des dossiers > onglet Affichage.
coche Afficher les fichiers et dossiers cachés,
décoche Masquer les extensions de fichiers connus
décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.
Lorsque tu aura fini d'intervenir dans les répertoires système, fait la manip inverse pour recacher les fichiers système.

Rend toi chez Virus Total pour analyser ce fichier.

Clik sur parcourir
Recherche ceci :

C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Clik send et poste le rapport ici stp
Comment faire <<< Aide toi de ce tuto.

@+
0
skillhunters
 
voila:

Fichier WLCtrl32.dll reçu le 2008.03.01 04:54:00 (CET)
Situation actuelle: terminé
Résultat: 1/32 (3.12%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - TrojanDropper:Win32/Cutwail.Y
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -


Information additionnelle
MD5: b72dedf5360831dfd357cc926059ea3e
SHA1: ea7646108c16c72ad065ada86daeddbc1b13e30b
SHA256: 9d305636d9e3d161d2347ea86b3540ab1271cdd0e7a48151b45da6c166937a2a
SHA512: 492d92aafea7cb561c8d2930657e9d489f4beb6cc461c8211d8cd06d4a924b2f f66043cdeac211fd03af626135cefe2f37e04e1cf357d508f7fdbe8ddfe42767



Ca te dit quelque chose?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Mmmmmmmm.... un seul des antivirus le donne comme trojan, je prefere en etre sur...

peux tu me faire un scan en ligne Kaspersky sous Internet Explorer stp ?

voir ici comment
Désactive ton antivirus, le temps du scan !

Clique sur Démarrer Online-Scanner
Clique maintenant sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail.
Sauvegarde puis colle le rapport généré en fin d'analyse.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée"
va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner
reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
0
skillhunters
 
la mise a jour de l'antivirus kapersky vient de s'achever, l'analyse vient à peine de débuter, on en
a pour un moment a priori...

A suivre...
0
Réponse 6 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
tu me posteras le rapport demain si tu veux... ( sauvegarde le ).

@+
0
Réponse 7 / 16
skillhunters
 
Monday, March 03, 2008 8:45:52 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 2/03/2008
Enregistrements dans la base antivirus Kaspersky : 546618

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives faux
Analyser les bases de messagerie faux
Cible de l'analyse Poste de travail
C:\
D:\

Statistiques de l'analyse
Total d'objets analysés 52101
Nombre de virus trouvés 2
Nombre d'objets infectés 18 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:01:45

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Bureau\SDFix\SDFix\backups\WLCtrl32.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\sh****@hotmail.com\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\sh****@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\obodwloz.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF1CB.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF25E.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFF60A.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFF631.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Support\MPLog-09152007-152531.log L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0000177.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0000181.sys Infecté : Email-Worm.Win32.Agent.e ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0000199.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0000214.sys Infecté : Email-Worm.Win32.Agent.e ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0001199.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0001203.sys Infecté : Email-Worm.Win32.Agent.e ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0002248.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0002252.sys Infecté : Email-Worm.Win32.Agent.e ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0002266.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0002274.sys Infecté : Email-Worm.Win32.Agent.e ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0002276.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0003276.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0003280.sys Infecté : Email-Worm.Win32.Agent.e ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0003301.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0003302.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\Sag20.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\WLCtrl32.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
C:\WINDOWS\system32\WLCtrl32.dl_ Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
Analyse terminée.

Hola, une infection a bel et bien ét detecté maisque faire now?
0
Réponse 8 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous, ( en gras )

C:\WINDOWS\system32\WLCtrl32.dll

et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.
tutoriel en cas de doute

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.
Un rapport sera enregistré dans C:\\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
EN CAS DE DOUTE REGARDE ce TUTO
0
skillhunters
 
Donc je reviens suite à la manip' avec moveit! (ligne concernant wlctrl32.dll)
Le redemarrage n'a pas été demandé donc je l'ai fais manuellement, et là SDfix a repris la suite (ce qui n'a pas été fais , voir posts précédents)

voici le rapport :


[b]SDFix: Version 1.150 [/b]

Run by Administrateur on 2008-03-02 at 20:25

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\WLCtrl32.dll - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 16:32:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}]
"StartTimeLo"=dword:ce88e1b8
"StartTimeHi"=dword:01c87d35
"EndTimeLo"=dword:ce926b20
"EndTimeHi"=dword:01c87d35

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 48


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\DAP\\DAP.exe"="C:\\Program Files\\DAP\\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Exécuter une DLL en tant qu'application"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Disabled:Firefox"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\CounterPath\\X-Lite\\x-lite.exe"="C:\\Program Files\\CounterPath\\X-Lite\\x-lite.exe:*:Enabled:X-Lite"
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sat 1 Mar 2008 6,656 A..H. --- "C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0003294.exe"
Sat 1 Mar 2008 1,024 A..H. --- "C:\System Volume Information\_restore{152C3F96-6593-424A-985A-2309E49E8BBA}\RP0\A0003295.sys"
Mon 3 Mar 2008 5,050,432 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ef8c85c913e6d5efaedb3a4508f60bb5\BIT2.tmp"

[b]Finished![/b]

Le pc a du redemarrer en deux fois, et surprise fond d'écran bleu!!

