Infecté par Résolu/Fermé

Question

Bonjour à tous et toutes,

Comme beaucoup j'ai bêtement cliqué sur un lien envoyé par un contact msn: "lol quelqu'un a mis ta photo ici" et depuis je me retrouve infecté par un virus qui a tenté de se propagé a tous mes contacts msn que j'espère avoir réussi a prévenir à temps.
J'ai alors cherché sur msn comment m'en débarasser et j'ai téléchargé MSNFIX dont voici le 1er rapport:



MSNFix 1.689  
 
C:\Documents and Settings\Administrateur\Bureau\MSNFix 
Fix exécuté le 24/03/2008 - 18:18:32,76 By Administrateur 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\??????.exe 
... C:\?.exe 
... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Setup.exe 
... C:\WINDOWS\system\svhost.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe 
.. OK ... C:\WINDOWS\system32\LOCALS~1 
.. OK ... C:\??????.exe  
.. OK ... C:\?.exe  
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Setup.exe  
.. OK ... C:\WINDOWS\system\svhost.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\mss32.zip] 3E950E5B1DD951C5EA2F3200BEE497ED 
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\epurcfrver20.dll.zip] 46F3E109486AF1953DA09BD212F8A6E2 
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\epurcukver20.dll.zip] FF521A9F5C637AD3746AD90C942192FE 
[C:\ho_139.zip] 4B8A8DDF463E76BC8A2F75CF6B757AE0 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\ADMINI~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 24032008_18213096.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£''fix''.exe 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 

J'ai ensuite passé un coup de Spybot - Search & Destroy et j'espérais m'en être débrassé. Mais malheureusement certains de mes contacts ont recu un nouveau message msn de ma part les invitant a cliquer a nouveau sur ce lien.

J'ai alors refait un coup de MSNFIX dont voici le rapport:

MSNFix 1.689  
 
C:\Documents and Settings\Administrateur\Bureau\MSNFix 
Fix exécuté le 24/03/2008 - 20:51:16,56 By Administrateur 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\mss32.zip] 3E950E5B1DD951C5EA2F3200BEE497ED 
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\epurcfrver20.dll.zip] 46F3E109486AF1953DA09BD212F8A6E2 
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\epurcukver20.dll.zip] FF521A9F5C637AD3746AD90C942192FE 
[C:\ho_139.zip] 4B8A8DDF463E76BC8A2F75CF6B757AE0 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\ADMINI~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£''fix''.exe 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 

Je vous mets également mon rapport de HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:01:21, on 24/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\CardReader2.0\OTiReader.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CardReader2.0\CRBroadCasting.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\Windows-KB890830-V1.39-delta.exe
d:\c99a0ab66ae6886d9926\mrtstub.exe
C:\WINDOWS\system32\MRT.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sports.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£'%''msn'è%'fix''.exe
O1 - Hosts: 62.209.193.168 www.hockeyarena.net
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [CRBroadCasting] C:\Program Files\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: dxva_sig.txt
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/aio/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8077463F-6666-423F-81D8-BC0EA7CB6D2B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Program Files\CardReader2.0\OTiReader.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Programs Compatibility (Programs_Compatibility) - Unknown owner - C:\WINDOWS\userinit.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 12387 bytes


J'utilise donc comme antivirus avast, dont je n'ai pas lu du bien et que je compte changer, et régulièrement Spybot - Search & Destroy et CCleaner.

Je ne sais vraiment pas comment me débarasser de ce virus et j'espère que certains d'entre vous qui ont l'air assez calé en informatique pourront prendre quelques minutes pour m'aider car il a l'air assez coriace et je voudrais éviter de contaminer le maximum de mes contacts.

Je vous remercie par avance de votre aide et n'hésitez pas a me demander s'il vous manque des infos.

Cordialement

ep44 · Answer

Bonsoir 

msnfix a bien fait son travail
mais ton rapport hijack nous montre encore des infections 


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec 

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse



ensuite 
Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix,
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

@+

Bilt31 · Answer

Merci beaucoup pour votre aide Voici le rapport SDFix: [b]SDFix: Version 1.160 [/b] Run by Administrateur on 24/03/2008 at 21:35 Microsoft Windows XP [version 5.1.2600] Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix [b]Checking Services [/b]: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting [b]Checking Files [/b]: Trojan Files Found: C:\WINDOWS\system\aliases.ini - Deleted Folder C:\WINDOWS\system\download - Removed Removing Temp Files [b]ADS Check [/b]: [b]Final Check [/b]: catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-24 21:40:56 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£'%''msn'è%'fix''.exe [500] 0x8588A748 scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="D:\Program Files\Alcohol Soft\Alcohol 120\" "h0"=dword:00000001 "ujdew"=hex:87,25,74,2a,0d,70,0d,75,4f,f3,5d,55,ca,c5,3d,a3,78,f2,7e,0c,a2,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Program Files\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:01,c2,35,56,85,61,d5,b1,f9,40,fc,db,23,75,53,97,93,d1,65,2f,e1,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,21,92,b6,07,4e,e1,bc,37,81,7a,1f,40,3f,c9,65,07,a7,.. "khjeh"=hex:24,ac,7a,0c,38,13,2c,96,6c,82,e6,f0,4d,16,65,e8,b2,42,be,a4,5b,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:d7,a9,11,28,5e,b9,a5,be,01,28,a7,69,1b,19,b4,61,a5,23,a0,3c,c7,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:d0,95,46,c8,33,c6,e8,eb,51,2f,47,f5,6c,02,06,86,35,00,97,48,20,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="D:\Program Files\Alcohol Soft\Alcohol 120\" "h0"=dword:00000001 "ujdew"=hex:87,25,74,2a,0d,70,0d,75,4f,f3,5d,55,ca,c5,3d,a3,78,f2,7e,0c,a2,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Program Files\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:01,c2,35,56,85,61,d5,b1,f9,40,fc,db,23,75,53,97,93,d1,65,2f,e1,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,21,92,b6,07,4e,e1,bc,37,81,7a,1f,40,3f,c9,65,07,a7,.. "khjeh"=hex:24,ac,7a,0c,38,13,2c,96,6c,82,e6,f0,4d,16,65,e8,b2,42,be,a4,5b,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:d7,a9,11,28,5e,b9,a5,be,01,28,a7,69,1b,19,b4,61,a5,23,a0,3c,c7,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:d0,95,46,c8,33,c6,e8,eb,51,2f,47,f5,6c,02,06,86,35,00,97,48,20,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 1 hidden services: 0 hidden files: 0 [b]Remaining Services [/b]: Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\DAP\DAP.exe"="C:\Program Files\DAP\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)" "D:\Program Files\utorrent\utorrent.exe"="D:\Program Files\utorrent\utorrent.exe:*:Enabled:æTorrent" "C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"="C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS" "D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE"="D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE:*:Enabled:Pro Rugby Manager 2004" "D:\Program Files\Cyanide\GameCenter\GameCenter.exe"="D:\Program Files\Cyanide\GameCenter\GameCenter.exe:*:Enabled:GameCenter" "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA" "C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB" "D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtn‚‚œ'œ'%''msn'Š%'fix''.exe"="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtn‚‚œ'œ'%''msn'Š%'fix''.exe:*:Enabled:Flash Media" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" [b]Remaining Files [/b]: File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip [b]Files with Hidden Attributes [/b]: Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe" Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" Sun 3 Sep 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak" Sun 3 Sep 2006 4,348 ...H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak" Wed 19 Dec 2007 20 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak" Fri 16 Feb 2007 9,655 A.SH. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak" Fri 21 Jul 2006 8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch1\lock.tmp" [b]Finished![/b] Et voici le rapport Combofix: ComboFix 08-03-24.1 - Administrateur 2008-03-24 21:49:43.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.570 [GMT 1:00] Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-24 to 2008-03-24 )))))))))))))))))))))))))))))))))))) . 2008-03-24 21:34 . 2008-03-24 21:34 d-------- C:\WINDOWS\ERUNT 2008-03-24 20:35 . 2008-03-24 20:35 d-------- C:\Program Files\Trend Micro 2008-03-23 23:28 . 2008-03-23 23:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-23 23:28 . 2008-03-23 23:28 1,409 --a------ C:\WINDOWS\QTFont.for 2008-03-23 13:35 . 2008-03-23 13:35 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-03-23 13:35 . 2008-03-23 13:35 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-03-23 13:35 . 2008-03-23 13:35 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-03-23 13:35 . 2008-03-23 13:35 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys 2008-03-23 13:35 . 2008-03-23 13:35 319 --a------ C:\WINDOWS\game.ini 2008-02-24 20:12 . 2008-02-24 20:12 d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-24 19:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-03-23 12:35 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-16 12:33 --------- d-----w C:\Program Files\Java 2008-02-24 00:54 --------- d-----w C:\Program Files\BDGest Evolution 2008-02-17 11:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-02-08 12:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-02-08 12:47 --------- d-----w C:\Program Files\Apple Software Update 2008-02-08 12:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple 2008-02-07 11:21 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-02-07 11:20 691,545 ----a-w C:\WINDOWS\unins000.exe 2008-02-07 11:13 --------- d-----w C:\Program Files\Windows Live Safety Center 2006-07-19 11:44 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 20:40 68856] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-07-19 17:20 190024] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] "Orange Desktop Search"="C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" [ ] "NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 14:03 1957888] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-04-16 15:18 7561216] "nwiz"="nwiz.exe" [2006-04-16 15:19 1519616 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-04-16 15:18 86016] "JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-04-20 09:07 385024] "CRBroadCasting"="C:\Program Files\CardReader2.0\CRBroadCasting.exe" [2004-02-26 11:46 24576] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648] "InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2005-07-26 03:01 1397760] "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 13:54 241664] "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 09:07 843776] "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 08:19 729088] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 18:14 35328] "QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-01-31 23:13 385024] "HP Software Update"="C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 21:09 157592] "ORAHSSStartup"="C:\Program Files\OrangeHSS\Launcher\Launcher.exe" [2007-01-04 10:40 462848] "SystrayORAHSS"="C:\Program Files\OrangeHSS\Systray\SystrayApp.exe" [2007-01-04 10:45 90112] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ dxva_sig.txt [2007-02-17 19:34:17 3] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-07-19 21:46:14 113664] D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqthb08.exe [2004-05-28 22:06:36 53248] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe [2004-05-28 21:31:38 241664] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\DAP\DAP.exe"= "D:\Program Files\utorrent\utorrent.exe"= "C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"= "D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE"= "D:\Program Files\Cyanide\GameCenter\GameCenter.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"= "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£'%''msn'è%'fix''.exe"= R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 13:46] S2 Programs_Compatibility;Programs Compatibility;C:\WINDOWS\userinit.exe [] S3 PciCon;PciCon;I:\PciCon.sys [] S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-01-04 12:01] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-03-24 15:24:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-24 21:50:37 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... ? [500] Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-03-24 21:51:06 ComboFix-quarantined-files.txt 2008-03-24 20:50:58 . 2008-03-24 20:01:35 --- E O F ---

