TR vundo gen

Résolu
poisson01 Messages postés 27 Statut Membre -  
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Bonjour,
j'ai été infecté par le TR/Vundo.Gen et Is the trojan horse TR/Vundo.Gen et Is the trojan horse TR/PCK Monder.88128.1 et Is the trojan horse TR/Vundo et Is the trojan horse TR/Agent3648.1 et enfin Is the trojan horse TR/PCK Monder.83520
J'ai fait un "scan for vundo" comme me la conseillé un ami mais au redémarrage de l'ordi antivir me les retrouve encore. je ne sais pas trop quoi faire, d'autant que je n'y connais pas grand choses... Merci de m'expliquer avec des mots pas trop compliqués la marche à suivre pour m'en débarrasser.

Je vous en serais éternellement reconnaissant
Configuration: Windows XP professionnel version 2002 service pack 1
Internet

44 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection par des trojans Vundo (TR/Vundo.Gen et TR/PCK Monder.88128.1 et TR/Agent3648.1) est détectée malgré un scan répété et un redémarrage sur un système Windows XP. Pour y remédier, plusieurs outils et méthodes sont proposés: VundoFix, HijackThis, ComboFix, et VirtumundoBeGone, accompagnés de rapports HijackThis et de déconnexion du net lors des manipulations. Des précautions et étapes sélectives sont indiquées, notamment lancer les outils dans l'ordre, désactiver temporairement l'antivirus, puis redémarrer et poster les rapports pour évaluer l'évolution et les éventuels restes. Une complexité persiste, car les diagnostics impliquent des éléments de démarrage et des composants système variés, d'où l'importance de suivre une procédure adaptée et de vérifier l'absence d'exécutables et de modules malveillants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut Funny girl ;-)

    antivir me les retrouve encore Dons Avira est opérationnel, ce n'est pas du Bagle .

    Commence par un rapport HJT ( renommé ) , suivi de Vundofix et Virtumonde....

    @+ ;-)
    2
  2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Allez, je me permet de poster les speach de ^^Marie^^

    Ensuite je te laisse la main ;-)))

    Hijackthis - Outil de diagnostic et réparation
    télécharge HijackThis ici:
    http://telechargement.zebulon.fr/138-hijackthis-1991.html
    https://kerio.probb.fr/
    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Fais un clic droit sur l'icone Hijackthis
    http://www.cijoint.fr/cjlink.php?file=cj200803/cij5499182416009.jpg
    Clic droit > choisis "renommer" marque (tu écris) : ccm.exe
    http://www.cijoint.fr/cjlink.php?file=cj200803/cij7468165006040.jpg
    ( ou : Clic droit sur démarrer > clic explorer > c:\ > program files > double clic sur " Trend micro "
    > clic droit sur Hijack > renommer > et nomme ccm ) !

    Ensuite, relance le
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    http://www.tutoriaux-excalibur.com/hijackthis.htm
    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Ensuite

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4

    * Double-clique VundoFix.exe afin de le lancer.
    * Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
    * Clique sur le bouton Scan for Vundo.
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    * Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
    * Démarre ton PC à nouveau.
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt

    Télécharge VirtumundoBegone sur le bureau:
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
    Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse

    ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

    Bon courage

    A+
    1
    1. Utilisateur anonyme
       
      bienvenue à toi et ^^Marie^^ mode off ^^

      bises
      0
  3. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Attention, cette manip est faite pour ce cas précis !
    Toute réutilisation pour un autre ordinateur est susceptible d'endommager gravement le système
    .


    on reprend
    ComboFix avec CFScript :

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

    file::

    C:\WINDOWS\System32\pmkjh.dll
    C:\WINDOWS\System32\iwjijxwg.dll

    registry::

    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F2B2726-1188-4F43-BE6F-B0825AC1F5FF}]

    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b1d61330-4143-4451-8bfe-35a956cb5ee9}]


    Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau )
    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    * Reactive ton Antivirus avant de te reconnecter...
    * Poste aussi un nouveau rapport Hijackthis stp et dis moi si tu constates des améliorations ...

