DL.EXE Fermé

Question

Bonjour,

Depuis cet après midi ou un fichier dl.exe sortant de nulle part s'est lancé tout seul et intégré dans un de mes dossiers, mon ordinateur ne fonctionne plus pareil, des logiciels arrêtent de se lancer.

J'ai lu que c'était un trojan capable de retenir les mots de passes, ce qui m'ennuie énormément. Que faire?

Sura · Answer

avg me note tous mes fichiers de lancement de mes logiciels comme infectés par win32gaelicum.A

booddha · Answer

Bonjour/Bonsoir
	•	Ne pas surfer ailleurs que sur le site
	•	Couper MSN ou tout autre connexion hormis celle sur le site
	•	Appliquer exactement et dans l'ordre les procédures indiquées.
	•	Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

	•	Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
	•	Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
	•	Soyez précis dans vos réponses. Tenez vous en au sujet et rien qu'au sujet.
	•	A proscrire : le language SMS.

	•	Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il
dépasse les compétences de celui ou ceux qui vous aident.
	•	N'ouvrez pas plusieurs discussions sur le même sujet sauf si on vous le demande
(Problème non résolu. Ca arrive)

	•	Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions
appropriées prends un certain temps.
Inutile donc de reposter le même message. Nous ne vous oublions pas, 
nous vous cherchons une solution

	•	Ne pas oublier : nous sommes bénévoles.
Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.


Préparation de la machine
	•	Vider la corbeille
	•	Fermer toutes les applications
	
================ PareFeu XP - Vista ===================
	•	Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

	•	Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu Vista

	•	Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================
Pour le petit coup de polish. 
	•	Appliquer la procédure ci-dessous. 
	•	l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.
Nettoyage avec CCleaner
On va commencer par faire un peu le ménage

	•	Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.

	•	Fermer toutes les applications
	•	Lancer CCLeaner
	        S'il n'est pas en Français cliquer sur Options, Setting, Language 
          et sélectionner Français
	•	cocher dans le menu Nettoyeur - onglet Windows :
	        Internet Explorer: Fichiers Internet Temporaires, Cookies
	•	Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
	•	Avancé: Vieilles données du Prefetch
	•	Décocher dans le menu Options - sous-menu Avancé :
	        Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
	•	Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
	•	Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
	        Firefox/Mozilla: Cache Internet, Cookies 
	•	Click sur Analyse
	•	Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur. 
	•	Click sur Registre
	•	Sélectionner tout
	•	Click sur Chercher des erreurs (En bas)

	Une fois le scan terminé sélectionner tout  
	•	Click sur Réparer les erreurs sélectionnées
	

==================== HIJACKTHIS ======================

HijackThis

• Télécharger HijackThis
• Installer HijackThis en se laissant guider (Accepter le répertoire proposé sans rien changer)
• Fermer HijackThis
• Télécharger sur le bureau HJTNew (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
• Fermer toutes les applications
• Se débrancher d'Internet (Enlever le cable, c'est encore la meilleure solution)
• Lancer HJTNew.exe (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
Ne pas s'étonner pour HJTNew, rien ne s'affiche, juste une fenêtre qui s'ouvre et se ferme aussitôt. C'est normal.
• Click sur Do a system scan and save a logfile
• Copier/Coller le rapport dans le prochain message 
• Supprimer HJTNew.exe (sinon l'Anti-virus risque de se manifester souvent) puis
• Attendre la suite
_

booddha · Answer

+ CCl
+ HJ
COMBOFix
------------------------------------- Ne pas tenir compte des lignes ci-dessus

===================== COMBOFIX ========================

Combofix

	•	Imprimer ou sauvegarder avec le bloc-note cette procédure car la suite va se dérouler sans accès à Internet.
	•	Installer ComboFix sur le bureau
Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.
	•	Renommer COMBOFIX.EXE en COMBO-FIX.EXE
------
	•	Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
	•	Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

	•	Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
	•	Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
	•	Désactiver seulement pendant l'utilisation de ComboFix, la protection de l'antivirus et de l'antispyware ceux-ci pouvant entraver le bon fonctionnement de combofix
	•	Fermer toutes les applications en cours
	•	Double-click sur l'icône qui s'est installé sur le bureau
	•	Appuyer sur la touche 1 puis sur entrée:
	•	Laisser Combofix travailler sans se servir de la machine.
	•	Si ComboFix a besoin de redémarrer la machine, laisser faire sinon redémarrer en mode normal.
	•	Copier/Coller le rapport généré dans le bloc-note dans le prochain message
(Ce fichier est automatiquement généré et enregistré sous C:\Combofix.txt)

Sura · Answer

je m'y met tout de suite et vous tient au courant des que c'est fini, merci encore

