Cheval de troie Win 32 Agent RVQ [Trj]

sonia -  
g!rly Messages postés 18462 Statut Contributeur -
bonjour a tous,
j'ai un grand besoin de vous avast viens de détecté deux chevaux de troie et un adware je n'ai c vraiment pas koi faire fo dire que je ne suis vraiment pas douée en informatique;je vous en suplie aidez moi
merci d'avance pour votre aide
Configuration: Windows XP
Internet Explorer 6.0

15 réponses

  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut,

    Telecharge malwarebytes

    -> http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/anti-malware-sujet_197382_1.htm

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    puis

    Télécharge HijackThis ici :

    -> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Post les rapports générés ici stp...

    @+
    0
    1. sonia
       
      salut,
      g téléchargé
      voila c'est fait mais a mon avis ca va pas etre trés bon merci pour ta patience et ton aide encore une fois
      a plus



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 10:55:12, on 26/03/2008
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\System32\HPZipm12.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\System32\Rundll32.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
      C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\PROGRA~1\Wanadoo\ComComp.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\PROGRA~1\Wanadoo\Watch.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
      C:\PROGRA~1\WANADOO\WOOBRO~1\DownloadManager.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: targettedbanner.biz browser enhancer - {16B435F6-B6CE-4F24-A568-944B27ED919C} - C:\WINDOWS\System32\atgban.dll
      O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\atgban.dll" DllStart
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S138.tmp" /EF "HKCU"
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\ext\begmgr11.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: BlueSoleil.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9A2D2386-828B-4B63-8503-0DC767F6A265}: NameServer = 80.10.246.1,80.10.246.139
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      0
  2. sonia
     
    salut,
    ce matin j'ai installé malwarebytes en suivant tes instructions;aprés avoir redémarré le pc a fait une vérification du système des fichiers qui a duré environ 2H30 je ne savé pas s'il fallé le laissé faire ou pas je n'y comprend vraiment rien maintenant je v passé a l'étape suivant et installer hijack . je te remercie de bien vouloir m'aider je suis vraiment perdue! j'espère k ca va marcher

    voici le rapport :

    Malwarebytes' Anti-Malware 1.09
    Version de la base de données: 547

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 72868
    Temps écoulé: 55 minute(s), 45 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 3
    Clé(s) du Registre infectée(s): 7
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 13

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\yabcd.dll (Trojan.Vundo) -> Unloaded module successfully.
    C:\WINDOWS\system32\xxyvvus.dll (Trojan.Vundo) -> Unloaded module successfully.
    C:\WINDOWS\system32\jkkiigf.dll (Trojan.Vundo) -> Unloaded module successfully.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ac036801-8b12-4ee9-8d28-52292b768fce} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{ac036801-8b12-4ee9-8d28-52292b768fce} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{3feca576-7ad2-4e11-a6ad-6b59d4fb5db9} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvvus (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C1-16-60-06-DW} (Adware.ZenoSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{3feca576-7ad2-4e11-a6ad-6b59d4fb5db9} (Trojan.Vundo) -> Delete on reboot.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\yabcd.dll -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\yabcd.dll -> Delete on reboot.

    Dossier(s) infecté(s):
    C:\Documents and Settings\sonia\Local Settings\Temp\NI.UGA6P_0001_N122M2802 (Rogue.Multiple) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\yabcd.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\dcbay.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\dcbay.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ext\begmgr11.exe (Adware.ZenoSearch) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\xxyvvus.dll (Trojan.Vundo) -> Delete on reboot.
    C:\Documents and Settings\sonia\Local Settings\Temp\winvsnet.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FE32DDCA-30FF-4C2F-A021-39EAE75462BD}\RP159\A0092497.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FE32DDCA-30FF-4C2F-A021-39EAE75462BD}\RP159\A0092498.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\sonia\Local Settings\Temp\NI.UGA6P_0001_N122M2802\settings.ini (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\msnav32.ax (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\jkkiigf.dll (Trojan.Vundo) -> Delete on reboot.
    C:\Documents and Settings\sonia\Local Settings\Temp\snapsnet.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut Sonia,

    Malwarebytes a fait une partie du travail ;-)

    fais ceci a present :

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message ainsi qu´un nouveau rapport hijack this.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    @+
    0
  4. sonia
     
    salut,
    merci pour ta réponse mé il y un truc que je sais pas c'est pour les antispywares je c meme pas si j'en ai pour avast je mets "arrêter la protection résidente" c'est ca? je m'excuse encore mais je n'y connais vraiment rien.
    merci pour ta compréhension
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    sonia,

    deconnecte toi du net et :

    arrete juste "arrêter la protection résidente" d´avast ;-)