maba4 · Answer

Bonjour,
As tu zone alarme et quel est ton système d' exploitation

Bilt31 · Answer

Bonjour,

Mon système d'exploitation est Windows XP SP2 et non je n'ai pas zone alarme d'installer sur mon ordinateur.

Bilt31 · Answer

Pas de problème, merci ;)

ep44 · Answer

Bonsoir tout le monde ;-)
sdfix à fait son travail ;-)

connait tu ceci 
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqgalry.exe


si non fait le analyser ici
https://www.virustotal.com/gui/

quelque fichier ma géne je pensais les déloger avec combo 
mais sans succès 

fait ceci

Télécharge sur le bureau : [url=http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe]navilog.exe[/url]

= installe le
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

le rapport se trouve dans c: fixnavi.txt

tu postes ce rapport.

---------------------
Télecharge http://www.malekal.com/download/clean.zip sur le bureau
Dézippe sur le bureau.
= ouvrir le dossier clean
= clique sur le symbole roue dentée avec le nom clean
= choisir l'option 1 et laisser clean travailler jusqu'à l'apparition du texte "appuyer sur une touche pour continuer"
= ensuite colle le rapport que tu trouveras dans C:

@+

Bilt31 · Answer

Aucune trace de fichier infecter par virustotal pour le fichier HP.

Rapport Fixnavi

Search Navipromo version 3.5.1 commencé le 24/03/2008 à 22:46:13,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Administrateur" 

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 24/03/2008 à 22:48:43,50 ***

Pour le rapport malekal dans C: je trouve un rapport clean assez court:

 24/03/2008 a 22:54:39,70 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\DaemonTools_WhenUSave_Installer\" FOUND 

et un dossier zippé upload moi avec plusieurs dossiers a l'intérieur...

Bilt31 · Answer

J'ai mon antivirus qui vient de me trouver un cheval de troie qu'il m'est impossible de supprimer, je ne sais pas si cela a un rapport ou pas avec le virus en question... il s'agit du fichier C:\Documents and Settings\Administrateur\fryrfk.exe\[UPX]

Merci ;)

Bilt31 · Answer

P.S: le nom du logiciel malveillant est: Win32:Small-JMH [Trj]

Bilt31 · Answer

Exactement, venant d'un pote je ne me suis pas vraiment méfié... j'aurai dû, on ne m'y prendra pas a deux fois.
Le pire c'est que celui-ci a prévenu 2 minutes aprés que j'ai cliqué...

ep44 · Answer

ok 

pas cool  de refaire 

relance msnfix et sdfix 

ensuite 

lance clean.zip en mode sans echec
pend cette fois-ci l'option 2 et poste le rapport.




= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
@+

Bilt31 · Answer

Non c'est le problème que j'ai exposé au début du sujet, j'ai recu un message msn venant d'un ami m'invitant a cliquer sur ce lien m'indiquant que quelqu'un avait mis ma photo ici. Et évidemment j'ai cliqué dessus...

Bizarement avast découvre ce logiciel malveillant Win32:Small-JMH [Trj] que maintenant et je ne peux ni le mettre en quarantaine ni le supprimer car il me dit que le fichier n'est pas empaqueté donc qu'il ne peut pas le traiter.

Bilt31 · Answer

Je n'ai pas eu a nouveau ce probleme c'est toujours le même probleme depuis je n'ai rien fait, enfin j'ai juste suivi vos conseils mais avast ne réagit que maintenant

Bilt31 · Answer

Tu veux que je refasse la procédure EP44? Je ne sais pas si c'est utile car depuis la dernière fois que je l'ai faite rien n'a changé? (En tout cas merci encore du temps que tu passes sur mon probleme)

ep44 · Answer

pas grave pour vérif fait quand même ;-)
@+

Bilt31 · Answer

Pas mal de bug pour enfin arriver aux rapports de MSNFix qui est bien a nouveau infecté... 
j'ai même du fermer avast qui bloquait MSNFix.

