Help infecté par win32 tratBHO. Fermé

Question

Bonjour,
Bonjour, J'ai une amie dont le pc est infecsté ou infecté.. win32 tratBHO.
Selon mes conseils elle a uutilisé hijack. Voici son rapport.


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:00:30, on 26/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satelliteaysat_3dsmax9_32server.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\LinC\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: {ad19b5ea-3ec5-e09b-cb14-4cf01cce8e38} - {83e8ecc1-0fc4-41bc-b90e-5ce3ae5b91da} - C:\WINDOWS\system32\yjqlawoh.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {91223DE9-F8E6-4FFD-8889-BE6784C18696} - C:\WINDOWS\system32\mljhiff.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AC036867-A5D7-4EB0-A511-ADFF1D1874D1} - C:\WINDOWS\system32\awtqp.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ptask] C:\Program Files\VirusGarde\ptask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [1c5801a2] rundll32.exe "C:\WINDOWS\system32\fxidwpns.dll",b
O4 - HKLM\..\Run: [BM1f6b323e] Rundll32.exe "C:\WINDOWS\system32\mstabgim.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-21-839522115-682003330-725345543-1003\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-839522115-682003330-725345543-1003\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
O4 - HKUS\S-1-5-21-839522115-682003330-725345543-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/w(...)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/m(...)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: mljhiff - C:\WINDOWS\SYSTEM32\mljhiff.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satelliteaysat_3dsmax9_32server.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

-- 
End of file - 8164 bytes


Aidez moi j'la trouve super sympa. Merci d'avance

Jajoute qu'elle vient de supprimer avast.

g!rly · Answer

salut,

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message ainsi qu´un nouveau rapport hijack this.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+

svpppp · Answer

merci je lui transmet imediatement. je vous donne les resultat  de suite

g!rly · Answer

ne serait il pas plus simple qu´elle vienne sur le forum ?