    @+
    0
    1. sonia
       
      ok merci du renseignements je fé ca tout de suite merci
      0
  7. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok ;-)
    0
    1. sonia
       
      re,
      voila combo a fini je c pas si ca va avoir une incidance mé kan windows a redémarré avast s'est réactivé, je l'ai a nouveau arrete et orange commencé a se lancer g arrete aussi

      voici le rapport combofix et maintenant je v faire le hijacks

      ComboFix 08-03-25.4 - sonia 2008-03-26 18:49:10.1 - [color=red][b]FAT32[/b][/color]x86
      Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.93 [GMT 1:00]
      Endroit: C:\Documents and Settings\sonia\Mes documents\cedric.favre0113\combofix.exe
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Documents and Settings\sonia\Menu Démarrer\Programmes\Démarrage\DW_Start.lnk
      C:\Temp\1cb
      C:\Temp\1cb\syscheck.log
      C:\Temp\gbRve12
      C:\Temp\gbRve12\csLioes.log
      C:\WINDOWS\system32\atgban.dll
      C:\WINDOWS\system32\dcbay.ini
      C:\WINDOWS\system32\dcbay.ini2
      C:\WINDOWS\system32\ext
      C:\WINDOWS\system32\xxyvvus.dll
      C:\WINDOWS\system32\yabcd.dll

      .
      ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-02-26 to 2008-03-26 ))))))))))))))))))))))))))))))))))))
      .

      2008-03-26 10:54 . 2008-03-26 10:54 <REP> d-------- C:\Program Files\Trend Micro
      2008-03-26 06:11 . 2008-03-26 06:11 <REP> d-------- C:\Documents and Settings\sonia\Application Data\Malwarebytes
      2008-03-26 06:09 . 2008-03-26 06:09 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
      2008-03-26 06:09 . 2008-03-26 06:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2008-03-26 05:21 . 2008-03-26 05:21 39,883 --a------ C:\WINDOWS\system32\targetedbanner-uninst.exe
      2008-03-26 05:18 . 2008-03-26 05:18 <REP> d-------- C:\WINDOWS\system32\DL
      2008-03-26 05:16 . 2008-03-26 05:16 <REP> d-------- C:\WINDOWS\system32\xir
      2008-03-26 05:16 . 2008-03-26 05:16 <REP> d-------- C:\WINDOWS\system32\pex3
      2008-03-26 02:49 . 2008-03-26 02:49 <REP> d-------- C:\WINDOWS\system32\imd4
      2008-03-26 02:49 . 2008-03-26 02:49 <REP> d-------- C:\WINDOWS\system32\aqVreo01
      2008-03-26 02:49 . 2008-03-26 02:49 340,104 --a------ C:\temp\roeuz3032.exe
      2008-03-24 19:20 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
      2008-03-24 19:20 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
      2008-03-24 19:20 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
      2008-03-24 19:20 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
      2008-03-24 19:20 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
      2008-03-24 19:20 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
      2008-03-24 19:20 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
      2008-03-24 19:20 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
      2008-03-21 16:44 . 2008-03-21 16:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
      2008-03-21 16:36 . 2008-03-21 16:36 <REP> d-------- C:\Documents and Settings\sonia\Application Data\InstallShield
      2008-03-21 16:34 . 2008-03-21 16:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
      2008-03-21 16:33 . 2006-12-08 03:04 76,800 --a------ C:\WINDOWS\system32\E_FLBCAE.DLL
      2008-03-21 16:33 . 2006-04-19 03:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BCAE.DLL
      2008-03-21 16:33 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
      2008-03-21 16:23 . 2008-03-21 16:23 <REP> d-------- C:\Program Files\epson
      2008-03-21 16:23 . 2006-12-28 00:00 208,896 --a------ C:\WINDOWS\system32\esint7e.dll
      2008-03-21 16:23 . 2006-12-28 00:00 66,560 --a------ C:\WINDOWS\system32\eswia7e.dll
      2008-03-21 16:23 . 2006-03-10 00:00 3,584 --a------ C:\WINDOWS\system32\eswiaml.dll
      2008-03-21 16:22 . 2008-03-21 16:23 27 --a------ C:\WINDOWS\CDE DX4400DEFGIPS.ini
      2008-03-20 09:39 . 2008-03-20 09:39 <REP> d--hs---- C:\FOUND.017
      2008-03-18 20:38 . 2008-03-18 20:38 <REP> d-------- C:\Documents and Settings\sonia\Application Data\ItsLabel
      2008-03-18 20:02 . 2008-03-18 20:02 <REP> d-------- C:\Program Files\Alwil Software
      2008-03-18 20:00 . 2008-03-18 20:00 <REP> d-------- C:\Program Files\EoRezo
      2008-03-18 20:00 . 2008-03-18 20:00 <REP> d-------- C:\Documents and Settings\sonia\Application Data\EoRezo
      2008-03-15 13:43 . 2008-03-15 13:43 32,768 --a------ C:\WINDOWS\system32\aqVreo01\aqVreo011065.exe
      2008-03-14 01:11 . 2008-03-14 01:11 <REP> d--hs---- C:\FOUND.016
      2008-03-08 13:33 . 2008-03-08 13:33 <REP> d--hs---- C:\FOUND.015
      2008-03-07 23:13 . 2008-03-07 23:13 <REP> d--hs---- C:\FOUND.014