Voila le rapport:

MSNFix 1.689  
 
C:\Documents and Settings\Administrateur\Bureau\MSNFix 
Fix exécuté le 25/03/2008 -  0:23:52,31 By Administrateur 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\Documents and Settings\Administrateur\??????.exe 
... C:\Documents and Settings\Administrateur\????????.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe 
.. OK ... C:\WINDOWS\system32\LOCALS~1 
.. OK ... C:\Documents and Settings\Administrateur\??????.exe  
.. OK ... C:\Documents and Settings\Administrateur\????????.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\mss32.zip] 3E950E5B1DD951C5EA2F3200BEE497ED 
[C:\ho_139.zip] 4B8A8DDF463E76BC8A2F75CF6B757AE0 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\ADMINI~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 25032008_ 0324148.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£''fix''.exe 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 
 
 


Voilà le rapport de SDFix

[b]SDFix: Version 1.160 /b

Run by Administrateur on 25/03/2008 at 00:11

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

[b]Checking Services /b:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files /b: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\OOPPES.EXE - Deleted
C:\WINDOWS\system32eal.txt  - Deleted





Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 00:14:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£'%''msn'è%'fix''.exe [316] 0x8626A2A8

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:87,25,74,2a,0d,70,0d,75,4f,f3,5d,55,ca,c5,3d,a3,78,f2,7e,0c,a2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:01,c2,35,56,85,61,d5,b1,f9,40,fc,db,23,75,53,97,93,d1,65,2f,e1,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,21,92,b6,07,4e,e1,bc,37,81,7a,1f,40,3f,c9,65,07,a7,..
"khjeh"=hex:24,ac,7a,0c,38,13,2c,96,6c,82,e6,f0,4d,16,65,e8,b2,42,be,a4,5b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d7,a9,11,28,5e,b9,a5,be,01,28,a7,69,1b,19,b4,61,a5,23,a0,3c,c7,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d0,95,46,c8,33,c6,e8,eb,51,2f,47,f5,6c,02,06,86,35,00,97,48,20,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:87,25,74,2a,0d,70,0d,75,4f,f3,5d,55,ca,c5,3d,a3,78,f2,7e,0c,a2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:01,c2,35,56,85,61,d5,b1,f9,40,fc,db,23,75,53,97,93,d1,65,2f,e1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,21,92,b6,07,4e,e1,bc,37,81,7a,1f,40,3f,c9,65,07,a7,..
"khjeh"=hex:24,ac,7a,0c,38,13,2c,96,6c,82,e6,f0,4d,16,65,e8,b2,42,be,a4,5b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d7,a9,11,28,5e,b9,a5,be,01,28,a7,69,1b,19,b4,61,a5,23,a0,3c,c7,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d0,95,46,c8,33,c6,e8,eb,51,2f,47,f5,6c,02,06,86,35,00,97,48,20,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000

scanning hidden files ...


scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 0


[b]Remaining Services /b:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\DAP\DAP.exe"="C:\Program Files\DAP\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)"
"D:\Program Files\utorrent\utorrent.exe"="D:\Program Files\utorrent\utorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"="C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS"
"D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE"="D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE:*:Enabled:Pro Rugby Manager 2004"
"D:\Program Files\Cyanide\GameCenter\GameCenter.exe"="D:\Program Files\Cyanide\GameCenter\GameCenter.exe:*:Enabled:GameCenter"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtn‚‚œ'œ'%''msn'Š%'fix''.exe"="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtn‚‚œ'œ'%''msn'Š%'fix''.exe:*:Enabled:Flash Media"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files /b:


File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sun  3 Sep 2006         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun  3 Sep 2006         4,348 ...H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Wed 19 Dec 2007            20 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Fri 16 Feb 2007         9,655 A.SH. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Fri 21 Jul 2006             8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch1\lock.tmp"

[b]Finished!/b


Je vais de suite faire la procédure pour clean

Bilt31 · Answer

Je vois qu'on ne voit pas tout du rapport, je reposte donc, a croire que rien ne marche ce soir
MSNFix 1.689  
 
C:\Documents and Settings\Administrateur\Bureau\MSNFix 
Fix exécuté le 25/03/2008 -  0:23:52,31 By Administrateur 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\Documents and Settings\Administrateur\??????.exe 
... C:\Documents and Settings\Administrateur\????????.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe 
.. OK ... C:\WINDOWS\system32\LOCALS~1 
.. OK ... C:\Documents and Settings\Administrateur\??????.exe  
.. OK ... C:\Documents and Settings\Administrateur\????????.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\mss32.zip] 3E950E5B1DD951C5EA2F3200BEE497ED 
[C:\ho_139.zip] 4B8A8DDF463E76BC8A2F75CF6B757AE0 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\ADMINI~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 25032008_ 0324148.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£''fix''.exe 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 
 



Rapport SDFix


[b]SDFix: Version 1.160 /b

Run by Administrateur on 25/03/2008 at 00:11

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

[b]Checking Services /b:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files /b: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\OOPPES.EXE - Deleted
C:\WINDOWS\system32eal.txt  - Deleted





Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 00:14:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£'%''msn'è%'fix''.exe [316] 0x8626A2A8

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:87,25,74,2a,0d,70,0d,75,4f,f3,5d,55,ca,c5,3d,a3,78,f2,7e,0c,a2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:01,c2,35,56,85,61,d5,b1,f9,40,fc,db,23,75,53,97,93,d1,65,2f,e1,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,21,92,b6,07,4e,e1,bc,37,81,7a,1f,40,3f,c9,65,07,a7,..
"khjeh"=hex:24,ac,7a,0c,38,13,2c,96,6c,82,e6,f0,4d,16,65,e8,b2,42,be,a4,5b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d7,a9,11,28,5e,b9,a5,be,01,28,a7,69,1b,19,b4,61,a5,23,a0,3c,c7,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d0,95,46,c8,33,c6,e8,eb,51,2f,47,f5,6c,02,06,86,35,00,97,48,20,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:87,25,74,2a,0d,70,0d,75,4f,f3,5d,55,ca,c5,3d,a3,78,f2,7e,0c,a2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:01,c2,35,56,85,61,d5,b1,f9,40,fc,db,23,75,53,97,93,d1,65,2f,e1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,21,92,b6,07,4e,e1,bc,37,81,7a,1f,40,3f,c9,65,07,a7,..
"khjeh"=hex:24,ac,7a,0c,38,13,2c,96,6c,82,e6,f0,4d,16,65,e8,b2,42,be,a4,5b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d7,a9,11,28,5e,b9,a5,be,01,28,a7,69,1b,19,b4,61,a5,23,a0,3c,c7,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:d0,95,46,c8,33,c6,e8,eb,51,2f,47,f5,6c,02,06,86,35,00,97,48,20,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000

scanning hidden files ...


scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 0


[b]Remaining Services /b:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\DAP\DAP.exe"="C:\Program Files\DAP\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)"
"D:\Program Files\utorrent\utorrent.exe"="D:\Program Files\utorrent\utorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"="C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS"
"D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE"="D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE:*:Enabled:Pro Rugby Manager 2004"
"D:\Program Files\Cyanide\GameCenter\GameCenter.exe"="D:\Program Files\Cyanide\GameCenter\GameCenter.exe:*:Enabled:GameCenter"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtn‚‚œ'œ'%''msn'Š%'fix''.exe"="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtn‚‚œ'œ'%''msn'Š%'fix''.exe:*:Enabled:Flash Media"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files /b:


File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sun  3 Sep 2006         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun  3 Sep 2006         4,348 ...H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Wed 19 Dec 2007            20 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Fri 16 Feb 2007         9,655 A.SH. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Fri 21 Jul 2006             8 A..H. --- "C:\Documents and Settings\All Users\Application Data\GTek\GTUpdate\AUpdate\Channels\ch1\lock.tmp"

[b]Finished!/b

Bilt31 · Answer

Rapport de clean avec l'option 2.