Antivir a à son tour detecté ce fameux wlctrl32 est je l'ai effacé.

Depuis que je viens de commencer d'écrire ce post l'UC tourne a 100% à nouveau!!! Mais quand même une amélioration est constatable, car là je ne suis plus en mode sans echec!!!

Je poste un nouveaux rapport hijack si besoin..
0
Réponse 9 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
l'UC tourne a 100% à nouveau!!

Fais ceci stp !

CTRL + ALT + SUPPR, sous l'onglet processus, dis moi lequel pompe l'uc ( ou lesquels )
0
skillhunters
 
svchost.exe 5 (processus!!!!!)
MsMpEng.exe
explorer.exe
guard.exe

Voila ce qui pompent l'UC a fond...depuis tout à l'heure je suis repassé en mode sans echec car
c'était plus possible, un ralentissement à rendre timbrer..
0
skillhunters
 
Une autre question:

avec moveit, j'aurai du inserer toute la liste fourni par le rapport kapersky? car je n'ai rentré que la ligne wlctr32.dll!

je viens de refaire un rapport hijack, il es toujours présent...
0
Réponse 10 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
avec moveit, j'aurai du inserer toute la liste fourni par le rapport kapersky? car je n'ai rentré que la ligne wlctr32.dll!

non, juste ce que j'avais dit ....
comme tu pourras le voir, seul ce fichier est infecté et non " sécurisé "

C:\WINDOWS\system32\WLCtrl32.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré
<ital>C:\WINDOWS\system32\WLCtrl32.dl_ Infecté : Trojan-Downloader.Win32.Agent.kep ignoré </ital>

C:\Documents and Settings\Administrateur\Bureau\SDFix\SDFix\backups\WLCtrl32.dll Infecté : Trojan-Downloader.Win32.Agent.kep ignoré

de plus, il est dans un dossier " backup " de SDFix, quand on le supprimera, tout partira ......

poste moi le rapport de OTmoveTI stp, qui est enregistré dans C:\\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.
0
skillhunters
 
DllUnregisterServer procedure not found in C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\WLCtrl32.dll NOT unregistered.
C:\WINDOWS\system32\WLCtrl32.dll moved successfully.

OTMoveIt2 v1.0.20 log created on 03032008_141951

(C'est le rapport que j'ai obtenu suite a ton aide de 13h)
0
Réponse 11 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Ok, c'est tout bon, Reposte moi un nouvel Hijackjthis stp

Relance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" ->> Copier" pour copier tout le contenu du rapport
Comment fixer les lignes et générer un rapport <---- voir ici
0
Réponse 12 / 16
skillhunters
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:23, on 2008-03-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Administrateur\Bureau\Nouveau dossier\HiJackThis\HijackThis.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 13 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Scan saved at 20:23, on 2008-03-03 on est en décallage horaire ?

Car il y est encore O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll alors qu' otmoveit nous dit C:\WINDOWS\system32\WLCtrl32.dll moved successfully.

tu viens de faire le log HJT a l'instant ?
0
skillhunters
 
oui on est en décalage, je suis en chine, mais le décalage d'une heure est normal, comme pour mes mails etc...
(même si le décalage est de 7h) et oui le rapport vient d'être fait!
Comme dit, ce fichier est toujours présent selon hijack et a été effacé selon moveit, ce fichier n'est t'il pas
un fichier système de windows?
0
Réponse 14 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
je suis en chine, whouaou !!!!
tu vas bosser loin ;o)))

n'est t'il pas un fichier système de windows?

Je pense que tu doit comprendre l' anglais, voici un peu de renseignements sur WLCtrl32.dll
http://fileinfo.prevx.com/adware/qqdb03106246490-WLCT44381720/WLCTRL32.DLL.html

essaye en mode sans échec de le supprimer .

poste de travail > C:\ > systeme 32 > essaye de trouver WLCtrl32.dll ( il doit faire cette taille :File Size: 6,656 bytes ) et supprime le !

redémarre en mode normal, et refais moi un hjt log stp .