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-02-07 17:30 --------- d-----w C:\Documents and Settings\sonia\Application Data\dvdcss
      2008-02-07 08:38 --------- d-----w C:\Documents and Settings\sonia\Application Data\vlc
      2008-02-07 08:13 --------- d-----w C:\Program Files\VideoLAN
      2008-02-06 12:21 --------- d-----w C:\Program Files\Shareaza
      2008-02-06 12:21 --------- d-----w C:\Documents and Settings\sonia\Application Data\Shareaza
      2008-02-03 19:52 --------- d-----w C:\Program Files\MSN Messenger
      2008-01-28 16:06 --------- d-----w C:\Documents and Settings\sonia\Application Data\PEX
      2008-01-28 16:06 --------- d-----w C:\Documents and Settings\sonia\Application Data\F-Secure
      2008-01-28 15:56 --------- d-----w C:\Documents and Settings\sonia\Application Data\ispnews
      2008-01-28 15:50 --------- d-----w C:\Program Files\AntivirusFirewall
      2008-01-28 15:38 --------- d-----w C:\Program Files\Wanadoo
      2008-01-28 15:35 --------- d-----w C:\Program Files\Securitoo
      2008-01-16 08:56 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
      2005-11-16 21:22 876 ----a-w C:\Documents and Settings\sonia_2\Application Data\wklnhst.dat
      2005-11-13 14:09 414 ----a-w C:\Documents and Settings\sonia\Application Data\wklnhst.dat
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 13:00 13312]
      "WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 14:50 122880]
      "EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.exe" [2007-03-01 07:01 180736]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 13:00 13312]

      R0 TVALG;Toshiba Value Added Logical and General Purpose Device Driver;C:\WINDOWS\System32\DRIVERS\TVALG.SYS [2001-09-13 19:53]
      R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\System32\DRIVERS\LTSM.sys [2002-09-17 15:12]
      S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\System32\DRIVERS\ss_bus.sys [2005-08-30 17:57]
      S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\System32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]
      S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\System32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]
      S3 wlags48b;Wireless LAN PCCard Driver;C:\WINDOWS\System32\DRIVERS\wlags48b.sys [2002-06-28 07:29]

      *Newly Created Service* - ALG
      *Newly Created Service* - IPNAT
      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-26 18:56:11
      Windows 5.1.2600 Service Pack 1 FAT NTAPI

      Balayage processus cach‚s ...

      Balayage cach‚ autostart entries ...

      Balayage des fichiers cach‚s ...

      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\System32\HPZipm12.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-03-26 18:59:26 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-03-26 17:59:20
      .
      2008-01-29 18:03:27 --- E O F ---
      0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    remets avast et orange en marche !

    et post un nouveau hijack this
    0
    1. sonia
       
      c fé voila le rapport hijacks

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 19:08:28, on 26/03/2008
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\System32\HPZipm12.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Wanadoo\GestionnaireInternet.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Wanadoo\Watch.exe
      C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S138.tmp" /EF "HKCU"
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: BlueSoleil.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9A2D2386-828B-4B63-8503-0DC767F6A265}: NameServer = 80.10.246.1,80.10.246.139
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      0
  9. g!rly Messages postés 18462 Statut Contributeur 407
     
    Sonia,

    peux tu me dire ce qu´il y a dans ces dossiers :

