Vundo wml.exe abebot pccleaner ,helpppp. [Fermé]

Signaler
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008
-
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
-
Bonjour,
après avoir scanné vireé rescanné vundofixé spydoctoré kasperskysé spyboté msnfixé etc etc ,j'en ai marre , j'ai tout essayé en mode normal en sans echec en sessios admin et normale etc etc , rien a faire, j'ai a nouveau les message d'avertissement qui accourent, un coup c'est c:/windows/wml.exe l'autre c'est pccleaner,apres l'avertissement pub qui t'envoie sur pc spyware etc etc g fait un hijackt y a deux minutes parce que là ca me gonfle vraiment , la seule chose positive c'est que je pense avoir eu la peau de virtumonde, mais j'en suis meme pas certain, donc jpousse le cri du jour, helppppppppppp me , svp mdrrrrrr merci ,je colle direct le log hijackt et j'attend que vos lumieres milluminent merciiiiiiii
_______________________________________________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:15:15, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
e:\Glary Utilities\Integrator.exe
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\zedahsvm.exe
C:\WINDOWS\system32\svchost.exe
E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
E:\HP\Digital Imaging\bin\hpqtra08.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
E:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] E:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8168] cmd /c del "C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\Spyware&Malware Protection.url"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [tyfvuaqx] C:\WINDOWS\system32\zedahsvm.exe
O4 - HKCU\..\Run: [qqjyeask] C:\WINDOWS\system32\mxsbqvqv.exe
O4 - HKLM\..\Policies\Explorer\Run: [tIVlFTkB2R] C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = E:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://uniffacoworld.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: ddcDsRJc - ddcDsRJc.dll (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

71 réponses

Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Bonsoir

Attention ==> Accepte les alertes de ton Kaspersky Internet Security 7.0

Supprime éventuellement toute ancienne version de ComboFix de ton PC.

Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >

Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
==> < http://img212.imageshack.us/img212/3087/screenshot327qh5.png >
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]

==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). ==> donc, > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches!

- Double clique sur l'icône de ComboFix.exe (TRISTAN.EXE) du bureau, [Exécuter] et suis les invites.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Laisse se dérouler le scan.

/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.

(Attention : Il est très probable que l'outil bloque à la fenêtre "Find3M" ; si c'est le cas, appuie simultanément sur les touches CTRL + ALT + DEL (Sup.), clique sur l'un des deux CF#####.exe (où ##### sont des chiffres aléatoires) et le rapport sera généré !)

•- ==> Réactive la protection en temps réel de ton Antivirus et de ton Antispywares, avant de te reconnecter à Internet.

Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
Tu copies et colles ce rapport sur le forum



Merci
Al.

PS: As-tu trouvé chaussure, ici http://www.commentcamarche.net/forum/affich 3969629 site resume livre#12 ??
2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

merci afideg , au telechargement spy me detecte des objet malicieux dans combofix , evidemment il les vire, ton avis?

g rien dit ,;)
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
(suite)

Voilà

A)- Connais-tu ce truc ? ==> O4 - HKLM\..\RunOnce: [SpybotDeletingC8168] cmd /c del "C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\Spyware&Malware Protection.url"

J'ai aussi un doute ici:
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
==> Note: File is located under C:\Program Files\FlashSaver\



B)- Traitement

1°- Tu as toujours l'icône de ComboFix sur le bureau.
2°- Les protections en temps réel sont à nouveau à désactiver (Tea-Timer de Spybot S&D, et SpyWare Doctor)

3°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\WINDOWS\system32\mxsbqvqv.exe
C:\WINDOWS\system32\fdofokqt.ini
C:\WINDOWS\system32\zedahsvm.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\system32\iwpsetup.exe
C:\WINDOWS\msdownld.tmp
C:\WINDOWS\SYSTEM32\ddcDsRJc.dll
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe

Folder::
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD2D53E7-8491-4497-80B9-31A1F2B64ABB}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tyfvuaqx"=-
"qqjyeask"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"tIVlFTkB2R"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"mpfnjich"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcDsRJc]



4°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt
• Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png >

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” -"tristan.exe"- sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript1.txt ” sur le fichier “ComboFix.exe” -"tristan.exe"- comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC



C)- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

O2 - BHO: (no name) - {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} - (no file)
O2 - BHO: (no name) - {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} - (no file)
O4 - HKCU\..\Run: [tyfvuaqx] C:\WINDOWS\system32\zedahsvm.exe
O4 - HKCU\..\Run: [qqjyeask] C:\WINDOWS\system32\mxsbqvqv.exe
O4 - HKLM\..\Policies\Explorer\Run: [tIVlFTkB2R] C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - <http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab?gt;= => Microsoft - WGA
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - <http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab>
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx <http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - <http://download.divx.com/player/DivXBrowserPlugin.cab> => DivXBrowserPlugin
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - <http://uniffacoworld.spaces.live.com/PhotoUpload/MsnPUpld.cab> => Windows Live
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - <http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab>
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - <http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab>
O20 - Winlogon Notify: ddcDsRJc - ddcDsRJc.dll (file missing)

•-Arrête tous les programmes en cours et ferme toutes les fenêtres.
( seul HijackThis doit être ouvert ) ,
•- et ensuite Clic [Fix checked]


D)- Reconnecte tes protections

E)- Poste un nouveau rapport HJT


F)- Termine avec ce "Scan en ligne de Kaspersky</scan>" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer".
<gras> Branche ton Disque Externe (clé USB) éventuellement

- Clique sur "Démarrer Online-Scanner" ( en bas à droite de la page) .
- Clique maintenant sur "J'accepte".
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des "Mises à jour".
Clic sur « Paramètres d'analyse »
Coche la case "Étendue" >> Ok
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.


Merci pour ta patience
Courage
Bonne nuit
Al.

Ce n'est pas fini; mais je dois me reposer maintenant.
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Bonsoir eff,

Je suis belge, et toi ?

J'analyse les rapports.
N'oublie pas Scan en ligne de Kaspersky (je sais, parfois long).

Merci

Mais déjà des applications à faire, SVP.

A)- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
==> https://forum.malekal.com/viewtopic.php?f=56&t=9566
PC-Cleaner est un rogue qui se dit pouvoir nettoyer les traces laissées par les sites visités, ce dernier va afficher des alertes si vous surfez sur des sites pornographiques disant que des traces restent sur l'ordinateur.
Le seul but de ces fausses alertes est de vous faire acheter ce faux anti-spyware.
Donc, vas le supprimer dans C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data <-- dans ce répertoire.



B)- Connais-tu ce truc ? ==> O4 - HKLM\..\RunOnce: [SpybotDeletingC8168] cmd /c del "C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\Spyware&Malware Protection.url"

•- Il faut donc faire ceci:
Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Toujours télécharger avant l'utilisation pour profiter des dernières mises à jour.
Utilisation:

1- Recherche:

Clic sur le lien ci-dessus, puis [exécuter]; ensuite une seconde fois sur "Exécuter" -patienter- (à ce moment, un dossier SmitfraudFix s’affiche sur le bureau ) ==> suivre instructions de la page bleue qui vient de s’ouvrir .
Sélectionner 1(taper 1) et pressez [Entrée] dans le menu (pour créer un rapport des fichiers responsables de l'infection.)

Dans ta prochaine réponse, fais un copier/coller du rapport qui s'ouvre; <gras>et poste-le.
Renomme-le « Rapport1.txt », c’est très important pour la suite. </gras>
Le rapport se trouve à la racine du disque système C:\rapport1.txt

2- Nettoyage:

•- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur > et pendant la page bios (noire et blanche) avant le logo Windows, tapote à répétition sur la touche F8 > un menu va apparaître > avec le bloc des flèches sur clavier, choisis "Mode sans échec" et appuie sur la touche [Entrée] du clavier. ==> comme ceci : http://www.coupdepoucepc.com/modules/news/article.php?storyid=253
Sois patient, et ne sois pas étonné de l'aspect de l'écran.

•- Ouvre le dossier SmitfraudFix qui est sur le bureau
•- Double-clic sur Smitfraud.cmd ==> suivre instructions de la page bleue qui vient de s’ouvrir ((ne clique sur aucun autre fichier!!!)
•- Sélectionner 2 et pressez [Entrée] dans le menu pour supprimer les fichiers responsables de l'infection.
•- A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
- Le fix déterminera si le fichier wininet.dll est infecté.
•- A la question: Corriger le fichier infecté ? Répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Arrête, puis Redémarre en mode normal

Le rapport se trouve à la racine du disque système C:\<gras>rapport.txt ; tu le postes pour contrôle (avec celui renommé en Rapport1.txt qui se trouve à la racine du disque système C:\rapport1.txt.</gras>)



C)- Il faut faire analyser ces deux fichiers chez VirusTotal
C:\WINDOWS\Setup1.exe <-- le fichier
C:\WINDOWS\ST6UNST.EXE <-- le fichier

Comme ceci:

1°- Soit en faisant « Démarrer »/ "PanneauConfiguration"/"OptionsDossiers" /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]

Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Ensuite vas là :< https://www.virustotal.com/gui/ >
< http://www.virustotal.com/en/indexf.html >
Vas là :< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur [Parcourir]
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier Setup1.exe
c'est-à-dire via "Poste de travail" > C:\WINDOWS\
•- quand tu as trouvé le premier fichier Setup1.exe, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier Setup1.exe se retrouve alors ainsi dans la fenêtre de VirusTotal, pour l'analyse
•- là, tu cliques sur "send file" = « Envoyer » ( de la page de VirusTotal )
•- et tu attends le résultat (il faut parfois patienter)
•- Dans l'encadré: "Situation actuelle: terminé" ==> cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic-droit sur la page, choisir => "Sélectionner tout" > puis encore clic-droit => Copier...
Enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes ==> et le poster sur forum ici.