Sura · Answer

Voici le rapport ComboFix 08-03-30.2 - Propriétaire 2008-03-31 1:27:29.6 - NTFSx86 MINIMAL Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.624 [GMT 3:00] Endroit: H:\Documents and Settings\Propriétaire\Bureau\COMBO-FIX.exe.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . H:\WINDOWS\system32\dl.exe . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-28 to 2008-03-30 )))))))))))))))))))))))))))))))))))) . 2008-03-31 01:26 . 2008-03-31 01:26 d-------- H:\ComboFix 2008-03-31 01:08 . 2008-03-31 01:08 d-------- H:\Program Files\Trend Micro 2008-03-31 01:06 . 2008-03-31 01:06 144,384 --a------ H:\WINDOWS egedit.exe 2008-03-31 01:06 . 2008-03-31 01:06 35,840 --a------ H:\WINDOWS\system32 undll32.exe 2008-03-31 01:06 . 2008-03-31 01:06 28,160 --a------ H:\WINDOWS\system32\mshta.exe 2008-03-30 23:55 . 2008-03-30 23:55 234 --a------ H:\Documents and Settings\Administrateur\dl.exe 2008-03-30 23:52 . 2008-03-30 23:52 d-------- H:\Program Files\Yahoo! 2008-03-30 23:52 . 2008-03-30 23:52 d-------- H:\Program Files\CCleaner 2008-03-30 23:43 . 2008-03-30 23:43 d-------- H:\Program Files\Enigma Software Group 2008-03-30 23:35 . 2008-03-30 23:37 d-------- H:\Documents and Settings\Propriétaire\Application Data\AVG7 2008-03-30 23:34 . 2008-03-30 23:34 d-------- H:\Documents and Settings\LocalService\Application Data\AVG7 2008-03-30 23:34 . 2008-03-30 23:34 d-------- H:\Documents and Settings\All Users\Application Data\Grisoft 2008-03-30 23:34 . 2008-03-30 23:37 d-------- H:\Documents and Settings\All Users\Application Data\avg7 2008-03-30 23:34 . 2008-03-30 23:34 499,712 --a------ H:\WINDOWS\system32\msvcp71.dll 2008-03-30 23:34 . 2008-03-30 23:34 348,160 --a------ H:\WINDOWS\system32\msvcr71.dll 2008-03-30 23:26 . 2008-03-30 23:26 d-------- H:\WINDOWS\system32\Kaspersky Lab 2008-03-30 23:26 . 2008-03-30 23:26 d-------- H:\WINDOWS\LastGood.Tmp 2008-03-30 23:26 . 2008-03-30 23:26 d-------- H:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-03-30 22:53 . 2008-03-30 22:53 d-------- H:\Program Files\Uniblue 2008-03-30 22:53 . 2008-03-30 22:53 d-------- H:\Documents and Settings\Propriétaire\Application Data\Uniblue 2008-03-30 17:02 . 2008-03-31 01:01 234 --a------ H:\Documents and Settings\Propriétaire\dl.exe 2008-03-30 17:02 . 2008-03-31 01:01 234 --a------ H:\Documents and Settings\Propriétaire\dl.exe 2008-03-22 12:22 . 2008-03-22 12:22 d-------- H:\Program Files\CamStudio 2008-03-19 00:00 . 2008-03-20 21:13 d-------- H:\Program Files\PokerStars 2008-03-18 23:21 . 2008-03-19 00:03 d-------- H:\Program Files\Full Tilt Poker 2008-03-12 22:09 . 2008-03-12 22:12 d-------- H:\Program Files\PartyGaming 2008-03-12 00:57 . 2008-03-20 02:36 d-------- H:\Program Files\Everest Poker 2008-02-20 18:06 . 2008-02-20 18:06 d-------- H:\Program Files\PokerAce Hud 2008-02-18 01:25 . 2008-02-18 01:25 d-------- H:\Program Files\PokerStrategy 2008-02-18 00:07 . 2008-02-18 00:12 d-------- H:\Program Files\Poker Grapher 2008-02-17 14:49 . 2008-02-17 14:49 d-------- H:\Program Files\In The Money 2008-02-12 23:59 . 2008-02-12 23:59 d-------- H:\Program Files\PokerStove 2008-02-10 17:07 . 2008-02-10 17:22 d-------- H:\Program Files\Holdem Indicator 2008-02-09 03:46 . 2008-02-09 04:51 d-------- H:\Documents and Settings\Propriétaire\Application Data\BitTorrent 2008-02-08 19:42 . 2008-02-18 01:26 d-------- H:\Program Files\Tournament Indicator 2008-02-08 14:55 . 2008-02-08 14:55 212,240 --a------ H:\WINDOWS\system32 ichtx32.ocx 2008-02-04 04:23 . 2008-03-30 01:23 d-------- H:\Program Files\Poker Tracker V2 2008-02-04 04:23 . 2003-06-26 15:52 464,128 --a------ H:\WINDOWS\system32\csimxctl.ocx 2008-02-04 04:23 . 2003-06-17 15:54 87,280 --a------ H:\WINDOWS\system32\wsatrace.dll 2008-02-02 03:13 . 2008-02-02 03:13 d-------- H:\Documents and Settings\Propriétaire\Application Data\Media Player Classic . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-30 18:02 --------- d-----w H:\Documents and Settings\All Users\Application Data\Google Updater 2008-03-30 13:42 978,944 ----a-w H:\WINDOWS\system32\dxdiag.exe 2008-03-18 20:21 --------- d--h--w H:\Program Files\InstallShield Installation Information 2008-02-28 15:27 --------- d-----w H:\Program Files\IGZones 2008-02-15 22:47 --------- d-----w H:\Program Files\Fichiers communs\Nero 2008-02-15 22:47 --------- d-----w H:\Documents and Settings\All Users\Application Data\Nero 2008-02-11 11:05 --------- d-----w H:\Program Files\bwin 2008-02-10 14:32 --------- d-----w H:\Program Files\TexasCalculatem 2008-02-09 00:28 --------- d---a-w H:\Documents and Settings\All Users\Application Data\TEMP 2008-02-07 15:52 --------- d-----w H:\Documents and Settings\All Users\Application Data\Avira 2008-02-07 12:09 --------- d-----w H:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-26 13:58 86,094 ----a-w H:\WINDOWS\BPMNT.dll 2008-01-26 13:58 1,163,344 ----a-w H:\WINDOWS\vsapi32.dll 2008-01-26 13:09 71,749 ----a-w H:\WINDOWS\hcextoutput.dll 2008-01-26 13:06 69,689 ----a-w H:\WINDOWS\UNZIP.DLL 2008-01-26 13:06 507,904 ----a-w H:\WINDOWS\TMUPDATE.DLL 2007-12-31 16:51 43,520 ----a-w H:\WINDOWS\system32\CmdLineExt03.dll . [code]

----a-w         2,318,848 2008-03-30 13:41:47  H:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater .exe
----a-w            66,560 2008-03-30 13:41:54  H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe

[/code] ------- Sigcheck ------- 2008-03-30 16:42 1927680 ede527a8569983a6958d1d05ca9c9adc H:\WINDOWS\system32 tkrnlpa.exe . ((((((((((((((((((((((((((((( snapshot_2008-03-30_17.08.36.62 ))))))))))))))))))))))))))))))))))))))))) . - 2000-08-31 05:00:00 163,328 ----a-w H:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE + 2008-03-30 14:25:51 171,008 ----a-w H:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE - 2008-03-30 13:13:55 593,920 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\accicons.exe + 2008-03-30 19:52:02 593,920 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\accicons.exe - 2008-03-30 13:13:55 12,288 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\cagicon.exe + 2008-03-30 19:52:02 12,288 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\cagicon.exe - 2008-03-30 13:13:55 86,016 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\inficon.exe + 2008-03-30 19:52:02 86,016 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\inficon.exe - 2008-03-30 13:13:55 135,168 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\misc.exe + 2008-03-30 19:52:02 135,168 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\misc.exe - 2008-03-30 13:13:55 11,264 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\mspicons.exe + 2008-03-30 19:52:02 11,264 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\mspicons.exe - 2008-03-30 13:13:55 27,136 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\oisicon.exe + 2008-03-30 19:52:02 27,136 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\oisicon.exe - 2008-03-30 13:13:55 4,096 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\opwicon.exe + 2008-03-30 19:52:02 4,096 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\opwicon.exe - 2008-03-30 13:13:55 794,624 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\outicon.exe + 2008-03-30 19:52:02 794,624 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\outicon.exe - 2008-03-30 13:13:55 249,856 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\pptico.exe + 2008-03-30 19:52:02 249,856 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\pptico.exe - 2008-03-30 13:13:55 61,440 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\pubs.exe + 2008-03-30 19:52:02 61,440 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\pubs.exe - 2008-03-30 13:13:55 23,040 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\unbndico.exe + 2008-03-30 19:52:02 23,040 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\unbndico.exe - 2008-03-30 13:13:55 286,720 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\wordicon.exe + 2008-03-30 19:52:02 286,720 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\wordicon.exe - 2008-03-30 13:13:55 409,600 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\xlicons.exe + 2008-03-30 19:52:02 409,600 ----a-r H:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\xlicons.exe - 2008-03-30 14:02:05 16,384 ----a-w H:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-03-30 22:01:49 16,384 ----a-w H:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-03-30 14:02:05 16,384 ----a-w H:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-03-30 22:01:49 16,384 ----a-w H:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-03-30 14:02:05 98,304 ----a-w H:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-03-30 22:01:49 98,304 ----a-w H:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-03-30 20:34:30 821,856 ----a-w H:\WINDOWS\system32\drivers\avg7core.sys + 2008-03-30 20:34:34 4,224 ----a-w H:\WINDOWS\system32\drivers\avg7rsw.sys + 2008-03-30 20:34:34 27,776 ----a-w H:\WINDOWS\system32\drivers\avg7rsxp.sys + 2008-03-30 20:36:24 10,760 ----a-w H:\WINDOWS\system32\drivers\avgclean.sys + 2008-03-30 20:36:24 26,952 ----a-w H:\WINDOWS\system32\drivers\avgmfx86.sys + 2008-03-30 20:34:34 4,960 ----a-w H:\WINDOWS\system32\drivers\avgtdi.sys - 2000-08-31 05:00:00 73,728 ----a-w H:\WINDOWS\system32\fdsv.exe + 2008-03-30 14:26:23 77,824 ----a-w H:\WINDOWS\system32\fdsv.exe - 2000-08-31 05:00:00 80,412 ----a-w H:\WINDOWS\system32\grep.exe + 2008-03-30 14:26:24 83,968 ----a-w H:\WINDOWS\system32\grep.exe + 2005-05-24 09:27:16 213,048 ----a-w H:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll + 2008-03-30 20:26:32 98,304 ----a-w H:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe + 2007-08-29 12:49:54 950,272 ----a-w H:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll - 2000-08-31 05:00:00 98,816 ----a-w H:\WINDOWS\system32\sed.exe + 2008-03-30 14:26:37 102,400 ----a-w H:\WINDOWS\system32\sed.exe + 2004-12-07 06:11:00 258,352 ----a-w H:\WINDOWS\system32\unicows.dll + 2006-09-11 07:56:00 526,184 ----a-w H:\WINDOWS\system32\XceedCry.dll + 2006-12-21 11:18:00 497,496 ----a-w H:\WINDOWS\system32\XceedZip.dll - 2000-08-31 05:00:00 68,096 ----a-w H:\WINDOWS\system32\zip.exe + 2008-03-30 14:26:51 71,680 ----a-w H:\WINDOWS\system32\zip.exe . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-31 01:07 66560] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVG7_CC"="H:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-03-31 01:08 582656] "SpyHunter Security Suite"="H:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-03-31 01:07 851968] "NvCplDaemon"="H:\WINDOWS\System32\NvCpl.dll" [2006-07-12 07:19 7626752] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "AVG7_Run"="H:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-31 01:08 223232] H:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Google Updater.lnk - H:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-10-23 16:51:18 125624] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\a0cbf2bf] H:\WINDOWS\System32\oljpwrfv.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] H:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2008-03-30 16:42 73728 H:\WINDOWS\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] H:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr .exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kernel] H:\Program Files\kernel\kernel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] H:\WINDOWS\System32\ddabc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig] H:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mvrzptni] H:\Program Files\?asks\??oolsv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UGA6P_0001_N122M2210] H:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\winvsnet.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2006-07-12 07:19 7626752 H:\WINDOWS\System32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2006-07-12 07:19 86016 H:\WINDOWS\System32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2008-03-30 16:42 1523712 H:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a------ 2008-03-30 16:42 16213504 H:\WINDOWS\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg unner1] H:\WINDOWS\mrofinu572.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2008-03-30 16:42 2886656 H:\WINDOWS\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tacc] H:\DOCUME~1\PROPRI~1\MESDOC~1\ICROSO~1.NET\winlogon.exe S3 MSControlService;Microsoft cache control;H:\WINDOWS\System32\windows [] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-31 01:28:35 Windows 5.1.2600 Service Pack 1 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\MSControlService] "ImagePath"="H:\WINDOWS\System32\windows" . Temps d'accomplissement: 2008-03-31 1:29:00 ComboFix-quarantined-files.txt 2008-03-30 22:28:58 ComboFix2.txt 2008-03-30 14:08:53 ComboFix3.txt 2008-02-02 21:26:56 ComboFix4.txt 2008-01-31 00:08:52 ComboFix5.txt 2008-01-26 23:15:47 Pre-Run: 10,839,654,400 octets libres Post-Run: 10,827,849,728 octets libres

booddha · Answer

+ CCl
+ HJ
COMBOFix
------------------------------------- Ne pas tenir compte des lignes ci-dessus 

Tu le vois celui là ;)

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\WINDOWS\system32\dl.exe 

Remet un rapport Hijackthis pour voir s'il n'y en a pas d'autres. (Ne pas se formaliser du tutoiement, c'est la règle sur Internet)

Sura · Answer

voici le rapport que tu m'as demandé

je sais qu'il y a aussi un dl.exe dans "nouveau dossier" qui est sur mon bureau, si ca peut t'aider

je reste a ta disposition la plus totale

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:41:10 AM, on 03/31/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\userinit.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Google\Google Updater\GoogleUpdater.exe
H:\WINDOWS\System32\alg.exe
H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
H:\WINDOWS\System32
vsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\wdfmgr.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Trend Micro\HijackThis\MonJack.exe
H:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] H:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SpyHunter Security Suite] H:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = H:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - H:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - H:\WINDOWS\System32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32
vsvc32.exe

booddha · Answer

+ CCl
+ HJ
COMBOFix
------------------------------------- Ne pas tenir compte des lignes ci-dessus 

Supprime le dossier ou il se trouve


---------------- CORRECTION COMBOFIX ------------------

fais ceci :

	•	Copier le texte ci-dessous :


File::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService]



	•	Ouvrir le Bloc-Notes puis coller le texte copié. (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
	•	Sauvegarder ce fichier sous le nom de CFScript.txt.
	•	Glisser maintenant le fichier CFScript.txt dans Combofix.exe comme montré ici
	•	Cela va relancer Combofix,
	•	Une fenêtre bleue va apparaître: un message qui apparait ( Type 1 to continue, or 2 to abort)
	•	taper 1 puis valider.

	•	Patienter le temps du scan. Le bureau va disparaitre à plusieurs reprises: c'est normal!
	•	Ne toucher à rien tant que le scan n'est pas terminé.

	•	Après redémarrage, copier/coller le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de redémarrage, redémarrer et poster les rapports.

booddha · Answer

+ CCl
+ HJ
COMBOFix
------------------------------------- Ne pas tenir compte des lignes ci-dessus 

Ok, fais moi un rapport HiJackThis. Nous finirons demain (enfin aujourd'hui mais plus tard, je vais me coucher).

booddha · Answer

+ CCl
+ HJ
+- COMBOFix
MalwareBytes
------------------------------------- Ne pas tenir compte des lignes ci-dessus 

Bonjour, effectivement, l'infection s'est remise en place. Il est tenace le bougre

On va scanné le système en profondeur.