svpppp · Answer

ComboFix 08-03-25.4 - LinC 2008-03-26 1:12:14.1 - NTFSx86 Endroit: C:\Documents and Settings\LinC\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM1f6b323e.xml C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\cbgnetrw.dll C:\WINDOWS\system32\dnlviemm.dll C:\WINDOWS\system32\efccccc.dll C:\WINDOWS\system32\fxidwpns.dll C:\WINDOWS\system32\fyrntuoi.dll C:\WINDOWS\system32\guuvhgnl.dll C:\WINDOWS\system32\hjgjgusm.dll C:\WINDOWS\system32\jkkll.dll C:\WINDOWS\system32\jnwquyqm.dll C:\WINDOWS\system32\llkkj.ini C:\WINDOWS\system32\llkkj.ini2 C:\WINDOWS\system32\mljhiff.dll C:\WINDOWS\system32\mmeivlnd.ini C:\WINDOWS\system32 ucmvies.dll C:\WINDOWS\system32\pqtwa.ini C:\WINDOWS\system32\pqtwa.ini2 C:\WINDOWS\system32\snpwdixf.ini C:\WINDOWS\system32\xywjjxqc.dll C:\WINDOWS\system32\yayxvtt.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-02-26 to 2008-03-26 )))))))))))))))))))))))))))))))))))) . 2008-03-26 00:40 . 2008-03-26 00:40 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-03-26 00:40 . C:\WINDOWS\LastGood.Tmp 2008-03-25 23:40 . 2008-03-25 23:40 d-------- C:\VundoFix Backups 2008-03-24 18:00 . 2008-03-24 18:00 d-------- C:\Program Files\DivX 2008-03-24 18:00 . 2008-03-24 18:00 684 --a------ C:\WINDOWS\mozver.dat 2008-03-23 18:42 . 2008-03-24 14:47 1,531,501 ---hs---- C:\WINDOWS\system32\lrgfscmh.ini 2008-03-23 11:21 . 2008-03-23 11:21 d-------- C:\Documents and Settings\LinC\Application Data\Apple Computer 2008-03-22 14:01 . 2008-03-23 18:37 1,580,483 ---hs---- C:\WINDOWS\system32\boxjblob.ini 2008-03-21 17:44 . 2008-03-21 17:44 d-------- C:\WINDOWS\Sun 2008-03-21 17:43 . 2008-03-21 17:43 d-------- C:\Program Files\Java 2008-03-21 17:43 . 2008-03-21 17:43 d-------- C:\Program Files\Fichiers communs\Java 2008-03-21 17:43 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-03-21 14:01 . 2008-03-22 07:52 1,543,597 ---hs---- C:\WINDOWS\system32\iypwoxfb.ini 2008-03-20 22:36 . 2008-03-25 12:00 d-------- C:\Program Files\Full Tilt Poker 2008-03-20 15:09 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-03-20 15:09 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-03-20 11:22 . 2008-03-21 13:55 1,543,279 ---hs---- C:\WINDOWS\system32\mifvkuff.ini 2008-03-20 01:42 . 2008-03-20 01:42 d-------- C:\Documents and Settings\LinC\Application Data\Todae 2008-03-20 00:57 . 2008-03-20 00:57 0 --a------ C:\WINDOWS sreg.dat 2008-03-19 23:35 . 2008-03-19 23:35 d--hs---- C:\VirusGarde 2008-03-19 23:35 . 2008-03-19 23:35 d-------- C:\Documents and Settings\LinC\Application Data\VirusGarde 2008-03-19 23:35 . 2008-03-19 23:35 dr------- C:\Documents and Settings\All Users\Application Data\SalesMon 2008-03-19 23:29 . 2008-03-19 23:29 d-------- C:\Documents and Settings\LinC\Application Data\Grisoft 2008-03-19 23:28 . 2008-03-19 23:28 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-03-19 23:28 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-03-19 23:02 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2008-03-19 23:02 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll 2008-03-19 22:09 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys 2008-03-19 22:09 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys 2008-03-19 22:09 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-03-19 22:09 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-03-19 22:09 . 2004-08-19 16:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll 2008-03-19 22:09 . 2004-08-19 16:09 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll 2008-03-19 22:08 . 2008-03-25 21:24 d-------- C:\Documents and Settings\LinC\Application Data\skypePM 2008-03-19 22:08 . 2008-03-19 22:08 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat 2008-03-19 21:59 . 2008-03-19 21:59 d-------- C:\Program Files\Skype 2008-03-19 21:59 . 2008-03-19 21:59 d-------- C:\Program Files\Google 2008-03-19 21:59 . 2008-03-19 21:59 d-------- C:\Program Files\Fichiers communs\Skype 2008-03-19 21:59 . 2008-03-26 01:10 d-------- C:\Documents and Settings\LinC\Application Data\Skype 2008-03-19 21:59 . 2008-03-19 21:59 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2008-03-19 18:55 . 2008-03-19 21:50 d-------- C:\Documents and Settings\LinC\Contacts 2008-03-19 18:53 . 2008-03-19 18:53 d-------- C:\Program Files\Windows Live 2008-03-19 18:53 . 2008-03-19 18:53 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-03-19 18:52 . 2008-03-19 18:52 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-03-19 18:50 . 2008-03-21 02:22 d--h----- C:\WINDOWS\$hf_mig$ 2008-03-19 18:45 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2008-03-19 18:45 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-03-19 18:45 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-03-19 18:45 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-03-19 18:45 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 2008-03-19 18:24 . 2008-03-19 18:24 d---s---- C:\Documents and Settings\LinC\UserData 2008-03-19 18:05 . 2008-03-19 18:05 d-------- C:\Program Files\Alwil Software 2008-03-19 18:05 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-03-19 18:05 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2008-03-19 18:05 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-20 21:36 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-19 16:00 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-02-03 17:03 --------- d-----w C:\Documents and Settings\LinC\Application Data\dvdcss . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AC036867-A5D7-4EB0-A511-ADFF1D1874D1}] C:\WINDOWS\system32\awtqp.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-22 23:58 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 07:35 7634944] "nwiz"="nwiz.exe" [2006-10-31 07:35 1622016 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 07:35 86016] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312] "ptask"="C:\Program Files\VirusGarde\ptask.exe" [ ] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\mljhiff] mljhiff.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-01-02 18:49 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Autodesk\3ds Max 9\3dsmax.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f4cc736-b958-11dc-a502-001a4d8f94d6}] \Shell\AutoRun\command - autorunexec.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7608ffe2-efa3-11dc-a518-001a4d8f94d6}] \Shell\AutoRun\command - autorun.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c29ed3c2-b95a-11dc-a503-001a4d8f94d6}] \Shell\AutoRun\command - autorun.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0fe587e-c50f-11dc-a50c-001a4d8f94d6}] \Shell\AutoRun\command - autorunexec.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8128870-bd34-11dc-a508-001a4d8f94d6}] \Shell\AutoRun\command - autorun.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8128871-bd34-11dc-a508-001a4d8f94d6}] \Shell\AutoRun\command - autorun.bat . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-26 01:14:11 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite aysat_3dsmax9_32server.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Temps d'accomplissement: 2008-03-26 1:15:16 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-26 00:15:07 . 2008-03-21 01:22:38 --- E O F ---

g!rly · Answer

post un nouveau hijack this egalement stp

svpppp · Answer

tu veux que je relance un scan hijack et ke jte donne le rapport?

