Help! Win32/Adware.Virtuomonde [Résolu]

Réponse 1 / 38

ep44 Messages postés 7393 Date d'inscription Statut Contributeur Dernière intervention 3

Bonsoir Babouxx
Télécharge sur le bureau

ftp://ftp.commentcamarche.com/download/HJTInstall.exe

= Double-clic dessus pour l'installer
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

ensuite

Télécharge sur le Bureau.
http://www.atribune.org/ccount/click.php?id=4

=> Double-clic VundoFix.exe.
=> Clic OK
=> Attendre le redemarrage de Vundofix
=> Clic Scan for Vundo
=> Le scan est assez long , à la fin
=> Clic Remove Vundo
=> Puis yes
=> Le Bureau disparaît un moment lors de la suppression des fichiers.
=> Message shutdown
=> clic OK
=> Redémarrage auto
=> copier le rapport qui est dans C:vundofix.txt

ensuite
Télécharge VirtumundoBeGone sur ton bureau .
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
=> double-clic sur VirtumundoBeGone.exe
=> Suis les instructions à l'écran
=> Quand le scan est terminé, enregistre le rapport.
=> Copie/Colle le ici

ensuite

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix,
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

une fois ceci fait refais un rapport hijack

@+

Utilisateur anonyme

Ne pas oublier de faire renommer HiJackThis. Surtout avec Vundo qui se cache à lui si pas renommé.

Réponse 2 / 38

Babouxx

Ok merci beaucoup, je m'occuperais de cela demain après midi (college oblige :S)

Je posterais les rapports !

Merci encore :)

Utilisateur anonyme

LOL, ils sont bien je trouve les p'tits jeunes.

_

ep44 Messages postés 7393 Date d'inscription Statut Contributeur Dernière intervention 3 > Utilisateur anonyme

Bonsoir booddha,

LOL, ils sont bien je trouve les p'tits jeunes.

en effet MDR ;-)

pas de soucis Babouxx a demain ;-)
@+

Utilisateur anonyme > ep44 Messages postés 7393 Date d'inscription Statut Contributeur Dernière intervention

quels petits jeunes ?

ep44 Messages postés 7393 Date d'inscription Statut Contributeur Dernière intervention 3 > Utilisateur anonyme

Bonsoir FunnyGirl,

http://www.commentcamarche.net/forum/affich 5518530 help win32 adware virtuomonde#5

@+

Utilisateur anonyme > ep44 Messages postés 7393 Date d'inscription Statut Contributeur Dernière intervention

Salut

;)

_

Réponse 3 / 38

ep44 Messages postés 7393 Date d'inscription Statut Contributeur Dernière intervention 3

un beau nettoyage de fait
mais ton rapport hijack montre beaucoup de chose
commence par ceci

selectionne ceci

File::

D:\WINDOWS\system32\dfwhhalb.tmp
D:\WINDOWS\system32\dfwhhalb.tmp
D:\WINDOWS\system32\ogpqbaai.tmp
D:\WINDOWS\system32\uhpywjkv.ini
D:\WINDOWS\system32\bramlhok.tmp
D:\WINDOWS\system32\vtsodmbd.tmp
D:\WINDOWS\system32\ejuwwkye.ini
D:\WINDOWS\system32\gekaruqt.ini
D:\WINDOWS\system32\kdqdernv.ini
D:\WINDOWS\system32\nsdbifjv.tmp
D:\WINDOWS\system32\kdqdernv.tmp
D:\WINDOWS\system32\xtmspjxj.ini
D:\WINDOWS\system32\cwefnpvy.ini
D:\WINDOWS\system32\ncdnjfrt.tmp

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

ensuite refais hijack stp
@+

Utilisateur anonyme

euh c'est quoi ^^

Utilisateur anonyme > Utilisateur anonyme

Ca va supprimer les fichiers en questions.

Utilisateur anonyme > Utilisateur anonyme

bonsoir a tous , c'est la famille Adam's . Tu vas bien ep44 ?