Fais la même chose avec C:\WINDOWS\ST6UNST.EXE <-- le fichier



D) J'ai un doute aussi pour ce logiciel Glary Soft
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-14 00:03:36 C:\WINDOWS\Tasks\GlaryInitialize.job"
- e:\Glary Utilities\initialize.exe
2008-04-13 01:18 . 2008-04-13 01:18 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Glary Soft
C'est un peu le <clone> de TuneUpUtilities (TUU)
Une remarque pour éviter des moments d'énervement : quand on ouvre le logiciel, il s'installe aussi en mini dans la barre des tâches. Pour le fermer, il vaut mieux le faire en fermant l'icône dans la barre des tâches, sinon le programme se fige.
http://forum.zebulon.fr/lofiversion/index.php/t138546.html
•- Je vais le supprimer ==> tu n'auras quà le re-télécharger si tu ne peux pas t'en passer. ;)



E)- Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe >
•-Enregistre-le sur ton bureau
•- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter »
==> une page bleue s’affiche.
•- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : faire un copier/coller de ddcDsRJc
, puis [Enter]
==> une nouvelle page bleue s’affiche.
- Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]
< http://sosvirus.changelog.fr/OAD/4.bmp >
•- OAD va maintenant rechercher le fichier.
Laisse-le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
Patienter.
•- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
•- Faire un copier/coller de ce rapport dans ton prochain post.

•-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".
Manuel d’aide ici https://forum.pcastuces.com/default.asp

Répète l'opération identique pour ce fichier ydcbcnmh.exe




F)- Relance un nouveau CFSript pour ComboBix, comme indiqué au post #6/
Voici le CFSript à utiliser ==> tu le nommes : CFSript2.txt
(Supprime le CFSript1.txt de ton bureau)

File::
C:\WINDOWS\system32\khwnerqr.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\SYSTEM32\ddcDsRJc.dll

Folder::
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\TmpRecentIcons
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GlarySoft

Driver::
ddcDsRJc

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcDsRJc]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"mpfnjich"=-


Poste le rapport final, SVP



Merci pour ta collaboration
Bonne soirée
Al.
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Re,

Non, pas tout de suite; ce sera pour dans la soirée.
Merci.

ScanOnlineKaspersky en tant que scan en ligne, ne supprime rien.
Il laisse ce rôle aux helpers.

C'est quoi cette partition R:\ ?



Mais peux-tu déjà traiter ceci, SVP ?

A)- Post # 29, tu demandes « apres chaque combo terminé pourquoi spybot me demande si j'accepte la modif de page de demarrage etc?, c'est normal ca? ».
Réponse: Oui, c'est normal dans le sens où la procédure ComboFix prévoit:
- Post # 1 ==> [ Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). ==> donc, > Désactive le Tea-Timer de Spybot ]
- Post # 3 ==> [ Relis ceci : « Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). ==> Donc, > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page) => "Résident" => et tu décoches cette case: "Résident Teatimer». Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches! »
Recommence, et lis bien tout
]
- Post # 6 ==> [ B)- Traitement (CFSript)
1°- Tu as toujours l'icône de ComboFix sur le bureau.
2°- Les protections en temps réel sont à nouveau à désactiver (Tea-Timer de Spybot S&D, et SpyWare Doctor)
]

;)


B)- Clic "démarrer" > "exécuter" > copier/coller ceci :
cmd /c del /a C:\WINDOWS\Tasks\GlaryInitialize.job
et valide par [entrée].

C)- Clic "démarrer" > "exécuter" > copier/coller ceci :
cmd /c del /a C:\WINDOWS\msdownld.tmp et valide par [entrée].
IMPORTANT: Vérifie sur place ( Via "Poste de travail", dans le répertoire C:\ puis WINDOWS\ ) si ce fichier "msdownld.tmp" est bien supprimé.

Idem avec ceci: cmd /c del /a D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\krnlchk.htm
IMPORTANT: Vérifie sur place ( Via "Poste de travail", dans le répertoire " D:\ " puis "4b51a3a458aa15a6e0aef4a7\" puis "i386\" puis "compdata\) si ce fichier "krnlchk.htm" est bien supprimé.


D)- Clic "démarrer" > "exécuter" > copier/coller ceci :
cmd /c del /a E:\Glary Utilities et valide par [entrée].



E)- Relance HijackThis "Do a system Scan only", coche la case devant ces deux lignes
-HKLM\~\Browser Helper Objects\{8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC}
-HKLM\~\Browser Helper Objects\{AD2D53E7-8491-4497-80B9-31A1F2B64ABB}
Désactive le Tea Timer de Spybot.
Arrête tous les programmes en cours et ferme toutes les fenêtres ( seul HijackThis doit être ouvert ) ,
et clic sur [Fix checked]



F)- Pour ceci : [Secdrv / Secdrv][Running/Auto Start]
<system32\DRIVERS\secdrv.sys><N/A>

Le pilote SECDRV.SYS, aussi connu sous le nom de "Macrovision Security Driver", est un élément du système de protection anti copie SafeDisc destiné à empêcher ou limiter la duplications de jeux video.
Une mise à jour ici(pour supprimer une faiile de sécurité) : Updating the Macrovision SECDRV.SYS Driver: http://www.macrovision.com/promolanding/7352.htm

Mais il faudrait préalablement lancer cette analyse qui pourrait y détecter une éventuelle infection vicieuse.

ScanOnline chez Bitdefender :
< http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
Sauvegarde tes musiques et photos, il arrive que BitDefender les supprime. (Merci Mérillym)
;)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
http://download.bitdefender.com/resources/images/new_design/onlinescanner.gif
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

•- Sauvegarde le rapport comme ceci:
Clic sur "Enregistrer sous..." > choisis « bureau » ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier HTML" (*.html)
• > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >
Réactive le Tea Timer de Spybot


G)- As-tu une camera SONIX ?
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<snpstd3><C:\WINDOWS\vsnpstd3.exe> [] est un process lié à CameraMonitor Application de Sonix.



Courage
Tu ne m'as pas fait de cadeau lol ;)
à ce soir
Al


Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Bien,
Merci

Ça ne va pas être simple (je ne suis pas en bonne santé).

A)- Donc, pour les lignes HJT à [Fixer], ce sont celles-ci:

-O2 - BHO: (no name) - {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} - (no file)
-O2 - BHO: (no name) - {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} - (no file)
-O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
-O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} -
-O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} ==> (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
-O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
-O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
-O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
-O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
-O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} -
-O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
-O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} -
-O20 - Winlogon Notify: ddcDsRJc - C:\WINDOWS\ ==> c'est celle-là qui nous tient les bretelles !!


B)- Il y a deux choses que je ne comprends pas :

1°- Tu te sers encore de Norton/Symantec.
Je le vois ici:
-O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} ==> (Symantec AntiVirus scanner) -
-O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
Pourquoi lances-tu Norton ?
Alors qu'il devrait être désactivé !!
Et alors que tu ne dois pas faire d'application intermédiaire durant cette désinfection compliquée.
En effet, il faut 1 seul antivirus actif par PC.
Or, c'est ton "Kaspersky Internet Security 7.0" qui est actif; je le vois ici:
-O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
-O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
Il faudra supprimer Norton/Symantec plus tard.

2°- Est-ce que ta version "Kaspersky Internet Security 7.0 (= Kis7) " est toujours valide ?
Pourquoi alors a-t-il laissé passer une telle infection ?
C'est que tu ne sais plus le mettre à jour !


ATTENTION/ Crack & TotalUninstall

1°- Veux-tu un bon programme de téléchargement ?
Ici < https://www.clubic.com/telecharger-fiche10903-total-uninstall.html >
Tutos < http://assiste.com.free.fr/p/logitheque/total_uninstall.php > et < https://forum.zebulon.fr/topic/66923-tutorial-total-uninstall/ >
2°- --> Plus que jamais, il devient ESSENTIEL d'éviter tous les sites de cracks, warez, ...
3°- Pour t'en convaincre, lis le contenu très clair de ces liens:
•- les premiers sont de Malekal_morte et concernent les cracks =>
http://forum.malekal.com/ftopic4869.php
http://forum.malekal.com/ftopic893.php
http://forum.malekal.com/ftopic4442.php
•- le second de Tesgaz concerne le P2P en général =>
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers "Worm.Win32_Sumom-A" qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier "incoming/Shared" afin d'être expédié à toutes les personnes qui partagent tes téléchargements...
=> http://www.virustraq.com/info_virus/10134/details/



C) Post le log BitDefender.



D)- Traitement

1°- Tu as toujours l'icône de ComboFix sur le bureau.
2°- Les protections en temps réel sont à nouveau à désactiver (Tea-Timer de Spybot S&D, et SpyWare Doctor)
Si alerte de ton Kis7 ==> autorise.
Garde branché le DD externe R:\ !
D:\ est-ce une partition du DD interne ?