svpppp · Answer

LE RAPPORT HIJACK : 



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 01:23:55, on 26/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satelliteaysat_3dsmax9_32server.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Full Tilt Poker\FullTiltPoker.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\LinC\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AC036867-A5D7-4EB0-A511-ADFF1D1874D1} - C:\WINDOWS\system32\awtqp.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ptask] C:\Program Files\VirusGarde\ptask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-21-839522115-682003330-725345543-1003\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-839522115-682003330-725345543-1003\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
O4 - HKUS\S-1-5-21-839522115-682003330-725345543-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: mljhiff - mljhiff.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satelliteaysat_3dsmax9_32server.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

svpppp · Answer

t'es trop fort si tu comprends qc à c rapports!!! pour moi c du chinois, j'suis dépassée!

svpppp · Answer

J'ai bien envie d'installer antivir, maintenant qu'j'ai enlevé avast et qu'j'ai fait combofix. Qu'est-ce que t'en penses?

svpppp · Answer

T encore là? sniff sniff...

g!rly · Answer

oui instale antivir 

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

puis ce par feu :

Online armor :

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=35606

je reviens te donner la suite

@+

g!rly · Answer

re,

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\awtqp.dll
C:\WINDOWS\system32\lrgfscmh.ini
C:\WINDOWS\system32\boxjblob.ini

Folder::
C:\Program Files\VirusGarde
C:\VirusGarde

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AC036867-A5D7-4EB0-A511-ADFF1D1874D1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ptask"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\mljhiff]

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

svpppp · Answer

merci bcp bcp bcp...
j't'envoie ça tt de suite

g!rly · Answer

re,

tu as vu le post 13 egalement ?