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 25/03/2008 a  0:46:20,01 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
tentative de suppression de "C:\Program Files\DaemonTools_WhenUSave_Installer\" 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 

Voilà merci encore pour tout car là vraiment je suis plus que paumé dans tous ses rapports et logiciels... et je ne saurai pas m'en sortir tout seul.

ep44 · Answer

refais hijack stp
@+

Bilt31 · Answer

Voila 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:59:56, on 25/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CardReader2.0\CRBroadCasting.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\CardReader2.0\OTiReader.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sports.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£'%''msn'è%'fix''.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [CRBroadCasting] C:\Program Files\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: dxva_sig.txt
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/aio/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8077463F-6666-423F-81D8-BC0EA7CB6D2B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Program Files\CardReader2.0\OTiReader.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Programs Compatibility (Programs_Compatibility) - Unknown owner - C:\WINDOWS\userinit.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

booddha · Answer

Pour faire avancer le Schmilblick

Essayes ça

==================== LOPXP ======================

LOP XP
1ere phase

Télécharger  Lopxp

	•	Double-click sur Lopxpsetup.exe pour lancer l'installation
	•	Une Icone LopXp (Carré avec deux roues formant Engrenage) apparait sur le bureau
	•	DoubleClick sur cette Icone
	•	Au menu, choisir l'option 1
	•	Patienter un peu 
	•	Copier/Coller le rapport dans la prochaine réponse

Bilt31 · Answer

# Rapport Lopxp fait le 25/03/2008 à  1:12:34
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.06 - Maj du 05/02/2008

  Killing 'iexplore.exe'
"C:\Program Files\Internet Explorer\iexplore.exe"  (3612)
"C:\Program Files\Internet Explorer\iexplore.exe"  (472)


========== Listing des dossiers Application Data

+- C:\Documents and Settings\Administrateur\Application Data

 2008-03-03 à 22:28:47 - Adobe 
 2007-10-21 à 00:36:08 - Ahead 
 2008-02-24 à 19:12:26 - Apple Computer
 2007-10-13 à 13:13:55 - dvdcss 
 2006-07-19 à 16:27:17 - Google 
 2006-07-21 à 19:47:16 - GTek 
 2006-07-24 à 09:54:25 - Help 
 2006-07-19 à 08:38:26 - Identities 
 2006-08-10 à 12:39:36 - Image Zone Express
 2006-07-22 à 16:02:33 - InterTrust 
 2006-08-03 à 10:34:35 - iShell 
 2006-07-21 à 18:17:15 - Lavasoft 
 2006-08-10 à 20:18:52 - Macromedia 
 2007-02-25 à 21:40:00 - Media Player Classic
 2008-01-17 à 18:16:19 - Microsoft 
 2006-07-19 à 17:49:26 - Mozilla 
 2007-05-04 à 16:26:54 - MSN Pictures Displayer
 2007-11-01 à 20:12:14 - MSN6 
 2006-12-04 à 17:16:45 - Real 
 2007-11-01 à 19:58:08 - Samsung 
 2007-10-19 à 16:35:40 - SecuROM 
 2006-08-14 à 11:08:39 - Sun 
 2006-07-19 à 17:49:42 - Talkback 
 2007-10-10 à 21:34:12 - utorrent 
 2006-07-25 à 22:07:36 - vlc 

+- C:\Documents and Settings\Administrateur\Local Settings\Application Data

 2006-09-04 à 09:28:49 - ABBYY 
 2007-02-13 à 18:28:51 - Adobe 
 2006-08-22 à 20:38:40 - Ahead 
 2008-02-08 à 12:47:53 - Apple 
 2008-02-08 à 12:47:40 - Apple Computer
 2008-03-24 à 23:50:39 - ApplicationHistory 
 2006-07-19 à 16:27:17 - Google 
 2006-07-24 à 09:54:25 - Help 
 2006-07-21 à 20:47:01 - HP 
 2006-10-21 à 15:58:52 - Identities 
 2006-07-21 à 20:47:02 - IsolatedStorage 
 2007-11-02 à 08:53:55 - Lucasarts 
 2008-03-23 à 22:32:18 - Microsoft 
 2006-07-19 à 17:49:26 - Mozilla 

+- C:\Documents and Settings\All Users\Application Data

 2008-03-03 à 22:28:47 - Adobe 
 2006-07-19 à 16:54:39 - Ahead 
 2008-02-08 à 12:47:50 - Apple 
 2008-02-08 à 12:48:08 - Apple Computer
 2006-10-31 à 20:10:42 - Google 
 2006-07-21 à 19:47:16 - GTek 
 2006-07-21 à 20:36:53 - Hewlett-Packard 
 2006-07-19 à 20:46:32 - Macrovision 
 2006-07-19 à 16:21:21 - Messenger Plus!
 2007-11-02 à 08:46:16 - Microsoft 
 2007-11-01 à 20:11:57 - MSN6 
 2006-12-13 à 22:10:34 - nView_Profiles 
 2006-08-03 à 10:41:49 - QuickTime 
 2006-11-29 à 23:16:53 - Real 
 2008-03-24 à 19:47:44 - Spybot - Search & Destroy
 2008-02-26 à 18:19:04 - Windows Genuine Advantage

========== Listing du dossier Program Files

+- C:\Program Files

 2006-07-22 à 15:51:59 - 3DO 
 2008-02-17 à 11:46:00 - Adobe 
 2006-07-19 à 17:05:58 - Ahead 
 2006-07-19 à 13:18:04 - Alwil Software
 2006-07-23 à 16:49:29 - Analog Devices
 2008-02-08 à 12:47:51 - Apple Software Update
 2006-07-22 à 16:01:16 - AWS 
 2007-04-14 à 02:10:45 - BarreConfCMCIC 
 2008-02-24 à 00:54:21 - BDGest Evolution
 2006-07-19 à 16:50:32 - CardReader2.0 
 2006-07-21 à 18:18:57 - CCleaner 
 2006-07-19 à 08:32:57 - ComPlus Applications
 2006-10-03 à 19:10:49 - DAEMON Tools
 2006-10-10 à 10:35:04 - DAP 
 2007-10-21 à 11:02:32 - Disc2Phone 
 2006-10-03 à 19:51:06 - EA SPORTS
 2007-03-12 à 10:41:52 - Fichiers communs
 2007-02-16 à 19:28:07 - Fnacmusic 
 2007-09-17 à 17:45:15 - Google 
 2006-07-21 à 20:36:53 - Hewlett-Packard 
 2006-08-03 à 19:32:14 - HP 
 2008-03-23 à 12:35:27 - InstallShield Installation Information
 2008-02-13 à 20:01:23 - Internet Explorer
 2006-07-19 à 11:27:41 - Inventel(2) 
 2008-03-16 à 12:33:30 - Java 
 2006-08-15 à 17:01:17 - Kerio 
 2006-07-19 à 20:53:09 - Lavalys 
 2008-03-25 à 00:12:41 - Lopxp 
 2006-11-29 à 23:16:55 - Media Player Classic
 2007-01-28 à 20:04:59 - Messenger 
 2007-12-26 à 16:33:20 - Messenger Plus! Live
 2006-07-19 à 16:20:11 - MessengerPlus! 3
 2006-07-19 à 08:35:44 - microsoft frontpage
 2007-08-18 à 10:44:37 - Microsoft Office
 2006-07-19 à 16:40:20 - Microsoft Visual Studio
 2006-07-19 à 16:45:55 - Microsoft Works
 2006-07-19 à 16:40:54 - Microsoft.NET 
 2006-07-23 à 16:30:43 - Movie Maker
 2008-03-24 à 23:55:47 - Mozilla Firefox
 2007-08-18 à 10:44:26 - MSECache 
 2006-07-19 à 08:32:45 - MSN 
 2006-07-19 à 08:32:33 - MSN Gaming Zone
 2007-12-26 à 16:33:20 - MSN Messenger
 2007-01-28 à 20:03:09 - MSXML 4.0
 2008-03-24 à 21:49:16 - Navilog1 
 2006-07-23 à 16:29:17 - NetMeeting 
 2006-07-19 à 10:19:43 - NVIDIA Corporation
 2006-07-19 à 16:42:57 - OfficeUpdate11 
 2007-03-12 à 10:43:37 - Orange HSS
 2007-03-13 à 22:28:25 - OrangeHSS 
 2008-02-13 à 20:03:17 - Outlook Express
 2006-08-03 à 19:30:07 - Overland 
 2006-11-29 à 23:17:00 - Real Alternative
 2007-06-25 à 21:23:57 - RM to MP3 Converter
 2006-07-19 à 08:32:45 - Services en ligne
 2008-02-07 à 11:21:45 - Spybot - Search & Destroy
 2006-08-15 à 15:45:53 - Sunbelt Software
 2006-12-19 à 21:37:58 - TomTom HOME
 2008-03-24 à 19:35:12 - Trend Micro
 2006-07-21 à 20:39:35 - Uninstall Information
 2007-03-12 à 10:42:15 - Wanadoo 
 2006-07-19 à 11:48:19 - Wanadoo Messager
 2007-04-14 à 11:42:41 - Webteh 
 2007-10-10 à 19:05:17 - Winamp 
 2007-09-14 à 18:14:42 - Windows Live
 2008-02-07 à 11:13:28 - Windows Live Safety Center
 2008-02-05 à 18:17:29 - Windows Media Player
 2006-07-23 à 16:29:13 - Windows NT
 2006-07-19 à 13:01:23 - WindowsUpdate 
 2006-07-19 à 20:41:22 - WinRAR 
 2006-07-19 à 08:35:44 - xerox 
 2006-07-19 à 13:50:42 - xp-AntiSpy 
 2007-04-23 à 21:28:21 - Zero G Registry