3°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant (tout d'une traite):

File::
D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\krnlchk.htm
D:\4b51a3a458aa15a6e0aef4a7\i386\readmesp.htm D:\4b51a3a458aa15a6e0aef4a7\i386\root\ic\lisezmoi.htm D:\4b51a3a458aa15a6e0aef4a7\i386\root\ip\lisezmoi.htm
D:\4b51a3a458aa15a6e0aef4a7\i386\root\setupxp.htm
D:\Mes vidéos\jeux\harry potter la chambre des secrets jeux pc francais +serial+cover+nocd.zip
E:\3D Photo Browser\crak.exe
R:\prog et crack\fgf140.exe
R:\prog et crack\ftpexpert3.exe
R:\prog et crack\WinZip_v9[1].0_SR-1_6224f_ (www.crack.cd).zip

Folder::
D:\mes programmes\crack 3d photo browser
D:\mes programmes\crack polygone cruncher
D:\mes programmes\SmitfraudFix
D:\mes programmes\www.shyone42.com
D:\mes programmes\www.shyone42.com\crack 3d photo browser
D:\mes programmes\www.shyone42.com\crack polygone cruncher
D:\Mes vidéos\jeux\harry potter la chambre des secrets jeux pc francais +serial+cover+nocd
E:\3D Photo Browser
R:\prog et crack\crack 3d photo browser
R:\prog et crack\crack polygone cruncher
R:\prog et crack\SmitfraudFix
R:\prog et crack\www.shyone42.com
R:\prog et crack\www.shyone42.com\crack 3d photo browser
R:\prog et crack\www.shyone42.com\crack polygone cruncher

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AD2D53E7-8491-4497-80B9-31A1F2B64ABB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcDsRJc]


4°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript3.txt
• Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png >
• Supprime le fichier CFScript2.txt précédent qui était présent sur le bureau


5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” -"tristan.exe"- sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript3.txt ” sur le fichier “ComboFix.exe” -"tristan.exe"- comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC
Réactive le Tea Timer de Spybot

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” -"tristan.exe"- sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript3.txt ” sur le fichier “ComboFix.exe” -"tristan.exe"- comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC
Réactive le Tea Timer de Spybot



Merci
Al.
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

re afideg , norton n'a jamais été installé sur mon ordi, j'ai uniquement fait un scan online je pense,
quand a kaspersky tout est en ordre ,license encore valide et mise a jour reguliere et automatique,
donc bonne question,
voici deja le log bitdefender, note que meme bit a pas reussi a deraciner ce qu'il trouve,
donc j'attend ton avis avant de faire ce que tu a demandé sur le poste précedent







BitDefender Online Scanner



Rapport d'analyse généré à: Tue, Apr 15, 2008 - 22:13:21





Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;J:\;K:\;L:\;M:\;N:\;O:\;P:\;R:\;







Statistiques

Temps
01:36:11

Fichiers
220748

Directoires
28920

Secteurs de boot
5

Archives
2385

Paquets programmes
29996




Résultats

Virus identifiés
9

Fichiers infectés
10

Fichiers suspects
1

Avertissements
0

Désinfectés
0

Fichiers effacés
3




Info sur les moteurs

Définition virus
1143785

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
41

Unpack des plugins
7

E-mail plugins
6

Système plugins
5




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Message

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\tristan.exe=>(RAR Sfx o)=>327882R2FWJFW\nircmd.cfexe
Détecté avec: Spyware.Tool.Nircmd.A

C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\tristan.exe=>(RAR Sfx o)=>327882R2FWJFW\nircmd.cfexe
Supprimé

C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\tristan.exe=>(RAR Sfx o)
Echec de la mise à jour

D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\krnlchk.htm
Infecté par: Generic.Virtob.1.5EBFBF81

D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\krnlchk.htm
Echec de la désinfection

D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\krnlchk.htm
Echec de la suppression

D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\nv_agp.htm
Infecté par: Generic.Virtob.1.A17EB596

D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\nv_agp.htm
Echec de la désinfection

D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\nv_agp.htm
Echec de la suppression

D:\4b51a3a458aa15a6e0aef4a7\i386\faq.htm
Infecté par: Generic.Virtob.1.DC3EA05D

D:\4b51a3a458aa15a6e0aef4a7\i386\faq.htm
Echec de la désinfection

D:\4b51a3a458aa15a6e0aef4a7\i386\faq.htm
Echec de la suppression

D:\4b51a3a458aa15a6e0aef4a7\i386\readmesp.htm
Infecté par: Generic.Virtob.1.F10C4B3F

D:\4b51a3a458aa15a6e0aef4a7\i386\readmesp.htm
Echec de la désinfection

D:\4b51a3a458aa15a6e0aef4a7\i386\readmesp.htm
Echec de la suppression

D:\4b51a3a458aa15a6e0aef4a7\i386\root\ic\lisezmoi.htm
Infecté par: Generic.Virtob.1.C1087199

D:\4b51a3a458aa15a6e0aef4a7\i386\root\ic\lisezmoi.htm
Echec de la désinfection

D:\4b51a3a458aa15a6e0aef4a7\i386\root\ic\lisezmoi.htm
Echec de la suppression

D:\4b51a3a458aa15a6e0aef4a7\i386\root\ip\lisezmoi.htm
Infecté par: Generic.Virtob.1.C1087199

D:\4b51a3a458aa15a6e0aef4a7\i386\root\ip\lisezmoi.htm
Echec de la désinfection

D:\4b51a3a458aa15a6e0aef4a7\i386\root\ip\lisezmoi.htm
Echec de la suppression

D:\4b51a3a458aa15a6e0aef4a7\i386\root\setupxp.htm
Infecté par: Generic.Virtob.1.01C6252D

D:\4b51a3a458aa15a6e0aef4a7\i386\root\setupxp.htm
Echec de la désinfection

D:\4b51a3a458aa15a6e0aef4a7\i386\root\setupxp.htm
Echec de la suppression

R:\prog et crack\CEDP-Stealer-Setup.exe=>(NSIS o)=>lzma_solid_nsis0004
Détecté avec: Adware.Ncase.D

R:\prog et crack\CEDP-Stealer-Setup.exe=>(NSIS o)=>lzma_solid_nsis0004
Supprimé

R:\prog et crack\CEDP-Stealer-Setup.exe=>(NSIS o)
Echec de la mise à jour

R:\prog et crack\fgf140.exe=>wise0019
Suspecté de: BehavesLike:Win32.Malware

R:\prog et crack\fgf140.exe=>wise0019
Echec de la désinfection

R:\prog et crack\fgf140.exe=>wise0064
Détecté avec: Adware.Flashget.C

R:\prog et crack\fgf140.exe=>wise0064
Supprimé

R:\prog et crack\fgf140.exe
Echec de la mise à jour













Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Bonsoir eff,

A)- Contredis-moi si je me trompe.
-Je vois que tu utilises encore O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - Symantec
-Je t'ai donné le lien TotalUninstal (post # 45) comme logiciel de télechargement convenable.
Or je vois que tu utilises encore O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} - akamai pour télécharger un logiciel inutile SoloSentry
-Je vois que tu joues durant la désinfection O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - jeu MSN




B)- Télécharge IceSword sur ton Bureau (durée ± 5 minutes), du lien suivant :
http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip
Choisir la version 1.22 http://img293.imageshack.us/img293/7438/screenshot343yg2.png

1) Double-clique sur le fichier du bureau IceSword122_en.zip pour obtenir cette page http://img503.imageshack.us/img503/7100/screenshot322an1.png ; puis, comme sur l'image, au menu "Fichier" choisir "Extraire tout". On obtient une nouvelle page IceSword122_en http://img260.imageshack.us/img260/7798/screenshot323yv2.png ; là, comme sur l'image, clic-droit sur le dossier dézippé IceSword120_en , puis "Explorer" pour obtenir le contenu sur une nouvelle page .

2) Clic-droit sur l'icône "épée" > Créer un raccourci IceSword.exe et le déplacer sur le bureau >
puis double-clic dessus pour lancer l'outil. Clic ensuite sur [Exécuter]
(Autoriser et accepter les alertes successives des protections PC installées).

3) Agrandir la fenêtre de l'outil en plein écran.

4) Regarde bien cette capture écran http://img223.imageshack.us/img223/4756/screenshot324nb2.png .
Dans le menu de gauche, vers le haut, appuie sur la touche [Functions] pour les développer; tu peux t'aider du curseur vertical pour faciliter la lecture de son total contenu.
- Note: Tu peux agrandir le volet de gauche (en déplaçant la ligne de séparation verticale), afin de mieux visualiser son contenu (juste le nécessaire; sinon ce sera au détriment de la lecture de la plage de droite).

5) Choisis le bouton radio [Win32 Services], laisse afficher tous les services dans la plage de droite.
Ensuite retrouve cette saleté de ddcDsRJc que tu supprimes.
Si tu vois d'autres services de couleur rouge, rapporte-les moi.

6) Au bas de ce menu gauche, cliquer sur le bouton radio [File]

- Il faut naviguer (clic sur les + devant répertoires ad hoc) dans l'arborescence (volet de gauche) jusquà atteindre le dossier contenant les fichiers infectés à supprimer.

•- Pour D:\4b51a3a458aa15a6e0aef4a7\i386\compdata\nv_agp.htm
(Clic sur + devant D:\, puis + devant 4b51a3a458aa15a6e0aef4a7\, puis + devant i386\, puis clic sur le dossier compdata\ ( ATTENTION : je n'ai pas dit de cliquer sur le + devant compdata\ !!) pour l'ouvrir
==> tu vois ainsi tous ses fichiers dans la plage de droite ==> retrouve les fichiers nv_agp.htm et krnlchk.htm (vérification) ==> faire un clic-droit dessus et choisir "Delete".

•- Fais la même procédure en suivant le chemin de ce fichier ( sois méticuleux par prudence ) :
R:\prog et crack\CEDP-Stealer-Setup.exe <-- le fichier à supprimer.