@+

svpppp · Answer

RAPPORT DU COMBO AVEC LE PTIT TEXTE: ComboFix 08-03-25.4 - LinC 2008-03-26 2:28:07.2 - NTFSx86 Endroit: C:\Documents and Settings\LinC\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\LinC\Bureau\CFScript.txt [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\system32\awtqp.dll C:\WINDOWS\system32\boxjblob.ini C:\WINDOWS\system32\lrgfscmh.ini . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\LinC\ResErrors.log C:\VirusGarde C:\WINDOWS\system32\boxjblob.ini C:\WINDOWS\system32\lrgfscmh.ini . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-26 to 2008-03-26 )))))))))))))))))))))))))))))))))))) . 2008-03-26 02:22 . 2008-03-26 02:22 d-------- C:\Program Files\Tall Emu 2008-03-26 02:22 . 2008-03-26 02:27 d-------- C:\Documents and Settings\LinC\Application Data\OnlineArmor 2008-03-26 02:22 . 2008-03-26 02:22 d-------- C:\Documents and Settings\All Users\Application Data\OnlineArmor 2008-03-26 02:22 . 2007-11-08 06:37 68,608 --a------ C:\WINDOWS\system32\drivers\OADriver.sys 2008-03-26 02:22 . 2007-09-29 00:06 25,600 --a------ C:\WINDOWS\system32\drivers\OAmon.sys 2008-03-26 02:22 . 2007-09-29 00:06 18,944 --a------ C:\WINDOWS\system32\drivers disrd.sys 2008-03-26 01:42 . 2008-03-26 01:42 d-------- C:\Program Files\Avira 2008-03-26 01:42 . 2008-03-26 01:42 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-03-26 00:40 . 2008-03-26 00:40 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-03-25 23:40 . 2008-03-25 23:40 d-------- C:\VundoFix Backups 2008-03-24 18:00 . 2008-03-24 18:00 d-------- C:\Program Files\DivX 2008-03-24 18:00 . 2008-03-24 18:00 684 --a------ C:\WINDOWS\mozver.dat 2008-03-23 11:21 . 2008-03-23 11:21 d-------- C:\Documents and Settings\LinC\Application Data\Apple Computer 2008-03-21 17:44 . 2008-03-21 17:44 d-------- C:\WINDOWS\Sun 2008-03-21 17:43 . 2008-03-21 17:43 d-------- C:\Program Files\Java 2008-03-21 17:43 . 2008-03-21 17:43 d-------- C:\Program Files\Fichiers communs\Java 2008-03-21 17:43 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-03-21 14:01 . 2008-03-22 07:52 1,543,597 ---hs---- C:\WINDOWS\system32\iypwoxfb.ini 2008-03-20 22:36 . 2008-03-26 01:17 d-------- C:\Program Files\Full Tilt Poker 2008-03-20 15:09 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-03-20 15:09 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-03-20 11:22 . 2008-03-21 13:55 1,543,279 ---hs---- C:\WINDOWS\system32\mifvkuff.ini 2008-03-20 01:42 . 2008-03-20 01:42 d-------- C:\Documents and Settings\LinC\Application Data\Todae 2008-03-20 00:57 . 2008-03-20 00:57 0 --a------ C:\WINDOWS sreg.dat 2008-03-19 23:35 . 2008-03-19 23:35 d-------- C:\Documents and Settings\LinC\Application Data\VirusGarde 2008-03-19 23:35 . 2008-03-19 23:35 dr------- C:\Documents and Settings\All Users\Application Data\SalesMon 2008-03-19 23:29 . 2008-03-19 23:29 d-------- C:\Documents and Settings\LinC\Application Data\Grisoft 2008-03-19 23:28 . 2008-03-19 23:28 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-03-19 23:28 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-03-19 23:02 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2008-03-19 23:02 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll 2008-03-19 22:09 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys 2008-03-19 22:09 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys 2008-03-19 22:09 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-03-19 22:09 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-03-19 22:09 . 2004-08-19 16:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll 2008-03-19 22:09 . 2004-08-19 16:09 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll 2008-03-19 22:08 . 2008-03-26 01:14 d-------- C:\Documents and Settings\LinC\Application Data\skypePM 2008-03-19 22:08 . 2008-03-19 22:08 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat 2008-03-19 21:59 . 2008-03-19 21:59 d-------- C:\Program Files\Skype 2008-03-19 21:59 . 2008-03-19 21:59 d-------- C:\Program Files\Google 2008-03-19 21:59 . 2008-03-19 21:59 d-------- C:\Program Files\Fichiers communs\Skype 2008-03-19 21:59 . 2008-03-26 02:29 d-------- C:\Documents and Settings\LinC\Application Data\Skype 2008-03-19 21:59 . 2008-03-19 21:59 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2008-03-19 18:55 . 2008-03-19 21:50 d-------- C:\Documents and Settings\LinC\Contacts 2008-03-19 18:53 . 2008-03-19 18:53 d-------- C:\Program Files\Windows Live 2008-03-19 18:53 . 2008-03-19 18:53 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-03-19 18:52 . 2008-03-19 18:52 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-03-19 18:50 . 2008-03-21 02:22 d--h----- C:\WINDOWS\$hf_mig$ 2008-03-19 18:45 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2008-03-19 18:45 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-03-19 18:45 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-03-19 18:45 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-03-19 18:45 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 2008-03-19 18:24 . 2008-03-19 18:24 d---s---- C:\Documents and Settings\LinC\UserData 2008-03-19 18:05 . 2008-03-19 18:05 d-------- C:\Program Files\Alwil Software 2008-03-19 18:05 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-03-19 18:05 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2008-03-19 18:05 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-20 21:36 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-19 16:00 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-02-03 17:03 --------- d-----w C:\Documents and Settings\LinC\Application Data\dvdcss . ((((((((((((((((((((((((((((( snapshot@2008-03-26_ 1.14.57.78 ))))))))))))))))))))))))))))))))))))))))) . + 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-26 00:44:10 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-22 23:58 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 07:35 7634944] "nwiz"="nwiz.exe" [2006-10-31 07:35 1622016 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 07:35 86016] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312] "ptask"="C:\Program Files\VirusGarde\ptask.exe" [ ] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-26 01:44 249896] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-02 18:49 282624] "OnlineArmor GUI"="C:\Program Files\Tall Emu\Online Armor\oaui.exe" [2007-11-16 07:51 5029952] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-01-02 18:49 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Autodesk\3ds Max 9\3dsmax.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f4cc736-b958-11dc-a502-001a4d8f94d6}] \Shell\AutoRun\command - autorunexec.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7608ffe2-efa3-11dc-a518-001a4d8f94d6}] \Shell\AutoRun\command - autorun.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c29ed3c2-b95a-11dc-a503-001a4d8f94d6}] \Shell\AutoRun\command - autorun.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0fe587e-c50f-11dc-a50c-001a4d8f94d6}] \Shell\AutoRun\command - autorunexec.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8128870-bd34-11dc-a508-001a4d8f94d6}] \Shell\AutoRun\command - autorun.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8128871-bd34-11dc-a508-001a4d8f94d6}] \Shell\AutoRun\command - autorun.bat *Newly Created Service* - NDISRD *Newly Created Service* - OADEVICE *Newly Created Service* - OAMON *Newly Created Service* - SVCONLINEARMOR . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-26 02:29:53 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-03-26 2:30:35 ComboFix-quarantined-files.txt 2008-03-26 01:30:26 ComboFix2.txt 2008-03-26 00:15:16 . 2008-03-21 01:22:38 --- E O F ---