Réponse 4 / 38

ep44 Messages postés 7393 Date d'inscription Statut Contributeur Dernière intervention 3

tu as de multiple infection
donc essaye de suivre les étapes ;-)

Bonsoir booddha :)

@+

Utilisateur anonyme

manquait + que vous pour diner ^^

lol

Réponse 5 / 38

Utilisateur anonyme

bonsoir

lance ceci stp:

1/Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.

Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse

2/Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.

3/
• Télécharger HijackThis ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
• Installer HijackThis dans un répertoire dédié NON Temporaire
(afin de conserver les sauvegardes qu'il fait) et en le renommant Monjack
• Fermer toutes les applications
• Lancer hitjackthis
• Click sur Do a system scan and save a logfile

Un rapport en fichier text va s'ouvrir.
Le copier et le coller sur le forum

bises

Utilisateur anonyme

sorry de la triple réponse ^^

Réponse 6 / 38

Babouxx

Allez le jeune homme collégien se lance dans la grande aventure ! :D

Je viens de recuperer tout les logiciels, reste à les installer, je posterais les rapports :)

Réponse 7 / 38

Babouxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:11, on 19/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\lxdicoms.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\WINDOWS\system32\Tablet.exe
D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
D:\WINDOWS\system32\Rundll32.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\Msmsgs.exe
D:\Program Files\Hercules\WiFi Station\WifiStation.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\KiddiesBarre\KiddiesBarre.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {04D9DD72-F264-46BF-BA53-554521FB47A1} - D:\WINDOWS\system32\ljhij.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - D:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
O2 - BHO: (no name) - {3FA80F49-19D6-4FB9-B490-0482D5E1DFFE} - D:\WINDOWS\system32\nnlij.dll (file missing)
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - D:\Program Files\Dealio\kb106\Dealio.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOWS\system32\pmnommk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SnapToolbarHelper Class - {8600AC1E-BE58-4FFC-BD5D-F2A8EC38C838} - D:\Program Files\Snap Visual Search\snapbar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {957FFCD4-37FE-4397-9335-0E8840C6CF6D} - D:\WINDOWS\system32\awvsr.dll (file missing)
O2 - BHO: {e35289ce-7159-cbc9-1804-337bdf554d7b} - {b7d455fd-b733-4081-9cbc-9517ec98253e} - D:\WINDOWS\system32\kbjjdkep.dll
O3 - Toolbar: Snap Visual Search - {EF56413F-9398-4DF5-BC88-6FC3B227D5C5} - D:\Program Files\Snap Visual Search\snapbar.dll

Réponse 8 / 38

Babouxx

O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - D:\Program Files\Dealio\kb106\Dealio.dll
O3 - Toolbar: Deenero - {5ADDE6F9-B220-488D-9ADE-9C20D3A31533} - D:\Program Files\Deenero\deenero_1,0,0,9.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SMSTray] D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [au] D:\Program Files\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [lxdimon.exe] "D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "D:\Program Files\\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [BM13f80d2d] Rundll32.exe "D:\WINDOWS\system32\iajqbwfu.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\Msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\msagent" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: Compare Prices with &Dealio - D:\Program Files\Dealio\kb106\res\DealioSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Casino-On-Net - {3015DB92-158E-4b77-9020-85C8E311FBB5} - D:\PROGRA~1\CASINO~1\casino.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - D:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - D:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

Réponse 9 / 38

Babouxx

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - D:\Program Files\Dealio\kb106\Dealio.dll
O9 - Extra button: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{32BF34CB-80EF-4E87-80D6-B5805A601CDC}: NameServer = 192.168.3.1
O20 - Winlogon Notify: pmnommk - D:\WINDOWS\SYSTEM32\pmnommk.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - D:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - D:\WINDOWS\system32\lxdicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe

Réponse 10 / 38

Babouxx

Combien de temps il met le scan Vundofix ? Cela fait deja 4h que je l'ai lancé voir plus :S

Réponse 11 / 38

Babouxx

VundoFix V7.0.3

Scan started at 14:23:15 19/03/2008

Listing files found while scanning....

D:\windows\system32\mljjk.dll
D:\WINDOWS\system32\pmnommk.dll

Beginning removal...

Attempting to delete D:\windows\system32\mljjk.dll
D:\windows\system32\mljjk.dll Has been deleted!