@+
0
skillhunters
 
Prevx trouve 3 fichiers infecté, et faut payer pour pouvoir l'utiliser, j'ai zappé:

C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\SYSTEM32\WLCtrl32.dl_
C:\WINDOWS\SYSTEM32\Drivers\Sag20.sys

Bien sur wlctrl32.dll est impossible a supprimer même en mode sans echec...
0
Réponse 15 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Prevx trouve 3 fichiers infecté, et faut payer pour pouvoir l'utiliser, j'ai zappé: c'etait juste pour que tu voie ce que c'est ....

Bien sur wlctrl32.dll est impossible a supprimer même en mode sans echec...

bon, il va faloir se retrousser les manches....

Télécharge Combofix à partir d'un de ces liens :

ComboFix bleepingcomputer
ComboFix forospyware
Et important, enregistre le sur le bureau.

Si ton antivirus te signale un trojan , risktools ou quoi que ce soit, il faut choisir ignorer car c'est une erreur de detection.
Il detecte en fait un composant de l'outil de nettoyage.

Avant d'utiliser ComboFix :
Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt

-Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
- Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

(Merci mOe)
0
skillhunters
 
voili voilou

ComboFix 08-03-03.16 - Administrateur 2008-03-03 22:48:02.5 - NTFSx86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.765 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-03 to 2008-03-03 ))))))))))))))))))))))))))))))))))))
.

2008-03-03 22:36 . 2008-03-03 22:36 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dl_
2008-03-03 22:20 . 2008-03-03 22:36 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-03-03 14:19 . 2008-03-03 14:19 <REP> d-------- C:\_OTMoveIt
2008-03-02 21:54 . 2008-03-02 21:54 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-02 19:28 . 2008-03-02 19:28 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-03-02 19:27 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-03-02 18:33 . 2008-03-01 23:12 86,016 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-02 18:33 . 2008-02-29 23:48 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-02 18:33 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-02 18:32 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-02 18:32 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-02 18:32 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-02 18:32 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-02 17:50 . 2008-03-02 21:16 1,620 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-02 17:49 . 2008-03-02 21:18 <REP> d-------- C:\SmitfraudFix
2008-03-02 17:34 . 2008-03-02 17:34 1,303,606 --a------ C:\SmitfraudFix.exe
2008-03-01 22:04 . 2008-03-01 22:05 <REP> d-------- C:\WINDOWS\ERUNT
2008-03-01 21:50 . 2008-03-01 21:50 <REP> d-------- C:\Program Files\Avira
2008-03-01 21:50 . 2008-03-01 21:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-03-01 21:35 . 2008-03-01 21:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
2008-03-01 18:49 . 2008-03-01 18:27 691,545 --a------ C:\WINDOWS\unins000.exe
2008-03-01 18:49 . 2008-03-01 18:49 2,564 --a------ C:\WINDOWS\unins000.dat
2008-03-01 17:56 . 2008-03-02 02:02 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2008-03-01 17:56 . 2008-03-01 17:56 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-03-01 17:56 . 2008-03-01 17:56 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-01 17:56 . 2008-03-01 17:56 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-01 17:48 . 2004-03-18 18:36 401,484 --a------ C:\WINDOWS\system32\msvcrtd.dll
2008-03-01 17:48 . 2008-03-01 17:48 582 --a------ C:\WINDOWS\system32\msvcrtd.dll.lnk
2008-02-22 00:39 . 2008-02-22 00:39 110,592 --------- C:\WINDOWS\system32\avgfwafu.dll.install_backup
2008-02-22 00:39 . 2008-02-22 00:39 9,216 --------- C:\WINDOWS\system32\avgwlntf.dll.install_backup
2008-02-22 00:38 . 2008-03-02 19:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-21 22:39 . 2008-03-03 22:36 26,240 --a------ C:\WINDOWS\system32\drivers\Sag20.sys
2008-02-20 00:00 . 2008-02-20 00:00 <REP> d-------- C:\DVDVideoSoft
2008-02-19 16:10 . 2008-02-19 16:10 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-02-19 16:03 . 2008-02-19 16:14 <REP> d-------- C:\Program Files\Microsoft Bootvis
2008-02-17 17:13 . 2008-02-17 17:13 66 --a------ C:\WINDOWS\#1 Video Converter.INI
2008-02-16 23:50 . 2008-03-01 21:39 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-02-14 00:22 . 2008-02-14 00:41 <REP> d--h----- C:\WINDOWS\Icons
2008-02-13 20:41 . 2007-12-19 23:53 347,136 -----c--- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2008-02-13 20:41 . 2008-01-11 06:36 44,544 -----c--- C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-02-13 01:53 . 2007-12-18 10:51 179,584 -----c--- C:\WINDOWS\system32\dllcache\mrxdav.sys
2008-02-10 18:41 . 2008-03-01 18:21 <REP> d-------- C:\Program Files\SopCast
2008-02-07 17:16 . 2008-02-07 17:16 <REP> d-------- C:\Program Files\Veoh Networks
2008-02-07 17:14 . 2008-02-07 17:14 <REP> d-------- C:\WINDOWS\Downloaded Installations