==================  MalwareBytes =====================

Telecharger MalwareBytes

Le Tutorial

Ne pas oublié de tout supprimé à la fin avec le bouton Removed Selected (après avoir tout sélectionné)

Copier/Coller le rapport + Rapport HijackThis

Sura · Answer

voila le rapport hijack apres avoir fait le scan demandé. Ai je une chance de récupérer le fonctionnement de mes logiciels de calcul, ou devrais je plutot les reinstaller de suite? je suis désolé de te mettre un peu la pression avec cette question, mais j'en ai besoin dans mon activité
merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:18:07 AM, on 03/31/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\userinit.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Google\Google Updater\GoogleUpdater.exe
H:\WINDOWS\System32\alg.exe
H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
H:\WINDOWS\System32
vsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
H:\Program Files\MSN Messenger\usnsvc.exe
H:\Program Files\Trend Micro\HijackThis\MonJack.exe
H:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] H:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SpyHunter Security Suite] H:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = H:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - H:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32
vsvc32.exe

booddha · Answer

+ CCl
+ HJ
+- COMBOFix
MalwareBytes
------------------------------------- Ne pas tenir compte des lignes ci-dessus 
----------------------- Fixer des lignes  HitjackThis -------------------

Relancer Hitjackthis

	•	Fixer cette/ces lignes


 	O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

 	O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)


	•	Pour fixer cette/ces lignes.
	•	Cliquer sur la petite case à gauche de chaque ligne à fixer.

	•	Une fois cette/ces lignes cochées, cliquer sur le bouton en bas FIX CHECKED

===============================

• Installer IE7 

===============================

	•	Démarrer > executer > 
	•	Taper services.msc
	•	Choisir le mode "Etendu" (onglets inférieurs)
	•	Double-Click sur le service cité - Microsoft cache control
	•	Dérouler le type de démarrage 
	•	Modifier en désactivé
	•	Ensuite si le Status du service est sur Démarré faire : arrêté
	•	Ouvrir Hijackthis puis:
	•	Click Open the Misc Tools Section
	•	Click Delete a NT Service
	•	Taper ou copier/coller Microsoft cache control puis valider.

==============================

Tu ne m'as pas joint le rapport MalwaresBytes.

HiJackThis ne montre pas si le fichier est toujours présent.

Il faudrait que tu recommences la même procédure MalwaresBytes ci-dessus après avoir redémarré la machine

Pour les logiciels je pense que tu peux réinstaller si ceux-ci ne fonctionne plus.

Sura · Answer

j'ai réalisé la suppression des O9 de Hijackthis. Je ne peux installer IE7 en raison de mon systeme d'exploitation, SP1.

Double-Click sur le service cité - Microsoft cache control 


Je bloque ensuite ici à cet étape la : 2 messages s'affichent l'un après l'autre.

- une entrée nécessaire dans le registre manque ou une tentative d'écriture dans le registre  a échoué
- le fichier spécifié est introuvable

Je n'ai donc pu réaliser les étapes suivantes
• Dérouler le type de démarrage 
• Modifier en désactivé 
• Ensuite si le Status du service est sur Démarré faire : arrêté 
• Ouvrir Hijackthis puis: 
• Click Open the Misc Tools Section 
• Click Delete a NT Service 
• Taper ou copier/coller Microsoft cache control puis valider. 

Je relance un scan malware, je te posterai les résultats dans 1 h lorsqu'il sera terminé. je te montre cependant le log du premier scan (j'ai oublié de réparer les infections, j'ai donc rescan ensuite, il a retrouvé les memes infections et les a cette fois réparé, mais pas de log)

Malwarebytes' Anti-Malware 1.09
Version de la base de données: 572

Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 147879
Temps écoulé: 23 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService (Rootkit.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\kernelexe (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
H:\QooBox\Quarantine\H\WINDOWS\system32\y2\gyreo83122.exe.vir (Adware.TTC) -> No action taken.
H:\Documents and Settings\Administrateur\Bureau\Help and Support Center.lnk (Rogue.Link) -> No action taken.

Sura · Answer

Voici le rapport malware

Malwarebytes' Anti-Malware 1.09
Version de la base de données: 572

Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 148042
Temps écoulé: 26 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
H:\QooBox\Quarantine\H\WINDOWS\system32\y2\gyreo83122.exe.vir (Adware.TTC) -> Quarantined and deleted successfully.

booddha · Answer

+ CCl
+ HJ
+- COMBOFix
MalwareBytes
------------------------------------- Ne pas tenir compte des lignes ci-dessus 


Ok

Redémarrer la machine et me dire si DL est réapparue.

Poster un rapport Hijackthis

Sura · Answer

il est toujours là apres redemarrage

voici le hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:11:37 PM, on 03/31/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\userinit.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
H:\Program Files\Google\Google Updater\GoogleUpdater.exe
H:\WINDOWS\System32\alg.exe
H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
H:\WINDOWS\System32
vsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\wdfmgr.exe
H:\Program Files\Trend Micro\HijackThis\MonJack.exe
H:\WINDOWS\System32\wbem\wmiprvse.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] H:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SpyHunter Security Suite] H:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = H:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - H:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32
vsvc32.exe

Sura · Answer

une petite précision encore, a chaque fois que la dl.exe s'ouvre, mes logiciels ne fonctionnent plus, et il me faut les réinstaller

merci

booddha · Answer

+ CCl
+ HJ
+- COMBOFix
+- MalwareBytes 2
COMBOFix
------------------------------------- Ne pas tenir compte des lignes ci-dessus 

Tu peux refaire un coup de combofix STP

Sura · Answer

Voici le rapport
ComboFix 08-03-30.3 - Propriétaire 2008-03-31 19:36:40.8 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.521 [GMT 3:00]
Endroit: H:\Documents and Settings\Propriétaire\Bureau\COMBO-FIX.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-28 to 2008-03-31 ))))))))))))))))))))))))))))))))))))
.