========== Tâches planifiées

AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task

========== Clés registre


========== Bloqueur popups Internet Explorer


==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========


+- Registre : Aucune suggestion.


- Fin du rapport -

booddha · Answer

Bon, ça ne donne rien. Je laisse EP44 poursuivre avec toi

Bilt31 · Answer

Merci quand même du coup de main, c'est trés sympa à toi.

Bonne nuit à tous

@+

Bilt31 · Answer

Je viens de refaire un coup de MSNFix a l'instant et il me trouve toujours l'infection. Même aprés l'utilisation de ce petit programme l'infection est toujours détecté quand je le refais.

ep44 · Answer

Bonsoir 

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix,
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.


@+

Bilt31 · Answer

Bonsoir, et merci de revenir a mon secours ;) Voici mon rapport combofix: ComboFix 08-03-24.1 - Administrateur 2008-03-25 21:07:16.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.564 [GMT 1:00] Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-25 to 2008-03-25 )))))))))))))))))))))))))))))))))))) . 2008-03-25 01:21 . 2008-03-25 01:21 9,296 --a------ C:\WINDOWS\system32\cktfkd.exe 2008-03-25 01:12 . 2008-03-25 01:12 d-------- C:\Program Files\Lopxp 2008-03-25 00:44 . 2008-03-25 00:44 9,296 --a------ C:\WINDOWS\system32\sogqcu.exe 2008-03-25 00:44 . 2008-03-25 00:44 0 --a------ C:\WINDOWS\system32\real.MSNFix 2008-03-24 23:49 . 2008-03-24 23:49 37,376 --a------ C:\WINDOWS\mrofinu1423.MSNFix 2008-03-24 22:54 . 2008-03-24 22:54 12,029,592 --a------ C:\upload_moi_ORDI-DE-BRICE.tar.gz 2008-03-24 22:45 . 2008-03-24 22:49 d-------- C:\Program Files\Navilog1 2008-03-24 21:34 . 2008-03-24 21:34 d-------- C:\WINDOWS\ERUNT 2008-03-24 20:35 . 2008-03-24 20:35 d-------- C:\Program Files\Trend Micro 2008-03-23 23:28 . 2008-03-23 23:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-23 23:28 . 2008-03-23 23:28 1,409 --a------ C:\WINDOWS\QTFont.for 2008-03-23 13:35 . 2008-03-23 13:35 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-03-23 13:35 . 2008-03-23 13:35 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-03-23 13:35 . 2008-03-23 13:35 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-03-23 13:35 . 2008-03-23 13:35 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys 2008-03-23 13:35 . 2008-03-23 13:35 319 --a------ C:\WINDOWS\game.ini . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-25 18:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-03-23 12:35 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-16 12:33 --------- d-----w C:\Program Files\Java 2008-02-24 19:12 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2008-02-24 00:54 --------- d-----w C:\Program Files\BDGest Evolution 2008-02-17 11:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-02-08 12:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-02-08 12:47 --------- d-----w C:\Program Files\Apple Software Update 2008-02-08 12:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple 2008-02-07 11:21 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-02-07 11:20 691,545 ----a-w C:\WINDOWS\unins000.exe 2008-02-07 11:13 --------- d-----w C:\Program Files\Windows Live Safety Center 2006-07-19 11:44 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll . ((((((((((((((((((((((((((((( snapshot@2008-03-24_21.50.51,96 ))))))))))))))))))))))))))))))))))))))))) . - 2008-03-24 20:34:16 8,499,200 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat + 2008-03-24 23:09:53 8,499,200 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat - 2008-03-24 20:34:16 196,608 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2008-03-24 23:09:53 196,608 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2008-03-25 18:29:54 16,384 ------w C:\WINDOWS\Temp\Perflib_Perfdata_60c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 20:40 68856] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-07-19 17:20 190024] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] "NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 14:03 1957888] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-04-16 15:18 7561216] "nwiz"="nwiz.exe" [2006-04-16 15:19 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-04-16 15:18 86016] "JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-04-20 09:07 385024] "CRBroadCasting"="C:\Program Files\CardReader2.0\CRBroadCasting.exe" [2004-02-26 11:46 24576] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648] "InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2005-07-26 03:01 1397760] "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 13:54 241664] "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 09:07 843776] "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 08:19 729088] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 18:14 35328] "QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-01-31 23:13 385024] "HP Software Update"="C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 21:09 157592] "ORAHSSStartup"="C:\Program Files\OrangeHSS\Launcher\Launcher.exe" [2007-01-04 10:40 462848] "SystrayORAHSS"="C:\Program Files\OrangeHSS\Systray\SystrayApp.exe" [2007-01-04 10:45 90112] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ dxva_sig.txt [2007-02-17 19:34:17 3] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-07-19 21:46:14 113664] D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqthb08.exe [2004-05-28 22:06:36 53248] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe [2004-05-28 21:31:38 241664] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\DAP\DAP.exe"= "D:\Program Files\utorrent\utorrent.exe"= "C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"= "D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE"= "D:\Program Files\Cyanide\GameCenter\GameCenter.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"= "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£'%''msn'è%'fix''.exe"= R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 13:46] S2 Programs_Compatibility;Programs Compatibility;C:\WINDOWS\userinit.exe [] S3 PciCon;PciCon;I:\PciCon.sys [] S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-01-04 12:01] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-03-24 15:24:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-25 21:08:40 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... ? [316] Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-03-25 21:09:02 ComboFix-quarantined-files.txt 2008-03-25 20:09:00 ComboFix2.txt 2008-03-24 20:51:07 . 2008-03-24 20:01:35 --- E O F ---

Bilt31 · Answer

Salut,

Je fais remonter le sujet car je crois que j'ai tout essayé et rien n'y fait... je ne sais plus quoi faire.

ep44 · Answer

Bonsoir 

pour commencer tu vas supprimer 
sdfix, msnfix navilog et clean 

ensuite 

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
Wcopie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.



C:\WINDOWS\system32\cktfkd.exe 
C:\WINDOWS\system32\sogqcu.exe 
C:\WINDOWS\system32eal.MSNFix
C:\WINDOWS\mrofinu1423.MSNFix

clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression. 


ensuite 
Télécharge:
http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware
= Installer
= Le lancer
= Clic : Mise à jour
------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
= Dans ANALYSE ( en forme de loupe )
==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions <== ceci Très important
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
En mode normal
colle le rapport

et pour contrôle
Télécharge sur le bureau

ftp://ftp.commentcamarche.com/download/HJTInstall.exe

= Double-clic dessus pour l'installer 
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

@+

Bilt31 · Answer

Bonsoir ep44 et merci de revenir a mon secours.