Attempting to delete D:\WINDOWS\system32\pmnommk.dll
D:\WINDOWS\system32\pmnommk.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete D:\WINDOWS\system32\pmnommk.dll
D:\WINDOWS\system32\pmnommk.dll Has been deleted!

Performing Repairs to the registry.
Done!

[03/19/2008, 20:36:27] - VirtumundoBeGone v1.5 ( "H:\VirtumundoBeGone.exe" )
[03/19/2008, 20:36:35] - Detected System Information:
[03/19/2008, 20:36:35] - Windows Version: 5.1.2600, Service Pack 2
[03/19/2008, 20:36:35] - Current Username: Baptiste (Admin)
[03/19/2008, 20:36:35] - Windows is in NORMAL mode.
[03/19/2008, 20:36:35] - Searching for Browser Helper Objects:
[03/19/2008, 20:36:36] - BHO 1: {04D9DD72-F264-46BF-BA53-554521FB47A1} ()
[03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/19/2008, 20:36:36] - No filename found. Continuing.
[03/19/2008, 20:36:36] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[03/19/2008, 20:36:36] - BHO 3: {100EB1FD-D03E-47FD-81F3-EE91287F9465} (ShoppingReport)
[03/19/2008, 20:36:36] - BHO 4: {3FA80F49-19D6-4FB9-B490-0482D5E1DFFE} ()
[03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/19/2008, 20:36:36] - Checking for HKLM\...\Winlogon\Notify\nnlij
[03/19/2008, 20:36:36] - Key not found: HKLM\...\Winlogon\Notify\nnlij, continuing.
[03/19/2008, 20:36:36] - BHO 5: {6A87B991-A31F-4130-AE72-6D0C294BF082} (DealioBHO Class)
[03/19/2008, 20:36:36] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[03/19/2008, 20:36:36] - BHO 7: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/19/2008, 20:36:36] - No filename found. Continuing.
[03/19/2008, 20:36:36] - BHO 8: {8600AC1E-BE58-4FFC-BD5D-F2A8EC38C838} (SnapToolbarHelper Class)
[03/19/2008, 20:36:36] - BHO 9: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[03/19/2008, 20:36:36] - BHO 10: {957FFCD4-37FE-4397-9335-0E8840C6CF6D} ()
[03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/19/2008, 20:36:36] - Checking for HKLM\...\Winlogon\Notify\awvsr
[03/19/2008, 20:36:36] - Key not found: HKLM\...\Winlogon\Notify\awvsr, continuing.
[03/19/2008, 20:36:36] - BHO 11: {b7d455fd-b733-4081-9cbc-9517ec98253e} ()
[03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/19/2008, 20:36:36] - Checking for HKLM\...\Winlogon\Notify\kbjjdkep
[03/19/2008, 20:36:36] - Key not found: HKLM\...\Winlogon\Notify\kbjjdkep, continuing.
[03/19/2008, 20:36:36] - Finished Searching Browser Helper Objects
[03/19/2008, 20:36:36] - Finishing up...
[03/19/2008, 20:36:36] - Nothing found! Exiting...

Réponse 12 / 38

ep44 Messages postés 7393 Date d'inscription Statut Contributeur Dernière intervention 3

Bonsoir
très bien il manque combofix et un nouveau hijack
qu'il faut poster en une seule fois ;-)