2008-03-31 09:49 . 2008-03-31 13:13 <REP> d-------- H:\Program Files\Malwarebytes' Anti-Malware
2008-03-31 09:49 . 2008-03-31 09:49 <REP> d-------- H:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-03-31 09:49 . 2008-03-31 09:49 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-03-31 01:55 . 2008-03-31 01:55 <REP> d-------- H:\ComboFix
2008-03-31 01:27 . 2008-03-31 01:29 <REP> d-------- H:\COMBO-FIX.exe
2008-03-31 01:08 . 2008-03-31 01:08 <REP> d-------- H:\Program Files\Trend Micro
2008-03-31 01:06 . 2008-03-31 01:06 144,384 --a------ H:\WINDOWS\regedit.exe
2008-03-31 01:06 . 2008-03-31 01:06 35,840 --a------ H:\WINDOWS\system32\rundll32.exe
2008-03-31 01:06 . 2008-03-31 01:06 28,160 --a------ H:\WINDOWS\system32\mshta.exe
2008-03-30 23:55 . 2008-03-30 23:55 234 --a------ H:\Documents and Settings\Administrateur\dl.exe
2008-03-30 23:52 . 2008-03-30 23:52 <REP> d-------- H:\Program Files\Yahoo!
2008-03-30 23:52 . 2008-03-30 23:52 <REP> d-------- H:\Program Files\CCleaner
2008-03-30 23:43 . 2008-03-30 23:43 <REP> d-------- H:\Program Files\Enigma Software Group
2008-03-30 23:35 . 2008-03-30 23:37 <REP> d-------- H:\Documents and Settings\Propriétaire\Application Data\AVG7
2008-03-30 23:34 . 2008-03-30 23:34 <REP> d-------- H:\Documents and Settings\LocalService\Application Data\AVG7
2008-03-30 23:34 . 2008-03-30 23:34 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Grisoft
2008-03-30 23:34 . 2008-03-30 23:37 <REP> d-------- H:\Documents and Settings\All Users\Application Data\avg7
2008-03-30 23:34 . 2008-03-30 23:34 499,712 --a------ H:\WINDOWS\system32\msvcp71.dll
2008-03-30 23:34 . 2008-03-30 23:34 348,160 --a------ H:\WINDOWS\system32\msvcr71.dll
2008-03-30 23:26 . 2008-03-30 23:26 <REP> d-------- H:\WINDOWS\system32\Kaspersky Lab
2008-03-30 23:26 . 2008-03-30 23:26 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-03-30 22:53 . 2008-03-30 22:53 <REP> d-------- H:\Program Files\Uniblue
2008-03-30 22:53 . 2008-03-30 22:53 <REP> d-------- H:\Documents and Settings\Propriétaire\Application Data\Uniblue
2008-03-30 17:02 . 2008-03-31 16:11 234 --a------ H:\Documents and Settings\Propriétaire\dl.exe
2008-03-30 17:02 . 2008-03-31 16:11 234 --a------ H:\Documents and Settings\Propriétaire\dl.exe
2008-03-22 12:22 . 2008-03-22 12:22 <REP> d-------- H:\Program Files\CamStudio
2008-03-19 00:00 . 2008-03-20 21:13 <REP> d-------- H:\Program Files\PokerStars
2008-03-18 23:21 . 2008-03-19 00:03 <REP> d-------- H:\Program Files\Full Tilt Poker
2008-03-12 22:09 . 2008-03-12 22:12 <REP> d-------- H:\Program Files\PartyGaming
2008-03-12 00:57 . 2008-03-20 02:36 <REP> d-------- H:\Program Files\Everest Poker
2008-02-20 18:06 . 2008-02-20 18:06 <REP> d-------- H:\Program Files\PokerAce Hud
2008-02-18 01:25 . 2008-02-18 01:25 <REP> d-------- H:\Program Files\PokerStrategy
2008-02-18 00:07 . 2008-02-18 00:12 <REP> d-------- H:\Program Files\Poker Grapher
2008-02-17 14:49 . 2008-02-17 14:49 <REP> d-------- H:\Program Files\In The Money
2008-02-12 23:59 . 2008-02-12 23:59 <REP> d-------- H:\Program Files\PokerStove
2008-02-10 17:07 . 2008-02-10 17:22 <REP> d-------- H:\Program Files\Holdem Indicator
2008-02-09 03:46 . 2008-02-09 04:51 <REP> d-------- H:\Documents and Settings\Propriétaire\Application Data\BitTorrent
2008-02-08 19:42 . 2008-02-18 01:26 <REP> d-------- H:\Program Files\Tournament Indicator
2008-02-08 14:55 . 2008-02-08 14:55 212,240 --a------ H:\WINDOWS\system32\richtx32.ocx
2008-02-04 04:23 . 2008-03-31 19:36 <REP> d-------- H:\Program Files\Poker Tracker V2
2008-02-04 04:23 . 2003-06-26 15:52 464,128 --a------ H:\WINDOWS\system32\csimxctl.ocx
2008-02-04 04:23 . 2003-06-17 14:54 87,280 --a------ H:\WINDOWS\system32\wsatrace.dll
2008-02-02 03:13 . 2008-02-02 03:13 <REP> d-------- H:\Documents and Settings\Propriétaire\Application Data\Media Player Classic

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-30 18:02 --------- d-----w H:\Documents and Settings\All Users\Application Data\Google Updater
2008-03-30 13:42 978,944 ----a-w H:\WINDOWS\system32\dxdiag.exe
2008-03-18 20:21 --------- d--h--w H:\Program Files\InstallShield Installation Information
2008-02-28 15:27 --------- d-----w H:\Program Files\IGZones
2008-02-15 22:47 --------- d-----w H:\Program Files\Fichiers communs\Nero
2008-02-15 22:47 --------- d-----w H:\Documents and Settings\All Users\Application Data\Nero
2008-02-11 11:05 --------- d-----w H:\Program Files\bwin
2008-02-10 14:32 --------- d-----w H:\Program Files\TexasCalculatem
2008-02-09 00:28 --------- d---a-w H:\Documents and Settings\All Users\Application Data\TEMP
2008-02-07 15:52 --------- d-----w H:\Documents and Settings\All Users\Application Data\Avira
2008-02-07 12:09 --------- d-----w H:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-26 13:58 86,094 ----a-w H:\WINDOWS\BPMNT.dll

booddha · Answer

+ CCl
+ HJ
+- COMBOFix
+- MalwareBytes 2
- COMBOFix
Kaspersky Trial
------------------------------------- Ne pas tenir compte des lignes ci-dessus 

On va essayer ça, d'après les renseignements collecté, c'est la seule chose qui en vient à bout

Telecharger Kasperski Version d'essai
Le TUTO à respecter scrupuleusement jusqu'à la fin

Sura · Answer

entendu. Je ne peux malheuresement pas le lancer pour le moment mais je le ferai dans la soirée dès que possible et te tiendrai aussitôt au courant, merci encore

Sura · Answer

j'ai fait le scan qui a pris 12 h (toute la nuit), il me trouve 1000 fichiers infectés, tous mes .exe en fait. L'ordi marche bien, dois je reisquer un redémarrage? Ou veux tu quelquechose avant

booddha · Answer

Salut,

1000 Fichiers infectés ?????

Si tu as un rapport Kaspersky il m'interesse, du moins une partie parce que la liste des milles fichiers ne tiendras pas.

Le début, la fin du rapport et une petite tranche de la liste des fichiers.

Pour l'instant ne fais rien d'autre. Je dois m'absenter, je reviens en milieu d'AM

booddha · Answer

Pfffiuuuuuu

Je ne connais pas ce Virus, mais visiblement, il se greffe sur tous les Exe de la machine.

A-tu une ligne en début ou en fin de scan ou il est dit que DL.EXE est supprimée ?