7) Termine par celles-ci (en gras):

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC}
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AD2D53E7-8491-4497-80B9-31A1F2B64ABB}
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcDsRJc

Comme ceci: au bas du menu des fonctions, appuie sur la touche [Registry].
Tu vois s'afficher l'arborescence de la base de registres dans laquelle il faut naviguer, comme ceci:

1°- Pour la première ligne ( et la seconde ligne) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC}
- en cliquant sur le signe + devant HKEY_LOCAL_MACHINE,
puis descendre jusque SOFTWARE > et cliquer sur +,
puis descendre jusque Microsoft > et cliquer sur +,
puis descendre jusque Windows > +
puis CurrentVersion > +
puis Explorer > +
puis Browser Helper Objects > +
puis cherche la sous-clé {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} ==> clic-droit > supprimer
puis cherche la sous-clé {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} ==> clic-droit > supprimer

2°- Pour celle-ci :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcDsRJc
C’est la même chose :
- en cliquant sur le signe + devant HKEY_LOCAL_MACHINE,
puis descendre jusque SOFTWARE > et cliquer sur +,
puis descendre jusque Microsoft > et cliquer sur +,
puis descendre jusque Windows NT > +
puis descendre jusque Winlogon > +
puis descendre jusque Notify > +
puis cherche la sous-clé ddcDsRJc si elle existe ==> supprime.
ATTENTION : Si ce n'est pas le cas, ouvre " Notify " et regarde dans la plage de droite si tu trouves ddcDsRJc sous "Nom" (en valeur) ==> idem: clic-droit dessus et supprime). ==> rapporte-moi cette étape, svp.


Poste le rapport obtenu s’il y en a un. (je n’en sais rien).

7)- Quitter IceSword

8)- Poste aussi un nouveau rapport HijackThis après avoir fixé ces lignes :

O2 - BHO: (no name) - {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} - (no file)
O2 - BHO: (no name) - {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} - (no file)
O4 - HKLM\..\Run: [SoloSentry] C:\SRNMIC~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] C:\SRNMIC~1\SOLOCFG.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - <https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - <http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab>
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} -
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737}
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072}
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1}
O20 - Winlogon Notify: ddcDsRJc - C:\WINDOWS\

Bonne soirée
Merci
Al.
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

bonsoir al, je vais peut etre te contredire en effet

symantec je pense que c'est norton,or je n'ai jamais installé et je n'emploie jamais norton sauf parfois lors d'un scan en ligne, je n'emploie pas non plus de logiciel de telechargement specifique lorsque je telecharge un programme comme solo entry que j'ai testé tout a l'heure ,et en ce qui concerne les jeux msn ,desolé déja en temps normal c'est tres peu pour moi cela donc en période de desinfection la question ne se pose meme pas.


retrouve les fichiers nv_agp.htm et krnlchk.htm (vérification) ==> faire un clic-droit dessus et choisir "Delete".
krnlchk.htm
est bel et bien mort et nv_agp.htm je l'ai deja fait,et j'ai scanné on line avec bit et kasper le dique D: et en particulier le dossier D:\4b51a3a458aa15a6e0aef4a7 et resultat BitDefender Online Scanner - Rapport virus en temps réelBitDefender Online
Scanner - Rapport virus en temps réel
Généré à: Wed, Apr 16, 2008 - 21:49:20




Info d'analyse
Fichiers scannés29830
Infectés Fichiers0


Virus Détectés
Aucun virus trouvé.





Ce sommaire du processus d'analyse sera utilisé par les laboratoires
Antivirus BitDefender pour créer des statistiques agréguées sur l'activité
des virus dans le monde.


j'ai donc enchainé sur le dd E: et là egalement resultat sain BitDefender Online Scanner



Rapport d'analyse généré à: Wed, Apr 16, 2008 - 22:25:27





Voie d'analyse: E:\Cucusoft;E:\Devious Codeworks;E:\DivX;E:\Documents and Settings;E:\EtiketaGoGo;E:\Finale 2007;E:\flash disk;E:\Flash Menu Builder;E:\Flash saver 5.0;E:\Flash Slideshow Maker Professional;E:\Free Audio Pack;E:\Free Window Registry Repair;E:\Glary Utilities;E:\Harmony Assistant;E:\High-Logic;E:\HP;E:\IVT Corporation;E:\Konvertor;E:\Lightwave5;E:\Lightwave7;E:\Lightwave8;E:\Maïdo Production;E:\Micro Application;E:\MP3 Player Utilities 4.15;E:\music;E:\NRJ;E:\Pinnacle;E:\Popims;E:\Program Files;E:\psp;E:\Studio V5;E:\SWFText;E:\VideoLAN;E:\WebAnimé;E:\WOLFGANG;







Statistiques

Temps
00:01:27

Fichiers
4899

Directoires
1016

Secteurs de boot
7

Archives
79

Paquets programmes
753




Résultats

Virus identifiés
0

Fichiers infectés
0

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
0




Info sur les moteurs

Définition virus
1148657

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
41

Unpack des plugins
7

E-mail plugins
6

Système plugins
5




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Message

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

Aucun virus trouvé.


j'ai fait le scan malware pour le dd E: et resultat Malwarebytes' Anti-Malware 1.11
Version de la base de données: 635

Type de recherche: Examen rapide
Eléments examinés: 39010
Temps écoulé: 5 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
je vais donc deja virer cedp stealer dans l'immediat de la meme manieresuppression reussiteet la verification manuelle confirme la suppression
ca marche nickel ce malwarebytes pour virer les dossier verrouillé,j'ai telechargé ice word pour verifier et etre certain , resultat ok tout est viré
le regedit nickel les clés demandé sont partie , et voila le log hijackt qui te confirme tout cela je pense


___________________________________________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:46, on 17/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
E:\HP\Digital Imaging\bin\hpqtra08.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
E:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] E:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = E:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Bonsoir eff,

Le bilan semble correct.

Sauf ce fichier HOSTS (qui dans le PC se trouve là C:\WINDOWS\system32\drivers\etc <-- dans ce répertoire).

Je lis des choses que tu n'as certainement pas voulues:

127.0.0.1 zangocash.com
127.0.0.1 www.zangocash.com
127.0.0.1 www.xxx.com
127.0.0.1 xxx.com
127.0.0.1 xxxallvideo.com
127.0.0.1 www.xxxallvideo.com
127.0.0.1 xxxcategories.com
127.0.0.1 xxxemailxxx.com
127.0.0.1 xxxmovietour.com
127.0.0.1 www.xxxmovietour.com
127.0.0.1 www.xxxpornmovs.com
127.0.0.1 xxxpornmovs.com
127.0.0.1 xxxteenfilm.com
127.0.0.1 www.xxxteenfilm.com
127.0.0.1 xxxtoolbar.com

Termine comme ceci:

1°- Télécharger RHosts de SiRi: http://siri.urz.free.fr/RHosts.php
Double cliquer dessus pour l'exécuter; et cliquer sur " Restore original Hosts "

2°- Dans Spybot S&D, il ne faut pas oublier de décocher la case “Verrouiller le fichier hosts en lecture seule...”, dans “Outils” – “Ajustements IE”.

3°- Pour etre plus complet et te permettre d'empecher la propagation d'information par certains "spyware".
Comme ceci:
-ouvre Spybot S&D
-clique sur "mode" en haut, puis sur "mode avancé"
-clique sur "outil" à gauche
-dans la fenetre de droite, clique sur "Fichier hosts"
-ensuite clique sur la "croix verte" en haut
Cela modifiera le fichier hosts pour empêcher les connections "entrantes ou sortantes" à destination des sites l'utilisant, ou aux destinataires des infos transmises par beaucoup de spyware dont look2mee et spysheriff



Bonne soirée.
Laisse faire une période d'observation durant 15 jours.
Reviens quand tu veux.
Je ferai un bilan également, s'il y a lieu.
Merci pour l'explication au sujet de Kis7; je comprends mieux.


Al.
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
"laisser la case décochée"

Attends, je te montre ce que contient mon Fichier Hosts:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost
<-- seulement cette ligne.


Cette liste d'interdiction, pourquoi ne l'a-t-on pas vue plus tôt dans les rapports ??

Ce que tu dois savoir:
Dans le fichier hosts, pour interdire un site, on fait ceci: 127.0.0.1 https://www.youtube.com/?gl=FR
Pour accélérer l'accès à un site on fait ceci (exemple avec Google.fr) : 6.249.93.104 www.google.fr
Ceci interdit l'accès à google.fr : 127.0.0.1 www.google.fr
Compris ? Simple, non ?
Mais si ce n'est pas toi qui a placé cette liste en hosts, c'est que c'est une infection qui l'y a placée !!


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
Es-tu seul sur ton PC ?
Est-il connecté en réseau ? (type Univ. ou FAC) <-- étudiants

Lecture: http://www.libellules.ch/...
Lecture: https://www.malekal.com/virus-securite/

C'est pourquoi j'ai écrit « Laisse faire une période d'observation durant 15 jours. »
Tu sais vérifier toi-même ton fichier "hosts" là C:\WINDOWS\system32\drivers\etc <-- dans ce répertoire).

Fais m'en un copier/coller. ==> après passage de RHosts de SiRi ( le concepteur de SmitfraudFix)

Merci

Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Relis ceci

« Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). ==> donc, > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches! »


Recommence, et lis bien tout



Merci
Je vais bientôt au lit
Al.
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

voila g combofixé et je met le log obtenu


______________________________________________________________________________________________
ComboFix 08-04-13.1 - eff 2008-04-14 1:58:33.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.717 [GMT 2:00]
Endroit: C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\tristan.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\PC-Cleaner
C:\WINDOWS\rs.txt
C:\WINDOWS\system32\bjxewhok.ini
C:\WINDOWS\system32\FgOpqtwa.ini
C:\WINDOWS\system32\FgOpqtwa.ini2
C:\WINDOWS\system32\xbHkQqss.ini
C:\WINDOWS\system32\xbHkQqss.ini2
C:\WINDOWS\system32bdn.com
C:\WINDOWS\system32hxiwlgpm.dat
C:\WINDOWS\system32ssvchost.com
C:\WINDOWS\system32taack.dat
C:\WINDOWS\system32VBIEWER.OCX

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-14 to 2008-04-14 ))))))))))))))))))))))))))))))))))))
.