    @+

    1
  4. Utilisateur anonyme
     
    salut

    Rends toi sur ce site :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    tout en bas de cette page tu trouveras un outil
    à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le bureau.
    ensuite double-clic sur Elibagla.exe
    >laisse la case "eliminar ficheros automaticamente" coché
    >clique sur"explorar"
    >laisse-le travailler
    >poste le rapport final qui sera dans c:\infosat.txt

    Si, dans le rapport, tu vois un texte semblable à celui-ci

    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
    a "virus@satinfo.es". Gracias;

    envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

    L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

    bises
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. poisson01 Messages postés 27 Statut Membre
     
    je vois ou est le dossier infosat (mais il n'y a pas le ".txt" à la fin est ce un problème?
    comment fait on pour poster le rapport final?

    merci
    0
    1. Utilisateur anonyme
       
      tu le poste ici également
      0
      1. poisson01 Messages postés 27 Statut Membre > Utilisateur anonyme
         
        Wed Apr 16 22:00:22 2008
        EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
        ----------------------------------------------
        Lista de Acciones (por Acción Directa):

        Wed Apr 16 22:00:43 2008
        EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
        ----------------------------------------------
        Lista de Acciones (por Exploración):
        Explorando Unidad C:\

        Nº Total de Directorios: 2328
        Nº Total de Ficheros: 140625
        Nº de Ficheros Analizados: 6022
        Nº de Ficheros Infectados: 0
        Nº de Ficheros Limpiados: 0

        bonjour, j'ai fait copier/coller; c'est byzarre non il ne trouve aucun fichiers infecté pourtant pour que mon ordi ouvre les fenêtres voulu je met en quarantaine un virus à chaque fois... C'est long. Je ne sais pas si ca à un rapport mais de temps en temps j'ai une fenêtre qui me dit que browser.txt (je crois) ne va pas bien et qu 'il faut envoyer un rapport a microsoft je met "ne pas envoyer" et puis c'est fini ! je nage comme un poisson dans l'eau...
        0
  7. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Comment çà mode off ??

    Ensuite je te laisse la main ;-)))

    Allez, au boulot ;-p

    @+
    0
  8. poisson01 Messages postés 27 Statut Membre
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:56:33, on 17/04/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Orange\Systray\SystrayApp.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
    C:\Program Files\Orange\Launcher\Launcher.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Orange\Deskboard\deskboard.exe
    C:\Program Files\Orange\connectivity\connectivitymanager.exe
    C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
    C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Orange\browser\browser.exe
    C:\ccm.exe\HijackThis.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
    O2 - BHO: (no name) - {22342B44-5B98-4B30-9D53-C182AD8DF217} - C:\WINDOWS\System32\tuvusqr.dll
    O2 - BHO: (no name) - {2F2B2726-1188-4F43-BE6F-B0825AC1F5FF} - C:\WINDOWS\System32\pmkjh.dll (file missing)
    O2 - BHO: (no name) - {3C2D64E8-865C-4999-A39A-1177A1FE2811} - C:\WINDOWS\System32\awtqr.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: {9ee5bc65-9a53-efb8-1544-341403316d1b} - {b1d61330-4143-4451-8bfe-35a956cb5ee9} - C:\WINDOWS\System32\iwjijxwg.dll (file missing)
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
    O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [bm] "C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" dm=https://avsystemcare.com/ ad=https://avsystemcare.com/ sd=http://gregistre.avsystemcare.com
    O4 - HKLM\..\Run: [ptask] C:\Program Files\AVSystemCare\ptask.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe /min
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O15 - Trusted Zone: https://www.orange.fr/portail
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O20 - Winlogon Notify: tuvusqr - C:\WINDOWS\SYSTEM32\tuvusqr.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  9. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut !

    C'est bien du vundo....

    Fais la suite stp...

    @+
    0
  10. poisson01 Messages postés 27 Statut Membre
     
    après avoir réglé ce problème je me pencherais un peu plus sur le fonctionnement de ce site...

    Jai fait le scan for vundo et il ne m'a rien trouvé je n'ai pas d'icone remove vundo moi j'ai fix vundo est ce la même?
    0
  11. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Tu as bien ces fenetres ?
    http://img57.imageshack.us/img57/7814/capture02md7.jpg

    Comment ça il n'y a pas de vundo ?
    O2 - BHO: (no name) - {22342B44-5B98-4B30-9D53-C182AD8DF217} - C:\WINDOWS\System32\tuvusqr.dll
    http://www.castlecops.com/tk42766-random_filename.html

    On passe a la vitesse supérieure...

    Télécharge Combofix à partir d'un de ces liens :

    ComboFix bleepingcomputer
    ComboFix forospyware
    Et important, enregistre le sur le bureau.

    Si ton antivirus te signale un trojan , risktools ou quoi que ce soit, il faut choisir ignorer car c'est une erreur de detection.
    Il detecte en fait un composant de l'outil de nettoyage.

    Avant d'utiliser ComboFix :
    Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
    Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. /!\

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt

    -Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    - Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    Regarde ce Tutoriel si besoin.