@+

Réponse 13 / 38

Babouxx

ComboFix 08-03-18.1 - Baptiste 2008-03-19 21:09:42.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.192 [GMT 1:00]
Endroit: H:\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Documents and Settings\Baptiste\Application Data\ShoppingReport
D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\Config.xml
D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\db\Aliases.dbs
D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\db\Sites.dbs
D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\dwld\WhiteList.xip
D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\report\aggr_storage.xml
D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\report\send_storage.xml
D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\res2\WhiteList.dbs
D:\Program Files\ShoppingReport
D:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
D:\Program Files\ShoppingReport\Uninst.exe
D:\WINDOWS\BM13f80d2d.xml
D:\WINDOWS\cookies.ini
D:\WINDOWS\pskt.ini
D:\WINDOWS\system32\answciju.dll
D:\WINDOWS\system32\bhojnxqx.dll
D:\WINDOWS\system32\bxqnmkia.dll
D:\WINDOWS\system32\byxuv.dll
D:\WINDOWS\system32\cgwuvyyc.ini
D:\WINDOWS\system32\cyyvuwgc.dll
D:\WINDOWS\system32\ffubnops.dll
D:\WINDOWS\system32\iajqbwfu.dll
D:\WINDOWS\system32\jihjl.ini
D:\WINDOWS\system32\jihjl.ini2
D:\WINDOWS\system32\jilnn.ini
D:\WINDOWS\system32\jilnn.ini2
D:\WINDOWS\system32\jwegkmcn.ini
D:\WINDOWS\system32\kbjjdkep.dll
D:\WINDOWS\system32\lffvctmt.dll
D:\WINDOWS\system32\mcrh.tmp
D:\WINDOWS\system32\meduarcy.dll
D:\WINDOWS\system32\ncmkgewj.dll
D:\WINDOWS\system32\nlwaxomy.ini
D:\WINDOWS\system32\nohnoxkq.dll
D:\WINDOWS\system32\ppdghumn.dll
D:\WINDOWS\system32\pxkgfslc.dll
D:\WINDOWS\system32\reifaluv.dll
D:\WINDOWS\system32\rsvwa.ini
D:\WINDOWS\system32\rsvwa.ini2
D:\WINDOWS\system32\sponbuff.ini
D:\WINDOWS\system32\uedhfcqp.dll
D:\WINDOWS\system32\ukqtedeo.dll
D:\WINDOWS\system32\unqsfrwt.dll
D:\WINDOWS\system32\vtust.dll
D:\WINDOWS\system32\vumyofgs.dll
D:\WINDOWS\system32\vvselcvu.dll
D:\WINDOWS\system32\xdasckpr.dll
D:\WINDOWS\system32\yhyuomjv.dll
D:\WINDOWS\system32\yintudvh.dll
D:\WINDOWS\system32\ymoxawln.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-19 to 2008-03-19 ))))))))))))))))))))))))))))))))))))
.

2008-03-19 21:19 . 2008-03-19 21:19 <REP> d-------- D:\WINDOWS\srchasst
2008-03-19 21:19 . 2008-03-19 21:19 <REP> d-------- D:\WINDOWS\msagent
2008-03-19 14:23 . 2008-03-19 20:24 <REP> d-------- D:\VundoFix Backups
2008-03-19 14:10 . 2008-03-19 14:10 <REP> d-------- D:\Program Files\Trend Micro
2008-03-18 21:10 . 2008-03-18 21:10 <REP> d-------- D:\Program Files\AdwareSpywareScannerDeleter
2008-03-17 17:48 . 2008-03-17 17:48 1,354,800 ---hs---- D:\WINDOWS\system32\lomoekti.tmp
2008-03-16 17:44 . 2008-03-16 17:44 1,366,743 ---hs---- D:\WINDOWS\system32\dfwhhalb.tmp
2008-03-16 15:58 . 2008-03-16 15:58 1,366,983 ---hs---- D:\WINDOWS\system32\ogpqbaai.tmp
2008-03-14 15:54 . 2008-03-15 15:59 1,366,803 ---hs---- D:\WINDOWS\system32\gblhrvto.ini
2008-03-12 21:00 . 2008-03-12 21:00 <REP> d-------- D:\Program Files\Deenero
2008-03-12 20:49 . 2008-03-12 20:49 <REP> d-------- D:\Program Files\KiddiesBarre
2008-03-12 19:05 . 2008-03-13 09:01 1,343,375 ---hs---- D:\WINDOWS\system32\uhpywjkv.ini
2008-03-12 19:05 . 2008-03-12 19:05 1,315,290 ---hs---- D:\WINDOWS\system32\bramlhok.tmp
2008-03-10 17:38 . 2008-03-10 17:38 1,307,681 ---hs---- D:\WINDOWS\system32\vtsodmbd.tmp
2008-03-07 16:54 . 2008-03-08 16:55 1,307,801 ---hs---- D:\WINDOWS\system32\ejuwwkye.ini
2008-03-07 16:45 . 2008-03-07 16:54 1,307,621 ---hs---- D:\WINDOWS\system32\gekaruqt.ini
2008-03-07 07:23 . 2008-03-06 16:22 294 --ahs---- D:\WINDOWS\system32\kdqdernv.ini
2008-03-06 16:22 . 2008-03-06 16:22 1,306,857 ---hs---- D:\WINDOWS\system32\nsdbifjv.tmp
2008-03-06 16:22 . 2008-03-06 16:22 1,306,677 ---hs---- D:\WINDOWS\system32\kdqdernv.tmp
2008-03-04 22:58 . 2008-03-04 22:59 1,303,078 ---hs---- D:\WINDOWS\system32\xtmspjxj.ini
2008-03-03 22:52 . 2008-03-04 22:59 1,303,018 ---hs---- D:\WINDOWS\system32\cwefnpvy.ini
2008-03-03 22:52 . 2008-03-03 22:52 1,286,940 ---hs---- D:\WINDOWS\system32\ncdnjfrt.tmp
2008-03-03 20:59 . 2008-03-03 20:59 <REP> d-------- D:\Program Files\ESET
2008-03-03 20:59 . 2008-03-03 20:59 <REP> d-------- D:\Documents and Settings\All Users\Application Data\ESET