Sura · Answer

non, j'ai fait controle f pour trouver dl.exe dans le rapport, mais ca n'a rien trouvé.

booddha · Answer

+ CCl
+ HJ
+- COMBOFix
+- MalwareBytes 2
- COMBOFix
+ Kaspersky Trial
------------------------------------- Ne pas tenir compte des lignes ci-dessus 

Regarde dans H:\windows\System32 si tu trouve encore DL.EXE. Si oui, supprime et met à la poubelle que tu vides

Ensuite redémarre la machine et remet moi un rapport HijackThis STP

Sura · Answer

Voici  le rapport hijackthis, pas de dl.exe dans system32, pas de fichier dl.exe qui se lance au démarrage, tout m'a l'air parfaitement revenu au normal

En serions nous venu a bout? 

Je te remercie énormément pour ton aide sans laquelle j'aurai du formater

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:14, on 2008-04-02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
H:\Program Files\Google\Google Updater\GoogleUpdater.exe
H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
H:\WINDOWS\System32
vsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\MSN Messenger\usnsvc.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] H:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [NBKeyScan] "H:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Google Updater.lnk = H:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - H:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - H:\WINDOWS\System32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32
vsvc32.exe

booddha · Answer

+ CCl
+ HJ
+- COMBOFix
+- MalwareBytes 2
- COMBOFix
+ Kaspersky Trial
------------------------------------- Ne pas tenir compte des lignes ci-dessus 

On dirait, mais il y en a d'autres.

---------------- CORRECTION COMBOFIX ------------------

fais ceci :

	•	Copier le texte ci-dessous :


Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSControlService]



	•	Ouvrir le Bloc-Notes puis coller le texte copié. (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
	•	Sauvegarder ce fichier sous le nom de CFScript.txt.
	•	Glisser maintenant le fichier CFScript.txt dans Combofix.exe comme montré ici
	•	Cela va relancer Combofix,
	•	Une fenêtre bleue va apparaître: un message qui apparait ( Type 1 to continue, or 2 to abort)
	•	taper 1 puis valider.

	•	Patienter le temps du scan. Le bureau va disparaitre à plusieurs reprises: c'est normal!
	•	Ne toucher à rien tant que le scan n'est pas terminé.

	•	Après redémarrage, copier/coller le contenu du rapport Combofix.txt 


S'il n'y a pas de redémarrage, redémarrer et poster les rapports.

Ensuite

=========== /!\ Internet Explorer obligatoire /!\ ===========

	•	Aller ICI

	•	Click sur J'accepte
	•	Installer les ActiveX si nécessaire
	•	vérifier s'ils sont bien configurés 
	•	Click sur installer
	•	click here to scan '( ou : cliquez ici pour scanner).
	•	Copier/Coller dans le prochain message le rapport entier + rapport HijackThis.
	
	Tutoriel en images 
  (merci à Balltrap34 pour cette réalisation)

Sura · Answer

je lance l'analyse maintenant et te poste les résultats demain matin

Sura · Answer

Voici les 2 derniers rapports demandés, le combofix arrive 

BitDefender Online Scanner - Rapport virus en temps réel
  
  
 
Généré à: Wed, Apr 02, 2008 - 12:23:53
 

--------------------------------------------------------------------------------

 
  
  
 
Info d'analyse
  
  
 
Fichiers scannés
 71918
 
Infectés Fichiers
 3
 
  
  
 
 
  
  
 
Virus Détectés
  
  
 
Generic.Sdbot.88FDE53F
 1
 
Trojan.Clicker.CM
 2
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde. 
  
  
HIJACKTHIS
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:26:14 PM, on 04/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
H:\Program Files\Google\Google Updater\GoogleUpdater.exe
H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
H:\WINDOWS\System32
vsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
H:\Program Files\MSN Messenger\usnsvc.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "H:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Google Updater.lnk = H:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - H:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - H:\WINDOWS\System32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32
vsvc32.exe