    C:\WINDOWS\system32\DL
    C:\WINDOWS\system32\xir
    C:\WINDOWS\system32\pex3
    C:\WINDOWS\system32\imd4
    C:\Documents and Settings\sonia\Application Data\PEX
    C:\WINDOWS\system32\aqVreo01

    @+
    0
    1. sonia
       
      alors voila le resultat,

      C:\WINDOWS\system32\DL..............................TGbn1dll (g pa osé ouvrir yavé comme un cheval noir sur l'icone)
      C:\WINDOWS\system32\xir..............................dossier vide
      C:\WINDOWS\system32\pex3............................dossier vide
      C:\WINDOWS\system32\imd4............................dossier vide
      C:8WINDOWS\system32\agVreo01.....................aqVreo011065 ( g pas ouvert je doit)

      C:\documents and setting\sonia\Apllication data\PEX .............je trouve pas application data dans sonia pourtant g fais une recherche et application data est dans proprietaire mais aprés PEX y'en a pas

      merci pour le temps que tu passe pour résoudre mon problème
      0
  10. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok sonia,

    merci pour ces precisions.

    a suite :

    Copie le texte ci-dessous :

    File::
    C:\temp\roeuz3032.exe
    C:\WINDOWS\system32\targetedbanner-uninst.exe
    C:\WINDOWS\system32\jkkiigf.dll

    Folder::
    C:\Program Files\EoRezo
    C:\WINDOWS\system32\DL
    C:\WINDOWS\system32\xir
    C:\WINDOWS\system32\pex3
    C:\WINDOWS\system32\imd4
    C:\Documents and Settings\sonia\Application Data\PEX
    C:\WINDOWS\system32\aqVreo01

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    @+
    0
    1. sonia
       
      il faut k j'arrete orange et avast avant ou pas
      0
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    non pas besoin cette fois ci,

    @+
    0
    1. sonia
       
      ok merci ACTION!
      0
  12. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok ;-)
    0
    1. sonia
       
      il ya eu comme un probleme je c pas si c'est moi hi est fais une mauvaise manip ou pas mais kan le rapport a été fé g voulu le copier pour le mettre dans le forum et kan g eu fermé les fenetres je n'avais plus de bureau alors j'ai éteind l'ordi.
      je recommence a glisser le fichier CFScript dans combofix ou le rapport et bon

      désolé j'ai paniqué!!!
      0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    tu voies c´etait ecrit : Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    post quand meme le rapport : C:\Combofix.txt2

    @+
    0
    1. sonia
       
      salut
      je suis vraiment désolée mais je croyé que lorsque le rapport et fini, le scan est fini excuse moi je n'est pas voulu te vexé j'avé bien vu kil fallé attendre pordon

      voici le rapport

      ComboFix 08-03-25.4 - sonia 2008-03-26 20:18:28.2 - [color=red][b]FAT32[/b][/color]x86
      Endroit: C:\Documents and Settings\sonia\Mes documents\cedric.favre0113\combofix.exe
      Command switches used :: C:\Documents and Settings\sonia\Mes documents\CFScript.txt..txt
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

      FILE ::
      C:\temp\roeuz3032.exe
      C:\WINDOWS\system32\jkkiigf.dll
      C:\WINDOWS\system32\targetedbanner-uninst.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Documents and Settings\sonia\Application Data\PEX
      C:\Documents and Settings\sonia\Application Data\PEX\FSSW\fssw.LOG
      C:\Program Files\EoRezo
      C:\Program Files\EoRezo\EoAdv\eoAdv.url
      C:\Program Files\EoRezo\EoAdv\EoRezoBho.old
      C:\Program Files\EoRezo\EoAdv\tmp\eoRezoBho.dll.3508
      C:\Program Files\EoRezo\EoAdv\tmp\eoRezoBho.dll.8015
      C:\temp\roeuz3032.exe
      C:\WINDOWS\system32\aqVreo01
      C:\WINDOWS\system32\aqVreo01\aqVreo011065.exe
      C:\WINDOWS\system32\DL
      C:\WINDOWS\system32\DL\TGbn1dll.exe
      C:\WINDOWS\system32\imd4
      C:\WINDOWS\system32\pex3
      C:\WINDOWS\system32\targetedbanner-uninst.exe
      C:\WINDOWS\system32\xir

      .
      ((((((((((((((((((((((((((((( Fichiers créés 2008-02-26 to 2008-03-26 ))))))))))))))))))))))))))))))))))))
      .