En fait le virus semble avoir disparu ou du moins ne semble plus visible (ce qui peut-etre bien différent). J'ai téléchargé tout à l'heure la nouvelle version de MSNFix et aprés un nettoyage quand je relance MSNFix il m'indique que je ne suis plus infecté.
Je te postes le rapport MSNFix et un rapport HijackThis pour que tu me dises ce que tu en penses.
Je te remercie.

Voici le rapport MSNFix

MSNFix 1.691  
 
C:\Documents and Settings\Administrateur\Bureau\MSNFix 
Fix exécuté le 26/03/2008 - 21:35:36,48 By Administrateur 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\mss32.zip] 3E950E5B1DD951C5EA2F3200BEE497ED 
[C:\ho_139.zip] 4B8A8DDF463E76BC8A2F75CF6B757AE0 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\ADMINI~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe, 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 
 

Rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:22, on 26/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CardReader2.0\CRBroadCasting.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\CardReader2.0\OTiReader.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sports.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\CPV\CPV7.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [CRBroadCasting] C:\Program Files\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: dxva_sig.txt
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/aio/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8077463F-6666-423F-81D8-BC0EA7CB6D2B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Program Files\CardReader2.0\OTiReader.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Programs Compatibility (Programs_Compatibility) - Unknown owner - C:\WINDOWS\userinit.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

ep44 · Answer

il faut faire ce que je t'ai indiqué au poste plus haut 
poste 36 http://www.commentcamarche.net/forum/affich 5610224 infecte par?page=2#36
@+

Bilt31 · Answer

Je te donne tout cela:

Rapport OTMoveIt

File/Folder C:\WINDOWS\system32\cktfkd.exe not found.
File/Folder C:\WINDOWS\system32\sogqcu.exe not found.
C:\WINDOWS\system32\real.MSNFix moved successfully.
File/Folder C:\WINDOWS\mrofinu1423.MSNFix not found.
 
OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03262008_221219

Rapport antispyware:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	22:56:45 26/03/2008

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP615\A0246108.exe -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.21 : Nettoyé.
C:\WINDOWS\system\svhost.MSNFix -> Not-A-Virus.RemoteAdmin.Win32.RAdmin.21 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.31:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\qfjpq9wx.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.28:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\qfjpq9wx.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.30:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\qfjpq9wx.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.29:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\qfjpq9wx.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@argenius.solution.weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport


Je m'occupe de la dernière partie de ton message de suite

Bilt31 · Answer

Rapport HijackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:05:39, on 26/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\CardReader2.0\OTiReader.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CardReader2.0\CRBroadCasting.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Winamp\winampa.exe
D:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sports.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\CPV\CPV7.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [CRBroadCasting] C:\Program Files\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: dxva_sig.txt
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/aio/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8077463F-6666-423F-81D8-BC0EA7CB6D2B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Program Files\CardReader2.0\OTiReader.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Programs Compatibility (Programs_Compatibility) - Unknown owner - C:\WINDOWS\userinit.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

ep44 · Answer

selectionne ceci



Folder::
C:\WINDOWS\system32\cktfkd.exe
C:\WINDOWS\system32\sogqcu.exe
C:\WINDOWS\mrofinu1423.MSNFix


* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Veille à ce que Retour à la ligne ne soit pas coché dans Format. 
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+

Bilt31 · Answer

Voilà, en espérant avoir tout bien fait... ComboFix 08-03-25.4 - Administrateur 2008-03-26 23:14:22.8 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.552 [GMT 1:00] Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-26 to 2008-03-26 )))))))))))))))))))))))))))))))))))) . 2008-03-26 22:12 . 2008-03-26 22:12 d-------- C:\_OTMoveIt 2008-03-26 01:29 . 2008-03-26 01:29 d-------- C:\Documents and Settings\LocalService\Mes documents 2008-03-26 00:26 . 2008-03-26 00:26 d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft 2008-03-26 00:14 . 2008-03-26 00:14 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-03-26 00:14 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-03-25 22:32 . 2008-03-25 22:32 d-------- C:\Program Files\Avira 2008-03-25 22:32 . 2008-03-25 22:32 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-03-25 22:31 . 2008-03-25 22:31 d-------- C:\Program Files\CPV 2008-03-25 21:59 . 2008-03-25 21:59 244 --ah----- C:\sqmnoopt00.sqm 2008-03-25 21:59 . 2008-03-25 21:59 232 --ah----- C:\sqmdata00.sqm 2008-03-25 01:12 . 2008-03-25 01:12 d-------- C:\Program Files\Lopxp 2008-03-24 22:54 . 2008-03-24 22:54 12,029,592 --a------ C:\upload_moi_ORDI-DE-BRICE.tar.gz 2008-03-24 22:45 . 2008-03-26 22:09 d-------- C:\Program Files\Navilog1 2008-03-24 21:34 . 2008-03-24 21:34 d-------- C:\WINDOWS\ERUNT 2008-03-24 20:35 . 2008-03-24 20:35 d-------- C:\Program Files\Trend Micro 2008-03-23 23:28 . 2008-03-23 23:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-23 23:28 . 2008-03-23 23:28 1,409 --a------ C:\WINDOWS\QTFont.for 2008-03-23 13:35 . 2008-03-23 13:35 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-03-23 13:35 . 2008-03-23 13:35 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-03-23 13:35 . 2008-03-23 13:35 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-03-23 13:35 . 2008-03-23 13:35 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys 2008-03-23 13:35 . 2008-03-23 13:35 319 --a------ C:\WINDOWS\game.ini 2008-03-17 18:39 . 2008-03-17 16:39 66,560 --------- C:\WINDOWS\b155.exe_old . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-25 23:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-03-23 12:35 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-16 12:33 --------- d-----w C:\Program Files\Java 2008-02-24 19:12 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2008-02-24 00:54 --------- d-----w C:\Program Files\BDGest Evolution 2008-02-17 11:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-02-08 12:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-02-08 12:47 --------- d-----w C:\Program Files\Apple Software Update 2008-02-08 12:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple 2008-02-07 11:21 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-02-07 11:20 691,545 ----a-w C:\WINDOWS\unins000.exe 2008-02-07 11:13 --------- d-----w C:\Program Files\Windows Live Safety Center 2006-07-19 11:44 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll . ((((((((((((((((((((((((((((( snapshot@2008-03-24_21.50.51,96 ))))))))))))))))))))))))))))))))))))))))) . - 2008-03-24 20:34:16 8,499,200 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat + 2008-03-26 18:37:02 8,548,352 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat - 2008-03-24 20:34:16 196,608 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2008-03-26 18:37:02 196,608 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat - 2006-07-23 16:34:42 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-03-25 20:59:44 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-03-25 20:59:44 68,264 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\GDIPFONTCACHEV1.DAT - 2006-07-23 16:34:42 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-03-25 20:59:44 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-25 21:33:56 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15421B84-3488-49A7-AD18-CBF84A3EFAF6}] 2008-03-25 22:31 51200 --a------ C:\Program Files\CPV\CPV7.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 20:40 68856] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [ ] "NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 14:03 1957888] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-04-16 15:18 7561216] "nwiz"="nwiz.exe" [2006-04-16 15:19 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-04-16 15:18 86016] "JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-04-20 09:07 385024] "CRBroadCasting"="C:\Program Files\CardReader2.0\CRBroadCasting.exe" [2004-02-26 11:46 24576] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648] "InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2005-07-26 03:01 1397760] "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 13:54 241664] "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 09:07 843776] "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 08:19 729088] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 18:14 35328] "QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-01-31 23:13 385024] "HP Software Update"="C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 21:09 157592] "ORAHSSStartup"="C:\Program Files\OrangeHSS\Launcher\Launcher.exe" [2007-01-04 10:40 462848] "SystrayORAHSS"="C:\Program Files\OrangeHSS\Systray\SystrayApp.exe" [2007-01-04 10:45 90112] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-25 22:33 249896] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [ ] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ dxva_sig.txt [2007-02-17 19:34:17 3] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-07-19 21:46:14 113664] D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqthb08.exe [2004-05-28 22:06:36 53248] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe [2004-05-28 21:31:38 241664] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\DAP\DAP.exe"= "D:\Program Files\utorrent\utorrent.exe"= "C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"= "D:\Program Files\Cyanide\Pro Rugby Manager 2004\RUGBY.EXE"= "D:\Program Files\Cyanide\GameCenter\GameCenter.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "D:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"= "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kmtnéé£'£'%''msn'è%'fix''.exe"= R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 13:46] S2 Programs_Compatibility;Programs Compatibility;C:\WINDOWS\userinit.exe [] S3 PciCon;PciCon;I:\PciCon.sys [] S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-01-04 12:01] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-03-24 15:24:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-26 23:15:31 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-03-26 23:16:00 ComboFix-quarantined-files.txt 2008-03-26 22:15:52 ComboFix2.txt 2008-03-26 20:07:16 ComboFix3.txt 2008-03-26 20:03:01 ComboFix4.txt 2008-03-26 19:31:42 ComboFix5.txt 2008-03-26 18:48:39 . 2008-03-24 20:01:35 --- E O F ---