2008-04-14 01:07 . 2008-04-14 01:07 <REP> d-------- C:\Program Files\Trend Micro
2008-04-14 00:46 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-14 00:46 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-14 00:46 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-14 00:35 . 2008-04-14 00:39 <REP> d-------- C:\Program Files\MSNFix
2008-04-13 23:58 . 2008-04-13 23:58 90,112 --a------ C:\WINDOWS\system32\mxsbqvqv.exe
2008-04-13 18:38 . 2008-04-13 18:38 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
2008-04-13 13:23 . 2008-04-13 13:23 <REP> d-------- C:\VundoFix Backups
2008-04-13 11:21 . 2008-04-13 11:21 5,264 --a------ C:\cc_20080413_1121.reg
2008-04-13 11:19 . 2008-04-13 11:20 52,096 --a------ C:\cc_20080413_1119.reg
2008-04-13 11:17 . 2008-04-13 11:17 <REP> d-------- C:\Program Files\CCleaner
2008-04-13 10:52 . 2008-04-14 01:54 <REP> d-a------ C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-04-13 10:51 . 2008-04-13 19:58 <REP> d-------- C:\Program Files\Spyware Doctor
2008-04-13 10:51 . 2008-04-13 10:51 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC Tools
2008-04-13 10:51 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-13 10:51 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-13 10:51 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-13 10:51 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-13 10:46 . 2008-04-13 10:46 <REP> d-------- C:\Program Files\Google
2008-04-13 10:46 . 2008-04-13 11:47 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Google Updater
2008-04-13 09:40 . 2008-04-13 10:24 586 ---hs---- C:\WINDOWS\system32\fdofokqt.ini
2008-04-13 09:36 . 2008-04-13 09:36 106,496 --a------ C:\WINDOWS\system32\zedahsvm.exe
2008-04-13 02:46 . 2008-04-13 02:46 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-13 02:46 . 2008-04-13 03:30 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-04-13 02:22 . 2008-04-13 03:00 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\TmpRecentIcons
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Voisinage r‚seau
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Voisinage d'impression
2008-04-13 02:12 . 2007-11-11 14:34 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\ModŠles
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Mes documents
2008-04-13 02:12 . 2007-11-11 15:17 <REP> dr------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Menu D‚marrer
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Favoris
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Bureau
2008-04-13 02:12 . 2008-04-13 02:12 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73
2008-04-13 01:41 . 2008-04-13 03:28 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Antispyware
2008-04-13 01:18 . 2008-04-13 01:18 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GlarySoft
2008-04-13 01:06 . 2008-04-13 01:06 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb
2008-04-13 01:06 . 2008-04-13 01:06 90,112 --a------ C:\WINDOWS\system32\ydcbcnmh.exe
2008-04-13 00:41 . 2007-03-28 18:43 181,760 --a------ C:\WINDOWS\system32\iwpsetup.exe
2008-04-13 00:41 . 1997-01-16 00:00 29,696 --a------ C:\WINDOWS\system32\VB5STKIT.DLL
2008-04-13 00:41 . 1997-01-16 13:42 6,114 --a------ C:\WINDOWS\system32\SHELLLNK.TLB
2008-04-12 20:31 . 2008-04-12 20:31 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\null
2008-04-12 16:36 . 2008-04-12 16:46 12,191 --a------ C:\WINDOWS\system32\CKRES.VDF
2008-04-12 16:36 . 2008-04-12 16:46 1,440 --a------ C:\WINDOWS\system32\CKSYS.VDF
2008-04-12 12:10 . 2008-04-12 16:26 161 --a------ C:\WINDOWS\system32\CielComponent.ini
2008-04-12 12:01 . 2008-04-12 12:01 753,664 --a------ C:\WINDOWS\system32\ifsrel.dll
2008-04-12 12:01 . 2002-10-29 10:35 663,552 --------- C:\WINDOWS\CielInfos.exe
2008-04-12 12:01 . 2003-06-13 15:27 360,448 --a------ C:\WINDOWS\system32\CielArchiver.dll
2008-04-12 12:01 . 2008-04-12 12:01 172,032 --a------ C:\WINDOWS\system32\portal.dll
2008-04-12 12:01 . 2008-04-12 12:01 69,632 --a------ C:\WINDOWS\system32\coface.dll
2008-04-12 11:31 . 2003-06-18 14:20 208,896 --a------ C:\WINDOWS\system32\CRun500.dll
2008-04-12 11:29 . 2008-04-12 11:48 <REP> d-------- C:\Program Files\Ciel e-Commerce
2008-04-06 20:46 . 2008-04-06 20:46 <REP> d-------- C:\Program Files\MSXML 4.0
2008-04-06 13:27 . 2008-04-06 13:27 8,224 --a------ C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2008-04-06 12:33 . 2008-04-06 12:41 <REP> d-------- C:\Program Files\Steinberg
2008-04-03 11:36 . 2008-04-03 11:36 244 --ah----- C:\sqmnoopt14.sqm
2008-04-03 11:36 . 2008-04-03 11:36 232 --ah----- C:\sqmdata14.sqm
2008-04-03 01:03 . 2008-04-03 01:03 244 --ah----- C:\sqmnoopt13.sqm
2008-04-03 01:03 . 2008-04-03 01:03 232 --ah----- C:\sqmdata13.sqm
2008-04-02 15:28 . 2008-04-02 15:28 244 --ah----- C:\sqmnoopt12.sqm
2008-04-02 15:28 . 2008-04-02 15:28 232 --ah----- C:\sqmdata12.sqm
2008-04-02 12:09 . 2008-04-02 12:09 244 --ah----- C:\sqmnoopt11.sqm
2008-04-02 12:09 . 2008-04-02 12:09 232 --ah----- C:\sqmdata11.sqm
2008-04-02 00:11 . 2008-04-02 00:11 244 --ah----- C:\sqmnoopt10.sqm
2008-04-02 00:11 . 2008-04-02 00:11 232 --ah----- C:\sqmdata10.sqm
2008-04-01 14:39 . 2008-04-01 14:39 268 --ah----- C:\sqmdata09.sqm
2008-04-01 14:39 . 2008-04-01 14:39 244 --ah----- C:\sqmnoopt09.sqm
2008-03-31 00:58 . 2008-03-31 00:58 244 --ah----- C:\sqmnoopt08.sqm
2008-03-31 00:58 . 2008-03-31 00:58 232 --ah----- C:\sqmdata08.sqm
2008-03-30 12:00 . 2008-03-30 12:00 244 --ah----- C:\sqmnoopt07.sqm
2008-03-30 12:00 . 2008-03-30 12:00 232 --ah----- C:\sqmdata07.sqm
2008-03-30 03:41 . 2008-03-30 03:41 244 --ah----- C:\sqmnoopt06.sqm
2008-03-30 03:41 . 2008-03-30 03:41 232 --ah----- C:\sqmdata06.sqm
2008-03-29 17:32 . 2008-03-29 17:32 244 --ah----- C:\sqmnoopt05.sqm
2008-03-29 17:32 . 2008-03-29 17:32 232 --ah----- C:\sqmdata05.sqm
2008-03-29 12:57 . 2008-03-29 12:57 244 --ah----- C:\sqmnoopt04.sqm
2008-03-29 12:57 . 2008-03-29 12:57 232 --ah----- C:\sqmdata04.sqm
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d-------- C:\WINDOWS\system32\windows media
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d-------- C:\Program Files\Windows Media Components
2008-03-29 02:05 . 2008-03-29 02:05 244 --ah----- C:\sqmnoopt03.sqm
2008-03-29 02:05 . 2008-03-29 02:05 232 --ah----- C:\sqmdata03.sqm
2008-03-28 14:59 . 2008-03-28 14:59 244 --ah----- C:\sqmnoopt02.sqm
2008-03-28 14:59 . 2008-03-28 14:59 232 --ah----- C:\sqmdata02.sqm
2008-03-28 14:35 . 2005-02-26 07:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-03-28 12:44 . 2008-03-28 12:44 <REP> d-------- C:\Program Files\Fichiers communs\Micro Application Shared
2008-03-28 10:58 . 2008-03-28 10:58 244 --ah----- C:\sqmnoopt01.sqm
2008-03-28 10:58 . 2008-03-28 10:58 232 --ah----- C:\sqmdata01.sqm
2008-03-28 10:26 . 2008-03-28 10:26 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\ALM
2008-03-28 02:46 . 2008-03-28 02:46 244 --ah----- C:\sqmnoopt00.sqm
2008-03-28 02:46 . 2008-03-28 02:46 232 --ah----- C:\sqmdata00.sqm
2008-03-28 02:35 . 2008-03-28 02:46 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\LogoMaker
2008-03-28 02:13 . 2008-03-28 02:24 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Download Manager
2008-03-20 03:06 . 2008-03-20 03:06 <REP> d-------- C:\Program Files\Fichiers communs\Stardock
2008-03-20 03:05 . 2008-03-20 04:13 163,712 --a------ C:\WINDOWS\system32\drivers\vidstub.sys
2008-03-18 00:56 . 2008-03-18 00:56 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Sony Corporation
2008-03-18 00:52 . 2006-11-02 17:57 118,520 --a------ C:\WINDOWS\system32\PxInsI64.exe
2008-03-18 00:52 . 2006-10-18 20:43 115,960 --a------ C:\WINDOWS\system32\PxCpyI64.exe
2008-03-18 00:44 . 2008-03-18 00:44 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\InstallShield
2008-03-16 15:31 . 2008-03-16 15:31 286,720 --------- C:\WINDOWS\Setup1.exe
2008-03-16 15:31 . 2008-03-16 15:31 73,216 --a------ C:\WINDOWS\ST6UNST.EXE