      2008-03-26 10:54 . 2008-03-26 10:54 <REP> d-------- C:\Program Files\Trend Micro
      2008-03-26 06:11 . 2008-03-26 06:11 <REP> d-------- C:\Documents and Settings\sonia\Application Data\Malwarebytes
      2008-03-26 06:09 . 2008-03-26 06:09 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
      2008-03-26 06:09 . 2008-03-26 06:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2008-03-24 19:20 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
      2008-03-24 19:20 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
      2008-03-24 19:20 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
      2008-03-24 19:20 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
      2008-03-24 19:20 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
      2008-03-24 19:20 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
      2008-03-24 19:20 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
      2008-03-24 19:20 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
      2008-03-21 16:44 . 2008-03-21 16:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
      2008-03-21 16:36 . 2008-03-21 16:36 <REP> d-------- C:\Documents and Settings\sonia\Application Data\InstallShield
      2008-03-21 16:34 . 2008-03-21 16:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
      2008-03-21 16:33 . 2006-12-08 03:04 76,800 --a------ C:\WINDOWS\system32\E_FLBCAE.DLL
      2008-03-21 16:33 . 2006-04-19 03:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BCAE.DLL
      2008-03-21 16:33 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
      2008-03-21 16:23 . 2008-03-21 16:23 <REP> d-------- C:\Program Files\epson
      2008-03-21 16:23 . 2006-12-28 00:00 208,896 --a------ C:\WINDOWS\system32\esint7e.dll
      2008-03-21 16:23 . 2006-12-28 00:00 66,560 --a------ C:\WINDOWS\system32\eswia7e.dll
      2008-03-21 16:23 . 2006-03-10 00:00 3,584 --a------ C:\WINDOWS\system32\eswiaml.dll
      2008-03-21 16:22 . 2008-03-21 16:23 27 --a------ C:\WINDOWS\CDE DX4400DEFGIPS.ini
      2008-03-20 09:39 . 2008-03-20 09:39 <REP> d--hs---- C:\FOUND.017
      2008-03-18 20:38 . 2008-03-18 20:38 <REP> d-------- C:\Documents and Settings\sonia\Application Data\ItsLabel
      2008-03-18 20:02 . 2008-03-18 20:02 <REP> d-------- C:\Program Files\Alwil Software
      2008-03-18 20:00 . 2008-03-18 20:00 <REP> d-------- C:\Documents and Settings\sonia\Application Data\EoRezo
      2008-03-14 01:11 . 2008-03-14 01:11 <REP> d--hs---- C:\FOUND.016
      2008-03-08 13:33 . 2008-03-08 13:33 <REP> d--hs---- C:\FOUND.015
      2008-03-07 23:13 . 2008-03-07 23:13 <REP> d--hs---- C:\FOUND.014

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-02-07 17:30 --------- d-----w C:\Documents and Settings\sonia\Application Data\dvdcss
      2008-02-07 08:38 --------- d-----w C:\Documents and Settings\sonia\Application Data\vlc
      2008-02-07 08:13 --------- d-----w C:\Program Files\VideoLAN
      2008-02-06 12:21 --------- d-----w C:\Program Files\Shareaza
      2008-02-06 12:21 --------- d-----w C:\Documents and Settings\sonia\Application Data\Shareaza
      2008-02-03 19:52 --------- d-----w C:\Program Files\MSN Messenger
      2008-01-28 16:06 --------- d-----w C:\Documents and Settings\sonia\Application Data\F-Secure
      2008-01-28 15:56 --------- d-----w C:\Documents and Settings\sonia\Application Data\ispnews
      2008-01-28 15:50 --------- d-----w C:\Program Files\AntivirusFirewall
      2008-01-28 15:38 --------- d-----w C:\Program Files\Wanadoo
      2008-01-28 15:35 --------- d-----w C:\Program Files\Securitoo
      2008-01-16 08:56 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
      2005-11-16 21:22 876 ----a-w C:\Documents and Settings\sonia_2\Application Data\wklnhst.dat
      2005-11-13 14:09 414 ----a-w C:\Documents and Settings\sonia\Application Data\wklnhst.dat
      .