booddha · Answer

Cette ligne est suspecte

O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\CPV\CPV7.dll

Selon castleCorps : Password stealer, detected by AntiVir as ADSPY/Goldrun.K

MalwaresByte en vient à bout.

Un petit coup de VirusTotal peut-être.

Bilt31 · Answer

Ok, je vais voir ca de suite ;)

Merci

Bilt31 · Answer

Effectivement:

Fichier CPV7.dll reçu le 2008.03.26 23:32:44 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 

Résultat: 5/32 (15.63%)

Que faire?

Passer un coup de MalwaresByte comme tu me l'indiques plus haut booddha?

Bilt31 · Answer

Ok pas de problème j'attends ses consignes ;)

Par contre surement rien a voir mais j'ai des pop-up qui s'ouvrent de temps en temps, bon c'est pas fréquent, mais j'en avais aucun avant avec la toolbar google, ca peut venir d'un petit logiciel installé ses derniers jours pour supprimer mon virus msn?

ep44 · Answer

Bonsoir booddha 
tu peux intervenir, pas de soucis pour moi 

bilt31 pour MalwaresByte regarde ici
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

je ne vois pas d'inconvénient à ce que tu fasses un scan au contraire 
si booddha pense que ça peut-être bénéfique  il faut tenter;-)

ensuite je voudrais bien que tu fasse un scan en ligne 
avec bitdefender sur IE et colle le rapport

https://www.bitdefender.com/toolbox/

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

ensuite va sur ce site
https://www.eset.com/

==> clique sur scanner en ligne
==> clique " yes accept the terms of use " ensuite start
==> clique droit en haut de la page pour débloquer ActiveX
==> clique les deux cases
==> une fois le scan fini fait détails et colle le rapport

et pour control un nouveau hijack 
@+

Bilt31 · Answer

Je fais ça de suite (merci encore pour tout)

Pour le site de malekal, il ne fonctionne pas depuis cet aprem, surement un problème de serveur...

je passe aux deux autres étapes.

Bilt31 · Answer

J'ai désactivé la protection d'antivir durant le scan car il me sortait les fichiers infectés durant le scan en même temps que Bitdefender

Bilt31 · Answer

Pour le rapport Bitdefender j'avais le choix pour l'enregistrer en html ou txt, j'ai fait les deux mais seul le txt s'ouvre et c'est assez étrange: BitDefender Online Scanner - Rapport d'analyse

BitDefender Online Scanner

Rapport d'analyse généré à: Thu, Mar 27, 2008 - 00:57:11

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;I:\;

Statistiques
Temps	00:28:52
Fichiers	88745
Directoires	6825
Secteurs de boot	3
Archives	1300
Paquets programmes	9040

Résultats
Virus identifiés	3
Fichiers infectés	7
Fichiers suspects	0
Avertissements	0
Désinfectés	0
Fichiers effacés	6

Info sur les moteurs
Définition virus	1027364
Version des moteurs	AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins	16
Archive des plugins	41
Unpack des plugins	7
E-mail plugins	6
Système plugins	5

Paramètres d'analyse
Première action	Désinfecté
Seconde Action	Supprimé
Heuristique	Oui
Acceptez les avertissements	Oui
Extensions analysées	exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Excludez les extensions
Analyse d'emails	Oui
Analyse des Archives	Oui
Analyser paquets programmes	Oui
Analyse des fichiers	Oui
Analyse de boot	Oui

Fichier analysé	Statut
C:\Program Files\CPV\CPV7.dll	Infecté par: Trojan.BHO.OAE
C:\Program Files\CPV\CPV7.dll	Echec de la désinfection
C:\Program Files\CPV\CPV7.dll	Echec de la suppression
C:\Program Files\DAEMON Tools\SetupDTSB.exe	Détecté avec: Application.Adware.Savenow.G
C:\Program Files\DAEMON Tools\SetupDTSB.exe	Echec de la désinfection
C:\Program Files\DAEMON Tools\SetupDTSB.exe	Supprimé
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256660.exe	Détecté avec: Adware.Insider.A
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256660.exe	Supprimé
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256661.exe	Détecté avec: Adware.Insider.A
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256661.exe	Supprimé
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256687.exe	Détecté avec: Adware.Insider.A
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256687.exe	Supprimé
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256690.exe	Détecté avec: Adware.Insider.A
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256690.exe	Supprimé
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP622\A0260447.exe	Détecté avec: Application.Adware.Savenow.G
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP622\A0260447.exe	Echec de la désinfection
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP622\A0260447.exe	Supprimé

Bilt31 · Answer

J'ai lancé Malwarebytes mais le tutorial ne se lance pas chez moi, impossible de me connecter sur leur site depuis cet aprem que ce soit avec IE ou Firefox...

J'ai donc fait sans tutorial au mieux... et un scan complet

Bilt31 · Answer

Voilà le rapport Malwarebytes:


Malwarebytes' Anti-Malware 1.09
Version de la base de données: 551

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 116460
Temps écoulé: 25 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\program files\CPV\CPV7.dll (Trojan.Downloader) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT	estcpv6.bho (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT	estcpv6.bho.1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\BO1jiZmwnF2zhi (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\CPV (Trojan.Downloader) -> Delete on reboot.

Fichier(s) infecté(s):
c:\program files\CPV\CPV7.dll (Trojan.Downloader) -> Delete on reboot.
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256615.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256662.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{40BB5BAC-6C8A-40D2-8875-C2967D69CC38}\RP619\A0256686.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\b155.exe_old (Trojan.Downloader) -> Quarantined and deleted successfully.