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 19:28 --------- d-----w D:\Documents and Settings\Baptiste\Application Data\WTablet
2008-03-17 06:32 --------- d-----w D:\Documents and Settings\LocalService\Application Data\WTablet
2008-03-04 17:54 --------- d-----w D:\Program Files\MSN Messenger
2008-03-04 16:12 --------- d-----w D:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-04 07:12 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-02-18 18:11 --------- d-----w D:\Program Files\Windows Live Safety Center
2008-02-18 13:07 --------- d-----w D:\Documents and Settings\Baptiste\Application Data\Azureus
2008-02-13 18:55 --------- d-----w D:\Documents and Settings\Baptiste\Application Data\Apple Computer
2008-02-13 18:54 --------- d-----w D:\Program Files\iTunes
2008-02-13 18:53 --------- d-----w D:\Program Files\iPod
2008-02-13 18:52 --------- d-----w D:\Documents and Settings\All Users\Application Data\Apple Computer
2008-02-13 18:49 --------- d-----w D:\Program Files\Fichiers communs\Apple
2008-02-13 18:42 --------- d-----w D:\Program Files\QuickTime
2008-02-13 15:55 --------- d-----w D:\Program Files\mIRC
2008-02-03 16:48 --------- d-----w D:\Program Files\StuffPlug3
2008-02-03 16:36 --------- d-----w D:\Program Files\Windows Live
2008-02-03 16:23 --------- dcsh--w D:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-01-30 11:38 34,312 ----a-w D:\WINDOWS\system32\drivers\epfwtdir.sys
2008-01-30 11:35 39,944 ----a-w D:\WINDOWS\system32\drivers\eamon.sys
2008-01-30 11:35 29,704 ----a-w D:\WINDOWS\system32\drivers\easdrv.sys
2008-01-26 20:43 --------- d-----w D:\Program Files\Apple Software Update
2008-01-26 20:43 --------- d-----w D:\Documents and Settings\All Users\Application Data\Apple
2008-01-23 19:09 --------- d-----w D:\Program Files\eMule
2008-01-23 19:01 --------- d-----w D:\Documents and Settings\Baptiste\Application Data\LimeWire
2007-05-27 20:27 774,144 ----a-w D:\Program Files\RngInterstitial.dll
2001-07-30 11:37 364,032 ----a-w D:\Program Files\volley.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3FA80F49-19D6-4FB9-B490-0482D5E1DFFE}]
D:\WINDOWS\system32\nnlij.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8600AC1E-BE58-4FFC-BD5D-F2A8EC38C838}]
2007-06-22 19:43 303104 --a------ D:\Program Files\Snap Visual Search\snapbar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{957FFCD4-37FE-4397-9335-0E8840C6CF6D}]
D:\WINDOWS\system32\awvsr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{5ADDE6F9-B220-488D-9ADE-9C20D3A31533}"= "D:\Program Files\Deenero\deenero_1,0,0,9.dll" [2008-01-18 17:04 890408]