Sura · Answer

ComboFix 08-04-01.2 - Propriétaire 2008-04-02 12:28:31.7 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.446 [GMT 3:00] Endroit: H:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-03-02 to 2008-04-02 )))))))))))))))))))))))))))))))))))) . 2008-04-02 04:12 . 2008-04-02 04:12 d-------- H:\WINDOWS\LastGood 2008-04-02 04:12 . 2008-04-02 12:23 d-------- H:\WINDOWS\BDOSCAN8 2008-03-31 20:29 . 2008-04-02 01:13 d-------- H:\Poker Tracker V2 2008-03-31 20:13 . 2008-03-31 20:13 d-------- H:\Program Files\Kaspersky Lab 2008-03-31 20:13 . 2008-04-02 12:32 4,605,472 --ahs---- H:\WINDOWS\system32\drivers\fidbox.dat 2008-03-31 20:13 . 2008-03-31 20:13 91,700 --a------ H:\WINDOWS\system32\drivers\klin.dat 2008-03-31 20:13 . 2008-03-31 20:13 85,860 --a------ H:\WINDOWS\system32\drivers\klick.dat 2008-03-31 20:13 . 2008-04-02 03:10 64,592 --ahs---- H:\WINDOWS\system32\drivers\fidbox.idx 2008-03-31 20:13 . 2008-04-02 12:32 33,568 --ahs---- H:\WINDOWS\system32\drivers\fidbox2.dat 2008-03-31 20:13 . 2008-04-02 03:10 4,928 --ahs---- H:\WINDOWS\system32\drivers\fidbox2.idx 2008-03-31 09:49 . 2008-03-31 20:01 d-------- H:\Program Files\Malwarebytes' Anti-Malware 2008-03-31 09:49 . 2008-03-31 09:49 d-------- H:\Documents and Settings\Propriétaire\Application Data\Malwarebytes 2008-03-31 09:49 . 2008-03-31 09:49 d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-03-31 01:55 . 2008-03-31 20:01 d-------- H:\ComboFix(2) 2008-03-31 01:08 . 2008-03-31 01:08 d-------- H:\Program Files\Trend Micro 2008-03-30 23:52 . 2008-03-31 20:01 d-------- H:\Program Files\Yahoo! 2008-03-30 23:52 . 2008-03-31 20:01 d-------- H:\Program Files\CCleaner 2008-03-30 23:43 . 2008-03-30 23:43 d-------- H:\Program Files\Enigma Software Group 2008-03-30 23:35 . 2008-03-31 20:01 d-------- H:\Documents and Settings\Propriétaire\Application Data\AVG7 2008-03-30 23:34 . 2008-03-31 20:01 d-------- H:\Program Files\Grisoft(2) 2008-03-30 23:34 . 2008-03-31 20:01 d-------- H:\Documents and Settings\All Users\Application Data\Grisoft(2) 2008-03-30 23:34 . 2008-03-31 20:01 d-------- H:\Documents and Settings\All Users\Application Data\avg7(2) 2008-03-30 23:26 . 2008-03-30 23:26 d-------- H:\WINDOWS\system32\Kaspersky Lab 2008-03-30 23:26 . 2008-04-02 03:11 d-------- H:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-03-30 22:53 . 2008-03-30 22:53 d-------- H:\Program Files\Uniblue 2008-03-30 22:53 . 2008-03-30 22:53 d-------- H:\Documents and Settings\Propriétaire\Application Data\Uniblue 2008-03-30 17:02 . 2008-03-31 20:17 234 --a------ H:\Documents and Settings\Propriétaire\dl.exe 2008-03-30 17:02 . 2008-03-31 20:17 234 --a------ H:\Documents and Settings\Propriétaire\dl.exe 2008-03-22 12:22 . 2008-03-22 12:22 d-------- H:\Program Files\CamStudio 2008-03-19 00:00 . 2008-03-20 21:13 d-------- H:\Program Files\PokerStars 2008-03-18 23:21 . 2008-03-19 00:03 d-------- H:\Program Files\Full Tilt Poker 2008-03-12 22:09 . 2008-03-12 22:12 d-------- H:\Program Files\PartyGaming 2008-03-12 00:57 . 2008-04-01 20:14 d-------- H:\Program Files\Everest Poker . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-01 18:15 --------- d-----w H:\Documents and Settings\All Users\Application Data\Google Updater 2008-04-01 09:59 99,840 ----a-w H:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe 2008-04-01 09:59 8,704 ----a-w H:\WINDOWS\PCHealth\HelpCtr\Binaries\HscUpd.exe 2008-04-01 09:59 703,488 ----a-w H:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe 2008-04-01 09:59 376,832 -c--a-w H:\WINDOWS\Help\Tours\mmTour our.exe 2008-04-01 09:59 35,328 ----a-w H:\WINDOWS\PCHealth\HelpCtr\Binaries otiflag.exe 2008-04-01 09:59 139,264 ----a-w H:\WINDOWS\PCHealth\UploadLB\Binaries\UploadM.exe 2008-03-31 17:22 974,848 ----a-w H:\WINDOWS\system32\dxdiag.exe 2008-03-31 17:21 80,896 ----a-w H:\WINDOWS\system32\charmap.exe 2008-03-31 17:01 --------- d-----w H:\Program Files\Poker Tracker V2 2008-03-18 20:21 --------- d--h--w H:\Program Files\InstallShield Installation Information 2008-02-28 15:27 --------- d-----w H:\Program Files\IGZones 2008-02-20 15:06 --------- d-----w H:\Program Files\PokerAce Hud 2008-02-17 22:26 --------- d-----w H:\Program Files\Tournament Indicator 2008-02-17 22:25 --------- d-----w H:\Program Files\PokerStrategy 2008-02-17 21:12 --------- d-----w H:\Program Files\Poker Grapher 2008-02-17 11:49 --------- d-----w H:\Program Files\In The Money 2008-02-15 22:47 --------- d-----w H:\Program Files\Fichiers communs\Nero 2008-02-15 22:47 --------- d-----w H:\Documents and Settings\All Users\Application Data\Nero 2008-02-12 20:59 --------- d-----w H:\Program Files\PokerStove 2008-02-11 11:05 --------- d-----w H:\Program Files\bwin 2008-02-10 14:32 --------- d-----w H:\Program Files\TexasCalculatem 2008-02-10 14:22 --------- d-----w H:\Program Files\Holdem Indicator 2008-02-09 01:51 --------- d-----w H:\Documents and Settings\Propriétaire\Application Data\BitTorrent 2008-02-09 00:28 --------- d---a-w H:\Documents and Settings\All Users\Application Data\TEMP 2008-02-08 15:37 219,664 ----a-w H:\WINDOWS\system32\klogon.dll 2008-02-08 15:35 23,604 ----a-w H:\WINDOWS\system32\drivers\klopp.dat 2008-02-07 15:52 --------- d-----w H:\Documents and Settings\All Users\Application Data\Avira 2008-02-07 12:09 --------- d-----w H:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-02-02 00:13 --------- d-----w H:\Documents and Settings\Propriétaire\Application Data\Media Player Classic 2008-01-26 13:58 86,094 ----a-w H:\WINDOWS\BPMNT.dll 2008-01-26 13:58 1,163,344 ----a-w H:\WINDOWS\vsapi32.dll 2008-01-26 13:09 71,749 ----a-w H:\WINDOWS\hcextoutput.dll 2008-01-26 13:06 69,689 ----a-w H:\WINDOWS\UNZIP.DLL 2008-01-26 13:06 507,904 ----a-w H:\WINDOWS\TMUPDATE.DLL . [code]

----a-w         2,315,264 2008-04-01 09:58:02  H:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater .exe
----a-w            62,976 2008-04-01 09:58:04  H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe

[/code] ------- Sigcheck ------- 2008-03-31 20:21 1924096 acb2c72919dfb53759510c09ae9a6b4b H:\WINDOWS\system32 tkrnlpa.exe . ((((((((((((((((((((((((((((( snapshot_2008-04-02_ 3.07.50.25 ))))))))))))))))))))))))))))))))))))))))) . + 2008-04-02 01:12:34 45,056 ----a-w H:\WINDOWS\BDOSCAN8\avxdisk.dll + 2008-04-02 01:12:34 10,240 ----a-w H:\WINDOWS\BDOSCAN8\avxs.dll + 2008-04-02 01:12:34 27,136 ----a-w H:\WINDOWS\BDOSCAN8\avxt.dll + 2008-04-02 01:12:36 181,760 ----a-w H:\WINDOWS\BDOSCAN8\bdcore.dll + 2006-05-24 22:21:00 118,784 ----a-w H:\WINDOWS\BDOSCAN8\bdupd.dll + 2006-05-24 22:21:14 53,248 ----a-w H:\WINDOWS\BDOSCAN8\ipsupd.dll + 2008-04-02 01:12:36 142,848 ----a-w H:\WINDOWS\BDOSCAN8\libfn.dll + 2008-04-02 01:12:34 86,016 ----a-w H:\WINDOWS\BDOSCAN8\librtvr.dll + 2006-05-24 22:22:06 53,248 ----a-w H:\WINDOWS\bdoscandel.exe + 2006-05-24 22:21:00 118,784 ----a-w H:\WINDOWS\Downloaded Program Files\bdupd.dll + 2006-05-24 22:21:14 53,248 ----a-w H:\WINDOWS\Downloaded Program Files\ipsupd.dll - 2008-04-01 22:12:19 16,384 ----a-w H:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-04-02 00:10:47 16,384 ----a-w H:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-04-01 22:12:19 16,384 ----a-w H:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-04-02 00:10:47 16,384 ----a-w H:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-04-01 22:12:19 32,768 ----a-w H:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-04-02 00:10:47 32,768 ----a-w H:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-02 01:12 62976] "MsnMsgr"="H:\Program Files\MSN Messenger\MsnMsgr.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="H:\WINDOWS\System32\NvCpl.dll" [2006-07-12 07:19 7626752] "SunJavaUpdateSched"="H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [ ] "NBKeyScan"="H:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ] "AVP"="H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856] H:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Google Updater.lnk - H:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-10-23 16:51:18 125624] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\a0cbf2bf] H:\WINDOWS\System32\oljpwrfv.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] H:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2008-03-31 20:23 69632 H:\WINDOWS\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] H:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr .exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kernel] H:\Program Files\kernel\kernel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] H:\WINDOWS\System32\ddabc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig] H:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mvrzptni] H:\Program Files\?asks\??oolsv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UGA6P_0001_N122M2210] H:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\winvsnet.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2006-07-12 07:19 7626752 H:\WINDOWS\System32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2006-07-12 07:19 86016 H:\WINDOWS\System32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2008-03-31 20:23 1519616 H:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a------ 2008-03-31 20:23 16209408 H:\WINDOWS\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg unner1] H:\WINDOWS\mrofinu572.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] --a------ 2008-03-31 20:23 2882560 H:\WINDOWS\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tacc] H:\DOCUME~1\PROPRI~1\MESDOC~1\ICROSO~1.NET\winlogon.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 R3 klim5;Kaspersky Anti-Virus NDIS Filter;H:\WINDOWS\System32\DRIVERS\klim5.sys [2007-12-13 13:28] S3 MSControlService;Microsoft cache control;H:\WINDOWS\System32\windows [] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-02 12:32:48 Windows 5.1.2600 Service Pack 1 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet002\Services\MSControlService] "ImagePath"="H:\WINDOWS\System32\windows" . Temps d'accomplissement: 2008-04-02 12:34:36 ComboFix-quarantined-files.txt 2008-04-02 09:34:33 ComboFix2.txt 2008-04-02 00:08:21 ComboFix3.txt 2008-03-31 16:38:02 ComboFix4.txt 2008-03-30 22:57:20 ComboFix5.txt 2008-03-30 22:29:00 Pre-Run: 9,596,235,776 octets libres Post-Run: 9,612,492,800 octets libres