      ((((((((((((((((((((((((((((( snapshot@2008-03-26_18.58.45.20 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-03-26 09:15:34 16,384 ------w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
      + 2008-03-26 17:54:32 16,384 ------w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
      - 2008-03-26 09:15:34 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
      + 2008-03-26 17:54:32 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
      - 2008-03-26 09:15:34 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
      + 2008-03-26 17:54:32 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
      - 2008-03-08 12:46:10 53,098 ----a-w C:\WINDOWS\system32\perfc009.dat
      + 2008-03-26 17:58:06 53,098 ----a-w C:\WINDOWS\system32\perfc009.dat
      - 2008-03-08 12:46:10 64,052 ----a-w C:\WINDOWS\system32\perfc00C.dat
      + 2008-03-26 17:58:08 64,052 ----a-w C:\WINDOWS\system32\perfc00C.dat
      - 2008-03-08 12:46:10 380,684 ----a-w C:\WINDOWS\system32\perfh009.dat
      + 2008-03-26 17:58:08 380,684 ----a-w C:\WINDOWS\system32\perfh009.dat
      - 2008-03-08 12:46:10 445,672 ----a-w C:\WINDOWS\system32\perfh00C.dat
      + 2008-03-26 17:58:08 445,672 ----a-w C:\WINDOWS\system32\perfh00C.dat
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 13:00 13312]
      "WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 14:50 122880]
      "EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.exe" [2007-03-01 07:01 180736]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 13:00 13312]

      C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
      BlueSoleil.lnk - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-12-31 19:20:39 1044480]

      R0 TVALG;Toshiba Value Added Logical and General Purpose Device Driver;C:\WINDOWS\System32\DRIVERS\TVALG.SYS [2001-09-13 19:53]
      R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\System32\DRIVERS\LTSM.sys [2002-09-17 15:12]
      S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\System32\DRIVERS\ss_bus.sys [2005-08-30 17:57]
      S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\System32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]
      S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\System32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]
      S3 wlags48b;Wireless LAN PCCard Driver;C:\WINDOWS\System32\DRIVERS\wlags48b.sys [2002-06-28 07:29]

      *Newly Created Service* - ALG
      *Newly Created Service* - IPNAT
      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-26 20:20:55
      Windows 5.1.2600 Service Pack 1 FAT NTAPI

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      Temps d'accomplissement: 2008-03-26 20:21:48
      ComboFix-quarantined-files.txt 2008-03-26 19:21:42
      ComboFix2.txt 2008-03-26 17:59:28
      .
      2008-01-29 18:03:27 --- E O F ---
      0
  14. sonia
     
    et le rapport hijack

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:02:38, on 26/03/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\WINDOWS\System32\HPZipm12.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S138.tmp" /EF "HKCU"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: BlueSoleil.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9A2D2386-828B-4B63-8503-0DC767F6A265}: NameServer = 80.10.246.1,80.10.246.139
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok sonia,

    tu surf avec internet explorer 6.0 = failles de securitées importantes

    alors fais les mises a jour windows : tu veux la version 7.0

    https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

    ta version de acrobat reader n´est pas a jour, tu veux la version 8.1 derniere en date alors desinstale ta version par le panneau de configuration / ajoue et suppression de programme

    et instale la derniere :

    https://get2.adobe.com/reader/otherversions/

    ou oublie completement acrobat reader et instales foxit plus léger a la place:

    https://www.clubic.com/telecharger-fiche13808-foxit-reader.html

    instale ce par feu :

    Online armor :

    http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

    tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=35606

    puis

    regarde ceci concernant avast :

    antivir vs avast :

    -> http://forum.malekal.com/ftopic3528.php

    alors je te conseille de le desinstaller et d´installer antivir a la place

    Telecharge et instales l'antivirus Antivir Personal Edition Classic :

    ->https://www.malekal.com/avira-free-security-antivirus-gratuit/

    https://www.avira.com/en/prime

    http://mickael.barroux.free.fr/securite/antivir.php
    http://speedweb1.free.fr/frames2.php?page=tuto5
    <- tutoriel configuration du scanner...

    une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
    puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
    coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
    puis sur la droite coche les case suivantes :
    scan boot sectors of selected drives
    scan master boot sectors
    scan memory
    search foe rootkit before scan
    decoche :
    ignore off line files
    toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

    Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

    repost egalement un nouveau hijack this

    @+
    0
    1. sonia
       
      alors c'est bon mes chevaux sont partis?


      je te remercie pour tous tes conseils je v installer les programmes k tu ma donné mais je feré ca demain g déja passé un nuit blanche pour réglé ce probleme;

      je te tiens au courant demain pour les rapports

      passe une bonne soirée je te remercie encore

      a plus
      0
  16. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok sonia,

    De rien ;-)

    Bonne soirée a toi egalement`

    @+
    0