[HKEY_CLASSES_ROOT\clsid\{5adde6f9-b220-488d-9ade-9c20d3a31533}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="D:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"MSMSGS"="D:\Program Files\Messenger\Msmsgs.exe" [2005-08-31 20:27 1658592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2004-04-13 15:25 3309568]
"nwiz"="nwiz.exe" [2004-04-13 15:25 782336 D:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2004-04-13 15:25 46080]
"SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-08 17:24 126976]
"MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-02-08 17:24 57344]
"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"au"="D:\Program Files\Dealio\DealioAU.exe" [2007-06-27 11:46 238936]
"lxdimon.exe"="D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-05-07 19:07 435120]
"lxdiamon"="D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-03-05 13:40 20480]
"FaxCenterServer"="D:\Program Files\\Lexmark Fax Solutions\fm3032.exe" [2007-05-07 19:10 312240]
"QuickTime Task"="D:\Program Files\QuickTime\QTTask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2008-02-04 14:18 267048]
"egui"="D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-01-30 12:37 1443072]
"combofix"="D:\WINDOWS\system32\CF25264.exe" [2004-08-19 15:09 400896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoStartMenuMorePrograms"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 16:51 192512]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"D:\\WINDOWS\\system32\\muzapp.exe"=
"D:\\Program Files\\Lexmark 3500-4500 Series\\lxdiamon.exe"=
"D:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe"=
"D:\\Program Files\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"=
"D:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe"=
"D:\\Program Files\\Lexmark 3500-4500 Series\\lxdimon.exe"=
"D:\\WINDOWS\\system32\\lxdicfg.exe"=
"D:\\WINDOWS\\system32\\lxdicoms.exe"=
"D:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"=
"D:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"=
"D:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe"=
"D:\\WINDOWS\\system32\\lxdiih.exe"=
"D:\\Program Files\\LimeWire\\LimeWire.exe"=
"D:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdiwbgw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Program Files\\iTunes\\iTunes.exe"=
"D:\\Program Files\\Messenger\\Msmsgs.exe"=
"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"D:\\Program Files\\MSN Messenger\\livecall.exe"=

R1 epfwtdir;epfwtdir;D:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-01-30 12:38]
R2 lxdi_device;lxdi_device;D:\WINDOWS\system32\lxdicoms.exe [2007-04-26 16:38]
R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe [2007-04-26 16:38]
R2 Pctspk;PCTEL Speaker Phone;D:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47]
R3 Ptserlp;PCTEL Serial Device Driver for PCI;D:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28]
R3 USBSTOR;Pilote de stockage de masse USB;D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
R3 wacommousefilter;Wacom Mouse Filter Driver;D:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 20:12]
R3 wacomvhid;Wacom Virtual Hid Driver;D:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 19:30]
S3 Boonty Games;Boonty Games;"D:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-10-03 17:32]
S3 usbscan;Pilote de scanneur USB;D:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
S3 V0080Dev;Creative Camera VF0080 Driver;D:\WINDOWS\system32\DRIVERS\V0080Dev.sys [2005-05-06 15:11]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-19 16:50:22 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- D:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 21:24:28
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\Tablet.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Program Files\Windows Media Player\WMPNetwk.exe
D:\Program Files\Hercules\WiFi Station\WifiStation.exe
D:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-19 21:30:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-19 20:30:34
.
2008-01-20 08:42:10 --- E O F ---

Réponse 14 / 38

Babouxx

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:29, on 19/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
D:\WINDOWS\system32\lxdicoms.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\Msmsgs.exe
D:\Program Files\Hercules\WiFi Station\WifiStation.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\WINDOWS\system32\Tablet.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3FA80F49-19D6-4FB9-B490-0482D5E1DFFE} - D:\WINDOWS\system32\nnlij.dll (file missing)
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - D:\Program Files\Dealio\kb106\Dealio.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: SnapToolbarHelper Class - {8600AC1E-BE58-4FFC-BD5D-F2A8EC38C838} - D:\Program Files\Snap Visual Search\snapbar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {957FFCD4-37FE-4397-9335-0E8840C6CF6D} - D:\WINDOWS\system32\awvsr.dll (file missing)
O3 - Toolbar: Snap Visual Search - {EF56413F-9398-4DF5-BC88-6FC3B227D5C5} - D:\Program Files\Snap Visual Search\snapbar.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - D:\Program Files\Dealio\kb106\Dealio.dll
O3 - Toolbar: Deenero - {5ADDE6F9-B220-488D-9ADE-9C20D3A31533} - D:\Program Files\Deenero\deenero_1,0,0,9.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SMSTray] D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe

Réponse 15 / 38

Babouxx

O4 - HKLM\..\Run: [MAAgent] D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [au] D:\Program Files\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [lxdimon.exe] "D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "D:\Program Files\\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\Msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\msagent" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: Compare Prices with &Dealio - D:\Program Files\Dealio\kb106\res\DealioSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Casino-On-Net - {3015DB92-158E-4b77-9020-85C8E311FBB5} - D:\PROGRA~1\CASINO~1\casino.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - D:\Program Files\Dealio\kb106\Dealio.dll
O9 - Extra button: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{32BF34CB-80EF-4E87-80D6-B5805A601CDC}: NameServer = 192.168.3.1
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

Réponse 16 / 38

Babouxx

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - D:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - D:\WINDOWS\system32\lxdicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe

Utilisateur anonyme

Pourquoi tu coupes ce rapport sur trois message?

Il faut le reconstituer après,

Il tient sur un seul message.

Réponse 17 / 38

Babouxx

Oui mais il ne le poste pas quand je ne le met que sur 1 message, car j'ai une low connexion à internet...

Utilisateur anonyme

Ok, j'ignorais ce problême.

Réponse 18 / 38

Utilisateur anonyme

C'est la fête ici =')

( pour suivre )

Ps: Vous ferez gaffe , sa version est non officielle ... ( crackée avec de la chance )

Réponse 19 / 38

Utilisateur anonyme

hello mister Cyril

donc je crack le mien disons tu le vois a quoi? nan le mien n'est pas craké là mais l'ayant déjà eu ....tu le reconnais comment et il changera quoi face aux virus ? rester wga ou craké ca y change quoi en cas de euhhhhhhhhhhhhh trojans dison? des mises a jours aussi?

et encore c que 2 questions lol

kiss

Utilisateur anonyme

Re ,

Dans cette partie du rapport

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\msagent" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32

J'ai pas tout souligné mais l'important y est.
Le version d'IE aussi confirme defois ( pas tout le temps ) ici IE 6

Eh bien le fait d'avoir une version non officielle , déja c'est plein d'emmerdes niveau sécurité ( failles , etc ... )
Donc le pc sera très souvent infecté.
De plus des outils tel que Combofix peuvent faire un massacre sur ce genre version ... ( experience personnelle )

Certains pro disent même que c'est peine perdue de désinfecter ce genre de version.

En effet le pc ne sera JAMAIS protégé correctement.

Mais rien n'empeche d'essayer ;)

D'ailleurs ça a l'air de bien se présenter ici =)

A+

Utilisateur anonyme > Utilisateur anonyme

Quand tu dis non officielle, c'est quoi ?

Crackée ?
Il s'est fait bernée par une copie faites en Thaïlande ou ailleurs ?

Utilisateur anonyme > Utilisateur anonyme

Ouais crackée , genre un pote lui installe ' gratuitement ' ou alors un pti logiciel qui modifie windows pour éviter de l'activer ...

Rien de bien glorieux

Utilisateur anonyme > Utilisateur anonyme

merci de ces précision , g wga et oui j'en prends soin car snif si pu d'ordi ^^ mais j'avais pas fais gaff lors du crack la différennce !!!!mauvaise fille je suis ^^

merci d'avoir su m'expliquer et me montrer en + où on le voit!!!!!c sympas

iss

Utilisateur anonyme > Utilisateur anonyme

c vrai ca reste que du superficiel !!!et si plante bien ba c mort ^^

Réponse 20 / 38

Babouxx

Ouais flood en force xD !

Bon je m'occupe de ce que tu m'a dit ep44 :)

Help! Win32/Adware.Virtuomonde

38 réponses

Votre réponse

Discussions similaires