g!rly · Answer

ok passe ceci maintenant car tu as des infection au niveau de tes cle usb ou disk extermes Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus • Clique droit sur le fichier .ZIP > Extraire sur > le Bureau • Doucle clic sur >> RAV.exe << afin de lancer l'outil. • Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles) • Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain . • Retire tes disques amovibles et redémarre ton ordinateur . Poste le rapport , si infection! @+

svpppp · Answer

le post 13??? C koi?


J'ai pas eu de rapport highjack, est-ce que ça veut dire qu'il a rien trouvé?

g!rly · Answer

oui le post 13 tu l´as fais, tu as installé online armor et antivir, n´est ce pas ?

pour le hijack this il faut que tu en fasse un nouveau , mais passe deja rav antivirus pour le moment
comme indiqué ci dessus au post numero 18

@+

svpppp · Answer

alors j'ai ouvert le zip avec RAV antivirus et il a dit que mon ordi était infecté ( e:/Autorun.inf), après il a supprimé les virus et a dit que l'ordi était sain.

Ca veut dire que c'est bon? Y'a plus rien?
Si oui, merci bcp, t'as assuré!!!!

g!rly · Answer

re,

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui ci-dessous: 

@ echo off

if exist \G!RLY.TXT del \G!RLY.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\G!RLY.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\G!RLY.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\G!RLY.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\G!RLY.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
notepad \G!RLY.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape G!RLY.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé G!RLY.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc:
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier G!RLY.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport. 

puis

repost egalement un nouveau hijack this

pour verifier...

@+

svpppp · Answer

Mon ordi bug un peu, qd j'essaie de relancer un scan antivir, c'est normal?

g!rly · Answer

non c´est pas normal, quelle genre de bug ?

ps je reviendrais demain je vais me coucher.

post les deux rapports que je t´ai demandé au post 22

@+

svpppp · Answer

B1 le bug c'est : qd j'allume antivir pour faire un scan, il commence à scanner un tt petit peu ms après il stoppe tout en continuant à avancer en temps ms pas en progression , et tt les icones du bureau se bloque, la souris ne p(agit sur plus rien et je ne peux m^me pas faire fin de tâche, obligée de faire reset, 2 ou 3 fois pour que ça reprenne

svpppp · Answer

Faut aussi que j'aille me coucher...

 A demain peut être,

bonne nuit...

g!rly · Answer

salut,

essaie de reparer antivr de cette facon :

tu ouvres le dossier avira dans tes programmes files et cherches setup.exe double click dessus et choisie modify; antivir va aors se reinstaller et corriger les erreures, enfin esperon le ;-)

dis moi quoi 

@+

svpppp · Answer

Merci bcp en ts cas, j'ai l'impression que ça va coté virus, après y'a tjr antivir qui bug et bloque l'ordi qd j'tente 1 scan, mis à part ça ça marche. Tu crois qu'il faut que je désinstalle antivir et qu'j'en mette 1 autre?

g!rly · Answer

salut,

telecharge ccleaner et regarde les instruction pour savoir comment l´utiliser; ne le lance pas encore.

-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):

   http://www.commentcamarche.net/telecharger/telechargement 168 ccleaner

-> L´installer.

-> Une fois installé et lancé :

   Dans la colonne de gauche, click sur :

   ->"erreurs" :

      Coches toutes les cases sous"l´integrité du registre", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.
      
      ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.

   ->"nettoyeur"
   
      quitte ton navigateur avant de le lancer, dans les propriétés du nettoyeur de l´onglet "windows" et "applications"décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.

-> Tutoriel en image :

   https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

-> Pour ceux qui voudraient aller plus loin en compagnie de jesses (fonctions avancés) :

   http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

reprends antivir ici et garde le set up sur ton bureau.

https://www.avira.com/en/prime

coupe toi du net.

desinatller completement completement antivir > ouvres le dossier avira dans tes programmes files et cherches setup.exe double click dessus et choisie remove.

passe Ccleaner: corrige surtout les erreures de registre.

reinstale antivir et dis moi si il se comporte mieux ?

@+

Help infecté par win32 tratBHO.

27 réponses

Discussions similaires