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-14 00:04 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab
2008-04-14 00:02 383,492 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-14 00:02 31,064,352 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-14 00:02 100,748 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-14 00:02 1,043,488 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-12 10:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-06 10:34 --------- d-----w C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Steinberg
2008-03-25 17:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\DVD Shrink
2008-03-21 22:38 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\WinZip
2008-03-21 00:00 238,000 ----a-w C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GDIPFONTCACHEV1.DAT
2008-03-04 17:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Bluetooth
2008-01-06 10:13 7,163 ----a-w C:\Program Files\INSTALL.LOG
2006-02-19 02:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD2D53E7-8491-4497-80B9-31A1F2B64ABB}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"tyfvuaqx"="C:\WINDOWS\system32\zedahsvm.exe" [2008-04-13 09:36 106496]
"qqjyeask"="C:\WINDOWS\system32\mxsbqvqv.exe" [2008-04-13 23:58 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-03-02 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-10-30 15:10 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 15:09 249856]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"HP Software Update"="E:\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-12-04 13:34 406016]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2005-09-05 09:55 339968]
"Belgacom"="C:\Program Files\Belgacom\bin\sprtcmd.exe" [2006-06-22 10:34 192512]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 22:09 157592]
"Adobe Reader Speed Launcher"="E:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"tIVlFTkB2R"= C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcDsRJc]
ddcDsRJc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"mpfnjich"=C:\WINDOWS\system32\ydcbcnmh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe"=
"E:\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"E:\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"E:\\Microsoft Games\\Halo\\halo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 Vcs;Vcs support;C:\WINDOWS\system32\Drivers\Vcs.sys [2002-12-10 10:11]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-14 00:03:36 C:\WINDOWS\Tasks\GlaryInitialize.job"
- e:\Glary Utilities\initialize.exe
"2008-04-13 08:04:28 C:\WINDOWS\Tasks\User_Feed_Synchronization-{1F13D858-319E-4E0B-9508-8D9195F671F7}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 02:04:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
E:\Glary Utilities\Integrator.exe
E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
E:\HP\Digital Imaging\bin\hpqtra08.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
E:\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-14 2:08:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-14 00:07:57

Pre-Run: 12,176,461,824 octets libres
Post-Run: 12,070,621,184 octets libres
__________________________________________________________________________________________

ca dit quoi?
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Re,
J'arrive
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Attention

J'ai ajouté une ligne au CFSript
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

hello afideg , bon voilà jviens de revenir du travail et jmis suis mis direct voila le log combo demandé , juste une question , au demarrage quand j'ai glissé le fichier txt sur l'icone combo tout a demarré normal et puis avertissement, l'installation a échoué, j'ai cliqué sur le ok et le scan a demarré , donc jme pose la question est ce normal et le scan est t'il juste?


_____________________________________________________________________________________________
ComboFix 08-04-13.1 - eff 2008-04-14 19:02:56.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.757 [GMT 2:00]
Endroit: C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\tristan.exe
Command switches used :: C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\CFScript1.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
C:\WINDOWS\msdownld.tmp
C:\WINDOWS\SYSTEM32\ddcDsRJc.dll
C:\WINDOWS\system32\fdofokqt.ini
C:\WINDOWS\system32\iwpsetup.exe
C:\WINDOWS\system32\mxsbqvqv.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\system32\zedahsvm.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
C:\WINDOWS\system32\fdofokqt.ini
C:\WINDOWS\system32\iwpsetup.exe
C:\WINDOWS\system32\mxsbqvqv.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\system32\zedahsvm.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-14 to 2008-04-14 ))))))))))))))))))))))))))))))))))))
.

2008-04-14 02:34 . 2008-04-14 02:34 98,304 --a------ C:\WINDOWS\system32\khwnerqr.exe
2008-04-14 01:07 . 2008-04-14 01:07 <REP> d-------- C:\Program Files\Trend Micro
2008-04-14 00:46 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-14 00:46 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-14 00:46 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-14 00:35 . 2008-04-14 00:39 <REP> d-------- C:\Program Files\MSNFix
2008-04-13 18:38 . 2008-04-13 18:38 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
2008-04-13 13:23 . 2008-04-13 13:23 <REP> d-------- C:\VundoFix Backups
2008-04-13 11:21 . 2008-04-13 11:21 5,264 --a------ C:\cc_20080413_1121.reg
2008-04-13 11:19 . 2008-04-13 11:20 52,096 --a------ C:\cc_20080413_1119.reg
2008-04-13 11:17 . 2008-04-13 11:17 <REP> d-------- C:\Program Files\CCleaner
2008-04-13 10:52 . 2008-04-14 18:59 <REP> d-a------ C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-04-13 10:51 . 2008-04-13 19:58 <REP> d-------- C:\Program Files\Spyware Doctor
2008-04-13 10:51 . 2008-04-13 10:51 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC Tools
2008-04-13 10:51 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-13 10:51 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-13 10:51 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-13 10:51 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-13 10:46 . 2008-04-13 10:46 <REP> d-------- C:\Program Files\Google
2008-04-13 10:46 . 2008-04-14 19:05 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Google Updater
2008-04-13 02:46 . 2008-04-13 02:46 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-13 02:46 . 2008-04-13 03:30 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-04-13 02:22 . 2008-04-13 03:00 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\TmpRecentIcons
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Voisinage réseau
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Voisinage d'impression
2008-04-13 02:12 . 2007-11-11 14:34 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Modèles
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Mes documents
2008-04-13 02:12 . 2007-11-11 15:17 <REP> dr------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Menu Démarrer
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Favoris
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Bureau
2008-04-13 02:12 . 2008-04-13 02:12 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73
2008-04-13 01:41 . 2008-04-13 03:28 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Antispyware
2008-04-13 01:18 . 2008-04-13 01:18 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GlarySoft
2008-04-13 00:41 . 1997-01-16 00:00 29,696 --a------ C:\WINDOWS\system32\VB5STKIT.DLL
2008-04-13 00:41 . 1997-01-16 13:42 6,114 --a------ C:\WINDOWS\system32\SHELLLNK.TLB
2008-04-12 20:31 . 2008-04-12 20:31 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\null
2008-04-12 16:36 . 2008-04-12 16:46 12,191 --a------ C:\WINDOWS\system32\CKRES.VDF
2008-04-12 16:36 . 2008-04-12 16:46 1,440 --a------ C:\WINDOWS\system32\CKSYS.VDF
2008-04-12 12:10 . 2008-04-12 16:26 161 --a------ C:\WINDOWS\system32\CielComponent.ini
2008-04-12 12:01 . 2008-04-12 12:01 753,664 --a------ C:\WINDOWS\system32\ifsrel.dll
2008-04-12 12:01 . 2002-10-29 10:35 663,552 --------- C:\WINDOWS\CielInfos.exe
2008-04-12 12:01 . 2003-06-13 15:27 360,448 --a------ C:\WINDOWS\system32\CielArchiver.dll
2008-04-12 12:01 . 2008-04-12 12:01 172,032 --a------ C:\WINDOWS\system32\portal.dll
2008-04-12 12:01 . 2008-04-12 12:01 69,632 --a------ C:\WINDOWS\system32\coface.dll
2008-04-12 11:31 . 2003-06-18 14:20 208,896 --a------ C:\WINDOWS\system32\CRun500.dll
2008-04-12 11:29 . 2008-04-12 11:48 <REP> d-------- C:\Program Files\Ciel e-Commerce
2008-04-06 20:46 . 2008-04-06 20:46 <REP> d-------- C:\Program Files\MSXML 4.0
2008-04-06 13:27 . 2008-04-06 13:27 8,224 --a------ C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2008-04-06 12:33 . 2008-04-06 12:41 <REP> d-------- C:\Program Files\Steinberg
2008-04-03 11:36 . 2008-04-03 11:36 244 --ah----- C:\sqmnoopt14.sqm
2008-04-03 11:36 . 2008-04-03 11:36 232 --ah----- C:\sqmdata14.sqm
2008-04-03 01:03 . 2008-04-03 01:03 244 --ah----- C:\sqmnoopt13.sqm
2008-04-03 01:03 . 2008-04-03 01:03 232 --ah----- C:\sqmdata13.sqm
2008-04-02 15:28 . 2008-04-02 15:28 244 --ah----- C:\sqmnoopt12.sqm
2008-04-02 15:28 . 2008-04-02 15:28 232 --ah----- C:\sqmdata12.sqm
2008-04-02 12:09 . 2008-04-02 12:09 244 --ah----- C:\sqmnoopt11.sqm
2008-04-02 12:09 . 2008-04-02 12:09 232 --ah----- C:\sqmdata11.sqm
2008-04-02 00:11 . 2008-04-02 00:11 244 --ah----- C:\sqmnoopt10.sqm
2008-04-02 00:11 . 2008-04-02 00:11 232 --ah----- C:\sqmdata10.sqm
2008-04-01 14:39 . 2008-04-01 14:39 268 --ah----- C:\sqmdata09.sqm
2008-04-01 14:39 . 2008-04-01 14:39 244 --ah----- C:\sqmnoopt09.sqm
2008-03-31 00:58 . 2008-03-31 00:58 244 --ah----- C:\sqmnoopt08.sqm
2008-03-31 00:58 . 2008-03-31 00:58 232 --ah----- C:\sqmdata08.sqm
2008-03-30 12:00 . 2008-03-30 12:00 244 --ah----- C:\sqmnoopt07.sqm
2008-03-30 12:00 . 2008-03-30 12:00 232 --ah----- C:\sqmdata07.sqm
2008-03-30 03:41 . 2008-03-30 03:41 244 --ah----- C:\sqmnoopt06.sqm
2008-03-30 03:41 . 2008-03-30 03:41 232 --ah----- C:\sqmdata06.sqm
2008-03-29 17:32 . 2008-03-29 17:32 244 --ah----- C:\sqmnoopt05.sqm
2008-03-29 17:32 . 2008-03-29 17:32 232 --ah----- C:\sqmdata05.sqm
2008-03-29 12:57 . 2008-03-29 12:57 244 --ah----- C:\sqmnoopt04.sqm
2008-03-29 12:57 . 2008-03-29 12:57 232 --ah----- C:\sqmdata04.sqm
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d-------- C:\WINDOWS\system32\windows media
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d-------- C:\Program Files\Windows Media Components
2008-03-29 02:05 . 2008-03-29 02:05 244 --ah----- C:\sqmnoopt03.sqm
2008-03-29 02:05 . 2008-03-29 02:05 232 --ah----- C:\sqmdata03.sqm
2008-03-28 14:59 . 2008-03-28 14:59 244 --ah----- C:\sqmnoopt02.sqm
2008-03-28 14:59 . 2008-03-28 14:59 232 --ah----- C:\sqmdata02.sqm
2008-03-28 14:35 . 2005-02-26 07:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-03-28 12:44 . 2008-03-28 12:44 <REP> d-------- C:\Program Files\Fichiers communs\Micro Application Shared
2008-03-28 10:58 . 2008-03-28 10:58 244 --ah----- C:\sqmnoopt01.sqm
2008-03-28 10:58 . 2008-03-28 10:58 232 --ah----- C:\sqmdata01.sqm
2008-03-28 10:26 . 2008-03-28 10:26 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\ALM
2008-03-28 02:46 . 2008-03-28 02:46 244 --ah----- C:\sqmnoopt00.sqm
2008-03-28 02:46 . 2008-03-28 02:46 232 --ah----- C:\sqmdata00.sqm
2008-03-28 02:35 . 2008-03-28 02:46 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\LogoMaker
2008-03-28 02:13 . 2008-03-28 02:24 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Download Manager
2008-03-20 03:06 . 2008-03-20 03:06 <REP> d-------- C:\Program Files\Fichiers communs\Stardock
2008-03-20 03:05 . 2008-03-20 04:13 163,712 --a------ C:\WINDOWS\system32\drivers\vidstub.sys
2008-03-18 00:56 . 2008-03-18 00:56 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Sony Corporation
2008-03-18 00:52 . 2006-11-02 17:57 118,520 --a------ C:\WINDOWS\system32\PxInsI64.exe
2008-03-18 00:52 . 2006-10-18 20:43 115,960 --a------ C:\WINDOWS\system32\PxCpyI64.exe
2008-03-18 00:44 . 2008-03-18 00:44 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\InstallShield
2008-03-16 15:31 . 2008-03-16 15:31 286,720 --------- C:\WINDOWS\Setup1.exe
2008-03-16 15:31 . 2008-03-16 15:31 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2008-03-15 13:49 . 2004-08-19 17:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-03-15 13:49 . 2004-08-19 17:09 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-03-15 13:49 . 2004-08-19 17:00 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-03-15 13:49 . 2004-08-19 17:00 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-03-15 13:49 . 2001-08-23 18:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-14 16:50 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab
2008-04-14 00:41 384,212 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-14 00:41 31,064,352 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-14 00:41 101,108 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-14 00:41 1,043,488 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-12 10:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-06 10:34 --------- d-----w C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Steinberg
2008-03-25 17:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\DVD Shrink
2008-03-21 22:38 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\WinZip
2008-03-21 00:00 238,000 ----a-w C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GDIPFONTCACHEV1.DAT
2008-03-04 17:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Bluetooth
2008-01-06 10:13 7,163 ----a-w C:\Program Files\INSTALL.LOG
2006-02-19 02:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((( snapshot@2008-04-14_ 2.07.33.51 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 00:03:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-14 16:49:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-03-02 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-10-30 15:10 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 15:09 249856]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"HP Software Update"="E:\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-12-04 13:34 406016]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2005-09-05 09:55 339968]
"Belgacom"="C:\Program Files\Belgacom\bin\sprtcmd.exe" [2006-06-22 10:34 192512]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 22:09 157592]
"Adobe Reader Speed Launcher"="E:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 13:51 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Contr“leur de calendrier Ulead.lnk - E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2007-11-13 01:21:11 69632]
D‚marrage rapide de HP Photosmart Premier.lnk - E:\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 08:56:20 73728]
HP Digital Imaging Monitor.lnk - E:\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22 288472]
InterVideo WinCinema Manager.lnk.disabled [2007-11-12 01:51:21 697]
Microsoft Office.lnk - E:\Microsoft Office\Office10\OSA.EXE [2001-02-13 12:01:04 83360]
Outil de mise … jour Google.lnk.disabled [2008-04-13 10:46:48 946]
WinZip Quick Pick.lnk - E:\WinZip\WZQKPICK.EXE [2007-08-03 12:10:00 394856]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcDsRJc]
ddcDsRJc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"mpfnjich"=C:\WINDOWS\system32\ydcbcnmh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe"=
"E:\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"E:\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"E:\\Microsoft Games\\Halo\\halo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 Vcs;Vcs support;C:\WINDOWS\system32\Drivers\Vcs.sys [2002-12-10 10:11]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-14 16:50:09 C:\WINDOWS\Tasks\GlaryInitialize.job"
- e:\Glary Utilities\initialize.exe
"2008-04-14 16:53:20 C:\WINDOWS\Tasks\User_Feed_Synchronization-{1F13D858-319E-4E0B-9508-8D9195F671F7}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 19:05:47
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-14 19:06:50
ComboFix-quarantined-files.txt 2008-04-14 17:06:47
ComboFix2.txt 2008-04-14 00:08:04