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-03 21:14 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-03-03 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-20 22:45 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Azureus
2008-02-20 02:46 --------- d-----w C:\Program Files\Fichiers communs\DVDVideoSoft
2008-02-20 02:45 --------- d-----w C:\Program Files\DVDVideoSoft
2008-02-16 01:48 --------- d-----w C:\Program Files\StuffPlug3
2008-02-09 21:18 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Media Player Classic
2008-02-07 16:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-26 15:56 86,094 ----a-w C:\WINDOWS\BPMNT.dll
2008-01-26 15:56 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2008-01-26 15:56 267,845 ----a-w C:\WINDOWS\tsc.exe
2008-01-26 15:56 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2008-01-26 15:38 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-01-26 15:38 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-01-26 15:38 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-01-26 15:29 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-01-26 15:25 --------- d-----w C:\Program Files\filesubmit
2008-01-25 22:52 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Uniblue
2008-01-25 21:16 306,432 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-01-25 21:16 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-01-25 21:16 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\TuneUp Software
2008-01-25 21:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-01-25 20:45 --------- d-----w C:\Program Files\Everest
2008-01-25 18:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-01-25 18:47 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-01-25 09:54 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Auslogics
2008-01-24 18:13 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\skypePM
2008-01-23 18:22 --------- d-----w C:\Program Files\Fichiers communs\Intel
2008-01-23 18:22 --------- d-----w C:\Program Files\CounterPath
2008-01-22 23:01 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-01-21 10:29 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-01-21 08:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-01-09 15:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-01-07 09:38 --------- d-----w C:\Program Files\Bonjour
2008-01-07 08:21 --------- d-----w C:\Program Files\Fichiers communs\Macrovision Shared
2008-01-07 08:14 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-01-05 21:34 --------- d-----w C:\Program Files\DivX
2007-12-20 09:41 29,440 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2007-12-11 19:46 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-12-11 19:46 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-12-11 19:45 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-12-11 19:45 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-12-11 19:43 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-09-15 12:28 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-09-15 12:28 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
2007-09-15 12:28 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

------- Sigcheck -------

fb66744d525ea5df9a719f1db9b2dff4 C:\WINDOWS\system32\winlogon.exe
----a-w 507,904 2004-08-28 14:00:00 C:\WINDOWS\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-28 15:00 25088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-02 01:10 249896]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-03-03 22:36 11776 C:\WINDOWS\system32\WLCtrl32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator]
--a------ 2007-09-15 15:39 2864128 C:\Program Files\DAP\DAP.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
"eyeBeam SIP Client"="C:\Program Files\CounterPath\X-Lite\x-lite.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Domino"=C:\WINDOWS\Domino.exe
"hpWirelessAssistant"=C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\DAP\\DAP.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\CounterPath\\X-Lite\\x-lite.exe"=
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

R0 Sag20;Sag20;C:\WINDOWS\system32\Drivers\Sag20.sys [2008-03-03 22:36]
R0 Si3112;Si3112;C:\WINDOWS\system32\drivers\Si3112.sys [2004-08-28 15:00]
S2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-28 15:00]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\everest\kerneld.wnt [2006-10-18 23:00]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-25 22:16]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 00:58]
S3 ZSMC211;ZSMC USB PC Camera (ZS211);C:\WINDOWS\system32\Drivers\ZS211.sys [2007-06-13 09:24]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-29 20:44:13 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2008\OneClick.exe
"2008-03-03 21:40:30 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 22:52:17
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\WLCtrl32.dll
.
Temps d'accomplissement: 2008-03-03 22:53:45
ComboFix-quarantined-files.txt 2008-03-03 21:53:18
ComboFix2.txt 2008-03-01 21:02:19
ComboFix3.txt 2008-03-01 20:23:29
.
2008-02-20 08:09:29 --- E O F ---



merci encore de m'accorder du temps pour m'aider
0
Réponse 16 / 16
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
je ne t'ai pas oublié, t'inquietes ! ;-P
je cherche pourquoi ce fichier ne veux pas se barrer....

2008-03-03 22:36 . 2008-03-03 22:36 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dl_
2008-03-03 22:20 . 2008-03-03 22:36 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll

Alors que sdfix le dit " DELETED"

@+
0
skillhunters
 
je suis toujours dessus également, je vais essayer avec la version d'évaluation de kapersky antivirus...
0