Je lancerai le dernier scan demain matin et je te mettrai le rapport avec celui de hijack demain a midi.
Merci pour tout et bonne nuit ;)
@ demain

Bilt31 · Answer

Pour le rapport eset, cela m'indique "no threats found" je ne trouve aucun autre rapport (je pense que l'absence d'infection doit être bon signe)

Je te colle ici ep44 le nouveau rapport hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:03, on 27/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\CardReader2.0\OTiReader.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
C:\Program Files\CardReader2.0\CRBroadCasting.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Winamp\winampa.exe
D:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sports.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [CRBroadCasting] C:\Program Files\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\all-in-one series\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: dxva_sig.txt
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\all-in-one series\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/aio/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8077463F-6666-423F-81D8-BC0EA7CB6D2B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0AB688DF-47A0-4E37-A85E-22FCD734B3E7}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Program Files\CardReader2.0\OTiReader.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Programs Compatibility (Programs_Compatibility) - Unknown owner - C:\WINDOWS\userinit.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

ep44 · Answer

Bonsoir 

et bien je suis content pour toi 
Malwarebytes a porté ces fruits 

ton rapport hijack semble ok
si tu n'as plus de soucis 


Tu peux supprimer tous les logiciels que nous avons utilisés
va dans ajout/suppression de programes et dans programmes files
pour vérifier



ensuite fait ceci (IMPORTANT)

=démarrer
=panneau de configuration
=système
=onglet Restauration système
=coche la case (Désactiver la restauration système)
=redémarre l'ordinateur
=réactive la ensuite

@+

Bilt31 · Answer

Tout semble fonctionner impeccablement, je viens de réinstaller window live messenger (j'ai passé un coup de spyboat et avg anti spyware derrière) là je vais me connecter pour voir mais plus aucun problème apparent...
Je mettrai un petit post demain pour signaler si tout est bon mais je ne vois pas pourquoi cela ne le serait pas, en tout cas un ENORME MERCI pour ta précieuse aide et tout le temps que tu as passé sur mon cas car cela en a demandé.
C'est vraiment super sympa car je ne sais pas comment j'aurai fait, j'aurai surement du me résoudre a tout formater au final.
Un grand MERCI aussi a booddha pour ses interventions précieuses. ;)

je vais de ce pas suivre tes dernières indications ep44.

Milles merci et bonne soirée.

Brice

ep44 · Answer

Merci pour la participation de booddha ;-)

A demain avec de bonne nouvelle 
j'espère ;-))
@+

booddha · Answer

Te sauves pas si vite

Excuse moi EP44 ;)

• Installer IE7 

C'est INDISPENSABLE même si tu ne t'en sert pas au quotidien.


Il y a deux ou trois choses à vérifier dans ton rapport

Je mettrais ça tout à l'heure mais EP44 a été très efficace

Bilt31 · Answer

Ok booddha, j'attends tes consignes.

Pour IE7 je n'ai malheureusement pas une version de windows authentique (je sais que ce n'est pas bien) donc je vais patienter un peu pour l'installer je pense.

booddha · Answer

Non c'est pa bien.

Tu as de la chance, car se servir desoutils dont on se sert pour déverminer une machine peut entrainer sur ces versions des dégâts irréversible.

Bon on va finir quand même

Bilt31 · Answer

Merci ;)

Pour mon prochain ordi je ne ferai plus la même erreur, je prendrai une version officielle, je me suis rendu compte depuis longtemps que c'était indispensable (en plus d'etre légal)

ep44 · Answer

Bonsoir Booddha 

que vois tu de néfaste ??
je peux très bien passer à coté de l'évident :-))

peut-être 

ceci à fixer 
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

mais sans plus ??
@+

booddha · Answer

===================== OAD ( outil d'aide au diagnostic ) ======================

il  permet de rechercher les chemins d'accès COMPLET d'un ou plusieur fichier 
et ainsi connaitre leur emplacement dans la base de registre.

Télécharger OAD < http://sosvirus.changelog.fr/OAD.exe >
	•	L'enregistrer sur le bureau
	•	Lancer OAD.exe en faisant un double-click sur le fichier
	•	Saisir la valeur recherchée -> dxva_sig.txt ( faire un copier/coller )
	•	Type de recherche : sélectionner l'option 3 puis valide entrée
	•	OAD va maintenant rechercher le fichier.
	•	Le laisser travailler jusqu'à ce qu'il en ait terminé.
	•	Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

	•	Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
	•	Faire un copier/coller de ce rapport dans le prochain message.

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore

Bilt31 · Answer

Voila le rapport demandé:


 27/03/2008 ---- 23:55:20,04  

----------------------------------
§§§§§§ [dxva_sig.txt ] §§§§§§
----------------------------------
[  ] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Bilt31 · Answer

Effectivement pour ce fichier texte recherché "dxva_sig.txt"  il s'ouvre sur mon ordinateur a chaque démarrage de windows depuis de longs mois et je n'ai jamais pu l'enlever...

ep44 · Answer

dxva_sig.txt est lié à media player ??

Bilt31 · Answer

C'est ce que j'ai cru comprendre en lisant un sujet sur ce forum. Il parait que d'updater Media Player règle le problème

ep44 · Answer

ne serait pas lié à la version 

tu as la 10 ?

booddha · Answer

Fais une recherche de fichier sur ce fichier, j'ai besoin de savoir ou il est sur ton disque.

Tu me donneras le chemin

c:\xxxxxxx\Truc.txt

Bilt31 · Answer

J'ai Window Media Player serie 9.

Pour le fichier booddha je trouve 3 résultats dans la recherche
Documents and Settings\Administrateur
Documents and Settings\Administrateur\Menu demarrer\Programmes\Demarrage 
Programmes Files\Windows Media Player

booddha · Answer

Comme ce sont des fichier texte, tu peux me dire ce qu'ils contiennent ?

Bilt31 · Answer

Le fichier texte s'ouvre et j'ai que la lettre "B"  sur la 1ère ligne a gauche, c'est tout.

booddha · Answer

Les trois ?

Bilt31 · Answer

Oui les trois, (tout comme quand Windows démarre ou le fichier texte s'ouvre et je vois que la lettre B.)

booddha · Answer

Ca m'étonnerait que ça donne quelque chose mais bon

==================== VIRUS TOTAL ====================== 

Aller sur le site VIRUS TOTAL

	•	COPIER/COLLER dans le champ de saisie ce qui est en gras

C:\Documents and Settings\Administrateur\dxva_sig.txt

	•	Appuyer sur le bouton Envoyer le fichier

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

	•	Copier/Coller le rapport dans le prochain message.



dxva_sig.txt

Bilt31 · Answer

J'ai lancé l'analyse...

 Pour info ca m'indique qu'il y a deja eu une anlayse pour ce fichier et aucun des 32 antivirus ne l'a reconnu...

Bilt31 · Answer

Fichier dxva_sig.txt reçu le 2008.03.28 00:37:07 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/32 (0%)

booddha · Answer

Mince normal ce n'est pas le bon répertoire.

Ce que je te propose.

Tu met à la poubelle celui qui est dans 

c:\Documents and Settings\Administrateur\Menu demarrer\Programmes\Demarrage
Programmes Files\Windows Media Player

Tu ne vides pas la poubelle. Tu redémarres la machine. Tu essayes WMP.

S'il ne se passe rien, reviens vers nous.

Si cela crée un dysfonctionnement tu restaures depuis la poubelle.

Bilt31 · Answer

J'en mets donc 2 a la poubelle:

celui dans c:\Documents and Settings\Administrateur\Menu demarrer\Programmes\Demarrage 

et celui dans c:\Programmes Files\Windows Media Player

Je fais ca de suite

booddha · Answer

Non, le premier seulement, ça devrait suffire à lui clouer le bec au démarrage.

Bilt31 · Answer

En fait je l'ai supprimé dans les deux et cela ne pose pas de problème WMP fonctionne bien et le fichier texte ne s'ouvre plus au démarrage...

booddha · Answer

GOOD.

Je n'avais rien d'autre à dire. Bravo à EP44 et à toi mais pas à ta version de windows ;)

Bonne continuation.....

Bilt31 · Answer

Un grand merci encore pour ton coup de main ;)

Pour mon prochain achat d'ordi je prendrai une version officielle, j'ai retenu la leçon ;)

Je vais m'occuper de la procédure de restauration système précisé par ep44 et vider ma poubelle.

Bonne fin de soirée.

Brice

booddha · Answer

;)

Bilt31 · Answer

Je repasse pour vous dire qu'aprés quelques jours d'utilisation je ne vois aucun problème, tout fonctionne parfaitement bien.
Le problème est donc résolu, merci encore pour votre aide.

Brice

booddha · Answer

;) Sympa

ep44 · Answer

oui Merci pour les nouvelles 
;-)

Infecté par

79 réponses

Discussions similaires