Pre-Run: 12,050,214,912 octets libres
Post-Run: 12,038,500,352 octets libres


__________________________________________________________________________________________
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008
>
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

et voila le log hijack avant rectification

_______________________________________________________________________________________
_Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:34, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\DAEMON Tools\daemon.exe
E:\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
E:\HP\Digital Imaging\bin\hpqtra08.exe
E:\WinZip\WZQKPICK.EXE
e:\Glary Utilities\Integrator.exe
E:\HP\Digital Imaging\bin\hpqimzone.exe
E:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] E:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = E:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://uniffacoworld.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: ddcDsRJc - ddcDsRJc.dll (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008
>
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

et le log hijack après rectification
______________________________________________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:33, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] E:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = E:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

re afideg, idem belge,oui kaspersky en a pour la nuit,en 2 heure il a scanné 5% a peine, donc je vais deja appliquer ce que tu me signale et laisser en kasper faire le fantome tout seul cette nuit , en tout cas je n'ai pas encore eu de fenetre pub ou avertissement intempestive jusque maintenant
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Re,

Laisse terminer Kaspersky avant d'attaquer la suite .
Parce que tu vas devoir arrêter le PC pour SmitfraudFix en Mode sans échec.


Merci
Al.
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

rapport smitfraudfix deja
__________________________________________________________________________________________
SmitFraudFix v2.314

Rapport fait à 23:38:57,40, 14/04/2008
Executé à partir de C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\eff.EFF-CF77F548B73


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\EFF~1.EFF\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


_____________________________________________________________________________________
et hop mode sans echec pour nettoyer
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Re,

Je m'attendais (j'espérais) à voir ceci:
C:\DOCUME~1\EFF~1.EFF\Bureau\Spyware?Malware Protection.url PRESENT !
C:\DOCUME~1\EFF~1.EFF\Favoris\Spyware?Malware Protection.url PRESENT !

Mais c'est quoi ceci eff.EFF-CF77F548B73

N'interromps pas Kaspersky.

;)
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

rapport smit mode sans echec apres nettoyage

SmitFraudFix v2.314

Rapport fait à 23:53:22,64, 14/04/2008
Executé à partir de C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



et pour ca"eff.EFF-CF77F548B73 " je vais regarder attend
salut afideg,
suite à une avertissement concernant abebot j'ai suivi tous tes conseils, j'ai l'impression que sa a fonctionné par contre qu'est ce que je fait de l'icône tristant sur mon bureau est ce que je peut l'effacé merci.
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

eff.EFF-CF77F548B73 c'est un dossier ou se trouve favoris documents recents etc etc , comme le dossier administrateur, all users, etc,default users , j'en ai neuf, de noms differents et tous ont un tit quelque chose dans leurs dossier, me demande pas pourquoi , j'ai jamais eu la reponse mais jme demande si c'est pas a cause de disque dur externe etc etc
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

re afideg , voila le 1er rapport virustotal pour setup1.exe
_________________________________________________________________________________________
Fichier Setup1.exe reçu le 2008.04.15 00:33:24 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.15.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 -
Authentium 4.93.8 2008.04.14 -
Avast 4.8.1169.0 2008.04.14 -
AVG 7.5.0.516 2008.04.14 -
BitDefender 7.2 2008.04.14 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.15 -
DrWeb 4.44.0.09170 2008.04.14 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5699 2008.04.14 -
Ewido 4.0 2008.04.14 -
F-Prot 4.4.2.54 2008.04.14 -
F-Secure 6.70.13260.0 2008.04.15 -
FileAdvisor 1 2008.04.15 -
Fortinet 3.14.0.0 2008.04.14 -
Ikarus T3.1.1.26 2008.04.14 -
Kaspersky 7.0.0.125 2008.04.15 -
McAfee 5273 2008.04.14 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3026 2008.04.14 -
Norman 5.80.02 2008.04.14 -
Panda 9.0.0.4 2008.04.14 -
Prevx1 V2 2008.04.15 -
Rising 20.40.02.00 2008.04.14 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.14 -
TheHacker 6.2.92.277 2008.04.14 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.14 -
Webwasher-Gateway 6.6.2 2008.04.14 -