booddha · Answer

Je n'ai pas le rapport BitDefender en entier.

Tu l'ouvres, ti click-droit dedans

Tu cliques sur tout sélectionner

Tu cliques sur Copier

Tu cliques-droit dans le prochain message ici

Tu cliques sur coller et tu envoies.

Sura · Answer

je suis désolé, je n'arrive pas a faire le copier coller que tu me demande, impossibe de copier sur le logiciel

[url=http://imageshack.com/f/5s27751662kj8j][img=http://img208.imageshack.us/img208/2794/27751662kj8.th.jpg][/url]

J'ai pris une screenshot du rapport et te l'ai uploadé ici, j'espere que ca ne t'ennuie pas trop

booddha · Answer

Ok vu, remet moi un rapport HiJackThis STP

Sura · Answer

voila !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:19 PM, on 04/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
H:\Program Files\Google\Google Updater\GoogleUpdater.exe
H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
H:\WINDOWS\System32
vsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
H:\Program Files\PokerAce Hud\PAHud.exe
H:\Program Files\PokerAce Hud\PAHud.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "H:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Google Updater.lnk = H:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - H:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - H:\WINDOWS\System32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32
vsvc32.exe

booddha · Answer

+ CCl
+ HJ
+- COMBOFix
+- MalwareBytes 2
- COMBOFix
+ Kaspersky Trial
------------------------------------- Ne pas tenir compte des lignes ci-dessus 
Ok

Il y a toujours une ligne qui me gêne.

Tu peux refaire un scan MalwareByte (n'oublie pas de supprimer les fichiers)
Tu postes le rapport MalwareByte
Tu relances la machine
Tu postes un nouveau rapport HiJackThis

sura · Answer

et voici hijackthis

Je me déplace demain et il se peut que je ne puisse effectuer tes prochaines indications avant un moment. Ne t'inquiète pas, je te tiendrais bien entendu au courant

Bonne nuit :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:05:23 AM, on 04/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
H:\Program Files\Google\Google Updater\GoogleUpdater.exe
H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
H:\WINDOWS\System32
vsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "H:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AVP] "H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Google Updater.lnk = H:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - H:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - H:\Poker\Titan Poker\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32
vsvc32.exe

booddha · Answer

Ok, je ne vois plus rien, donc on termine

----------------------- Fixer des lignes  HitjackThis -------------------

Relancer Hitjackthis

	•	Fixer cette/ces lignes


O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)


	•	Pour fixer cette/ces lignes.
	•	Cliquer sur la petite case à gauche de chaque ligne à fixer.

	•	Une fois cette/ces lignes cochées, 
  •	fermer toutes tes fenêtres y compris internet
  •	click sur le bouton en bas FIX CHECKED
	•	Fermer et relancer HitJackThis
	•	Copier/Coller le nouveau rapport sur le forum.

=================  TOOLSCLEANER2 ===================
Pour enlever les outils que l'on a utilisé.
	•	Télécharger ToolsCleaner2
	•	Double-clic dessus à l'endroit où il a été téléchargé :
	•	clic sur Recherche 
	•	patienter un moment le temps qu'il travaille... 
	•	Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, 
	•	clic sur Suppression afin de les supprimer.
	•	Fermer le programme en cliquant sur Quitter. 
	•	Poster le rapport qui se trouve ici >>> C:\TCleaner.txt

Supprimer TOOLSCLEANER et tous les rapports ayant pu être sauvegardé.

========================
Mettre à jour Kaspersky et scanner tous le système en mode sans échec.

Poster le rapport ici s'il y en a un.

===================== CCLEANER ========================
Pour le petit coup de polish. 
	•	Appliquer la procédure ci-dessous. 
	•	l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.
	•	Fermer toutes les applications
	•	Lancer CCLeaner
	•	cocher dans le menu Nettoyeur - onglet Windows :
	        Internet Explorer: Fichiers Internet Temporaires, Cookies
	•	Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
	•	Avancé: Vieilles données du Prefetch
	•	Décocher dans le menu Options - sous-menu Avancé :
	        Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
	•	Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
	•	Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
	        Firefox/Mozilla: Cache Internet, Cookies 
	•	Click sur Analyse
	•	Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur. 
	•	Click sur Registre
	•	Sélectionner tout
	•	Click sur Chercher des erreurs (En bas)

	Une fois le scan terminé sélectionner tout  
	•	Click sur Réparer les erreurs sélectionnées

=========== POINT DE RESTAURATION SYSTEME =============

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	•	Appliquer 
	•	patienter jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	•	Appliquer 
	•	patienter que cela soit à nouveau sur "surveillance" puis Ok. 
	•	Redémarrer l'ordinateur.. 

-
===============================

Une fois ceci fais, je t'invite à te rendre sur le Forum windows et demander la procédure pour installer Windows XP SP2 qui est une évolution de XP corrigeant de nombreuses failles de sécurité. Normalement il est disponible dans windows update.

Cela te permettra d'installer la dernière version d'Internet Explorer, version 7.

Je t'invite également à t'inscrire sur ce site qui le vaut bien, de cette façon lors d'une prochaine fois, tu pourras mettre en résolu ton topic.

Voilà nous avons terminé en ce qui me concerne si tu n'as plus de problème. Tu as bien travaillé.

Bonne continuation ....... ;)

sura · Answer

J'ai pris quelques jours de vacances, mais je ferai comme tu me l'as demandé des que je serai revenu.
Merci infiniment pour ton aide et bonne continuation

DL.EXE

39 réponses

Discussions similaires