Information additionnelle
File size: 286720 bytes
MD5...: e40041e0ca436c712332edaa9db7df08
SHA1..: deb8ead922f4f1acbadebf0db998f6ba2dc53db0
SHA256: 6a15b76e1526e1fd6ebaecacc59c3e954d0feb0b566c81538ea6dad2edcffe16
SHA512: 1111be364c3d81dc919d1e7ba7bd141cda6555844d889f00a2b2cb0ee5c19bd0<BR>b122ae4b574a3cdfa268668eebec43fa265b44e1b8fa28faaa335824647b8bc2
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x403ea0<BR>timedatestamp.....: 0x358c54e7 (Sun Jun 21 00:33:43 1998)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x3d7e0 0x3e000 6.02 bb300a203cd66e00982fd611b38c233b<BR>.data 0x3f000 0x54c8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110<BR>.rsrc 0x45000 0x5948 0x6000 3.37 8ebf3f5e1072a20eae63c58aa0d91ab2<BR><BR>( 1 imports ) <BR>> MSVBVM60.DLL: __vbaVarTextTstLe, __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLineInputStr, __vbaGosubReturn, -, __vbaStrVarMove, __vbaLenBstr, -, -, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaCopyBytes, __vbaResume, __vbaStrCat, __vbaLsetFixstr, -, __vbaVarTextTstEq, __vbaSetSystemError, __vbaRecDestruct, __vbaNameFile, __vbaHresultCheckObj, __vbaLenVar, _adj_fdiv_m32, -, __vbaAryDestruct, __vbaLateMemSt, -, __vbaForEachCollObj, __vbaBoolStr, __vbaExitProc, __vbaFileCloseAll, -, __vbaCyAdd, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaStrFixstr, __vbaBoolVar, -, __vbaForEachCollVar, __vbaStrTextCmp, -, __vbaBoolVarNull, _CIsin, -, __vbaErase, __vbaVarCmpGt, __vbaLateMemStAd, __vbaNextEachCollObj, -, -, __vbaVarZero, __vbaChkstk, __vbaGosubFree, __vbaFileClose, -, EVENT_SINK_AddRef, -, -, __vbaGenerateBoundsError, __vbaStrCmp, __vbaCyI2, -, __vbaCyI4, __vbaObjVar, __vbaNextEachCollVar, __vbaPrintObj, __vbaI2I4, DllFunctionCall, __vbaVarOr, __vbaVarLateMemSt, __vbaLbound, __vbaRedimPreserve, _adj_fpatan, __vbaR4Var, __vbaLateIdCallLd, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, __vbaVarTextTstNe, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaFpCmpCy, __vbaVarTextCmpEq, __vbaVarMul, __vbaExceptHandler, __vbaPrintFile, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, __vbaGosub, -, __vbaI2Str, __vbaVarDiv, -, -, -, __vbaFPException, __vbaInStrVar, -, -, __vbaStrVarVal, __vbaUbound, -, -, __vbaVarCat, __vbaDateVar, __vbaI2Var, -, -, -, _CIlog, -, __vbaErrorOverflow, __vbaFileOpen, -, -, __vbaInStr, __vbaNew2, -, __vbaCyMulI2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, -, __vbaDerefAry1, __vbaVarTextTstGt, _adj_fdivr_m32, __vbaPowerR8, -, _adj_fdiv_r, -, -, -, -, __vbaI4Var, __vbaAryLock, __vbaLateMemCall, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, -, __vbaFpI2, -, __vbaFpI4, __vbaVarCopy, __vbaVarLateMemCallLd, -, __vbaLateMemCallLd, _CIatan, -, __vbaStrMove, __vbaCastObj, __vbaStrVarCopy, -, -, _allmul, __vbaLenVarB, __vbaLateIdSt, -, __vbaVarTextCmpNe, _CItan, -, __vbaAryUnlock, __vbaFPInt, _CIexp, __vbaMidStmtBstr, -, __vbaFreeStr, __vbaFreeObj, -<BR><BR>( 0 exports ) <BR>



j'y vais pour le second
Messages postés
61
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
19 avril 2008

et le second
___________________________________________________________________________________________
Fichier ST6UNST.EXE reçu le 2008.04.15 00:53:54 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.15.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 -
Authentium 4.93.8 2008.04.14 -
Avast 4.8.1169.0 2008.04.14 -
AVG 7.5.0.516 2008.04.14 -
BitDefender 7.2 2008.04.14 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.15 -
DrWeb 4.44.0.09170 2008.04.14 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5699 2008.04.14 -
Ewido 4.0 2008.04.14 -
F-Prot 4.4.2.54 2008.04.14 -
F-Secure 6.70.13260.0 2008.04.15 -
FileAdvisor 1 2008.04.15 -
Fortinet 3.14.0.0 2008.04.14 -
Ikarus T3.1.1.26 2008.04.14 -
Kaspersky 7.0.0.125 2008.04.15 -
McAfee 5273 2008.04.14 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3026 2008.04.14 -
Norman 5.80.02 2008.04.14 -
Panda 9.0.0.4 2008.04.14 -
Prevx1 V2 2008.04.15 -
Rising 20.40.02.00 2008.04.14 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.14 -
TheHacker 6.2.92.277 2008.04.14 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.14 -
Webwasher-Gateway 6.6.2 2008.04.14 -

Information additionnelle
File size: 73216 bytes
MD5...: 996f83e516552ca3b51445bb994a6d38
SHA1..: 56fc6ba49195dedf735e6ce1b03ab36d72334f66
SHA256: 7e60c894a8cead6880fd3ed040504d02304a0b961304e40741340e31f5fa973d
SHA512: 5868100fdb274dbad44ea0996aa4ed0a930cce5c61ce55631869bd19ee09feb8<BR>a957bf2a4a87ba563f48bb65807dae5b2363c042d451843e9598b10f6c334d2f
PEiD..: InstallShield 2000
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x4080c0<BR>timedatestamp.....: 0x35895e6d (Thu Jun 18 18:37:33 1998)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0xa9f5 0xaa00 6.38 be72f98a15ebe8bc983139a077df8032<BR>.rdata 0xc000 0x1a52 0x1c00 5.15 c86d8eb1bd161433edaebb9900da49ad<BR>.data 0xe000 0x4678 0x2e00 1.72 be105b956c09e423dbd672cd44ddc0ba<BR>.rsrc 0x13000 0x24e0 0x2600 3.54 362a8a318293fe1f63a341f5db7fe423<BR><BR>( 7 imports ) <BR>> KERNEL32.dll: CreateFileA, ReadFile, LocalFree, SetFilePointer, LocalAlloc, GlobalDeleteAtom, Sleep, GlobalAddAtomA, GlobalFree, GlobalAlloc, IsDBCSLeadByte, GlobalLock, GlobalFindAtomA, CompareStringA, WideCharToMultiByte, WriteFile, CloseHandle, GetWindowsDirectoryA, OpenProcess, GetVersion, FreeLibrary, RemoveDirectoryA, GetLastError, DeleteFileA, FindFirstFileA, FindClose, lstrlenA, lstrcpyA, lstrcatA, lstrcmpA, lstrcpynA, MultiByteToWideChar, CreateProcessA, WaitForSingleObject, SetErrorMode, GetCurrentDirectoryA, OutputDebugStringA, LoadLibraryA, GetProcAddress, GetFileAttributesA, GlobalUnlock, VirtualAlloc, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, IsBadCodePtr, FreeEnvironmentStringsW, FreeEnvironmentStringsA, lstrcmpiA, GetModuleFileNameA, UnhandledExceptionFilter, GetOEMCP, GetACP, GetCPInfo, HeapAlloc, HeapFree, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, GetCurrentProcess, TerminateProcess, ExitProcess, SetCurrentDirectoryA, SetEnvironmentVariableA, RtlUnwind, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW<BR>> USER32.dll: PackDDElParam, SendMessageA, DispatchMessageA, DefWindowProcA, CharNextA, DestroyWindow, UnregisterClassA, CreateWindowExA, RegisterClassA, wsprintfA, UnpackDDElParam, LoadStringA, LoadIconA, LoadCursorA, MessageBoxA, wvsprintfA, TranslateMessage, GetMessageA, SetCursor, ShowCursor, SetDlgItemTextA, SetWindowLongA, EndDialog, GetDlgItem, SetFocus, DialogBoxParamA, UpdateWindow, SetWindowTextA, InvalidateRect, CharUpperA, CharPrevA, BeginPaint, GetClientRect, DrawTextA, SetRect, EndPaint, PostQuitMessage, GetSystemMenu, EnableMenuItem, CreateDialogParamA, GetWindowRect, GetSystemMetrics, SetWindowPos, ShowWindow, PostMessageA, PeekMessageA, FillRect, SetClassLongA<BR>> GDI32.dll: CreateSolidBrush, SetROP2, Rectangle, SelectObject, SetTextColor, SetBkMode, GetStockObject, GetTextMetricsA, ExtTextOutA, CreateFontIndirectA, DeleteObject<BR>> ADVAPI32.dll: RegOpenKeyA, RegEnumValueA, RegEnumKeyA, RegDeleteKeyA, RegCloseKey, RegDeleteValueA, RegQueryValueExA, RegSetValueExA, RegCreateKeyA<BR>> SHELL32.dll: SHGetMalloc, SHGetSpecialFolderLocation, SHGetPathFromIDListA<BR>> ole32.dll: OleInitialize, OleUninitialize<BR>> OLEAUT32.dll: -<BR><BR>( 0 exports ) <BR>



___________________________________________________________________________________________
tous deux negatifs je pense
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
26 avril 2021
599
Re,

Merci pour l'analyse de ces deux fichiers chez VirusTotal.

Passe aux deux autres avec OAD (merci)


« Laisse terminer Kaspersky avant d'attaquer la suite .
Parce que tu vas devoir arrêter le PC pour SmitfraudFix en Mode sans échec.
»

Comment as-tu lancé le MSE sans interrompre le Scan Kaspersky en cours ?