    @+
    0
    1. poisson01 Messages postés 27 Statut Membre
       
      bon j'ai à peu près compris, pour vundo c'est la version vundofixV7.0.3 c'est sur un fond bleu.
      Si j'ai bien compris le 02 HBO... est un virus et c'est vrai qu il ne revient plus en détection, il reste le C:/WINDOWS/Systeme32/awtqr.dll

      Pour antivir c'est ok mais c'est quoi un anti spyware, je ne sais pas si j'en ai ou pas...

      Merci pour tes conseils et ta patience jusqu'à maintenant
      0
  12. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    c'est quoi un anti spyware, je ne sais pas si j'en ai ou pas...


    Tu n'en as pas...

    Fais combofix...

    @+
    0
    1. poisson01 Messages postés 27 Statut Membre
       
      reprise du combat après le repas... je ne trouve pas comment désactiver antivir. J'essaye de fermer le paraplui rouge de l'icone sur la barre en bas mais les détections continuent à arriver.
      Jai bien le mode d'emploi en francais mais il ne parle pas de la désactivation
      Je m'excuse encore pour le dérangement occasionné
      0
  13. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Une fois que tu as téléchargé combofix, tu te déconnecte du net ( tu quittes IE ) et tu clic droit sur le parapluie, et ensuite, tu clique sur sur " ANTIVIR GUARD ENABLE "
    Le parasol se fermera...

    @+
    0
  14. poisson01 Messages postés 27 Statut Membre
     
    voici le rapport de combo, je n'ai pas eu de détection à l'ouverture du pc, le rapport hyjack arrive...

    ComboFix 08-04-16.5 - Administrateur 2008-04-17 22:03:11.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.1672 [GMT 1:00]
    Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\Administrateur\Application Data\AVSystemCare
    C:\Documents and Settings\Administrateur\Application Data\AVSystemCare\Logs\threats.log
    C:\Documents and Settings\Administrateur\Application Data\AVSystemCare\Logs\update.log
    C:\WINDOWS\Downloaded Program Files\UGA6PV_0001_N122M1202NetInstaller.exe
    C:\WINDOWS\system32\arqilvgn.dll
    C:\WINDOWS\system32\awtqr.dll
    C:\WINDOWS\system32\eolcehaf.dll
    C:\WINDOWS\system32\fwdhpbiw.dll
    C:\WINDOWS\system32\haxocbvk.dll
    C:\WINDOWS\system32\hbrcbylc.ini
    C:\WINDOWS\system32\hifbttfa.dll
    C:\WINDOWS\system32\hqlegoxb.dll
    C:\WINDOWS\system32\igfhprus.dll
    C:\WINDOWS\system32\khfjnhdl.dll
    C:\WINDOWS\system32\kililimx.dll
    C:\WINDOWS\system32\lbjblxvs.dll
    C:\WINDOWS\system32\mbbngirq.dll
    C:\WINDOWS\system32\nahfsrdb.dll
    C:\WINDOWS\system32\oegmemfr.ini
    C:\WINDOWS\system32\ogspbpja.ini
    C:\WINDOWS\system32\qrignbbm.ini
    C:\WINDOWS\system32\rjndphjd.dll
    C:\WINDOWS\system32\rqtwa.ini
    C:\WINDOWS\system32\rqtwa.ini2
    C:\WINDOWS\system32\syavhstu.dll
    C:\WINDOWS\system32\tuvusqr.dll
    C:\WINDOWS\system32\wmndciuk.dll
    C:\WINDOWS\system32\xppwwmfq.dll
    .
    ---- Previous Run -------
    .
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\mcrh.tmp

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-17 to 2008-04-17 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-17 17:52 . 2008-04-17 17:56 <REP> d-------- C:\ccm.exe
    2008-04-16 16:52 . 2008-04-16 16:52 <REP> d-------- C:\Program Files\MSN Messenger
    2008-04-14 16:59 . 2008-04-17 18:03 <REP> d-------- C:\VundoFix Backups
    2008-04-01 17:59 . 2008-04-01 17:59 10,752 --ahs---- C:\WINDOWS\Thumbs.db
    2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Program Files\Avira
    2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-03-25 21:53 . 2008-03-26 16:58 1,491,277 ---hs---- C:\WINDOWS\system32\xpalatne.ini
    2008-03-24 20:06 . 2008-03-25 21:48 1,547,285 ---hs---- C:\WINDOWS\system32\emfkrwkh.ini
    2008-03-20 21:46 . 2008-03-24 20:01 1,502,561 ---hs---- C:\WINDOWS\system32\crnfuthl.ini
    2008-03-20 20:46 . 2008-03-20 20:46 1,465,028 ---hs---- C:\WINDOWS\system32\mxojhmch.ini
    2008-03-19 20:23 . 2008-03-20 20:37 1,484,104 ---hs---- C:\WINDOWS\system32\odtkmyoh.ini
    2008-03-18 20:25 . 2008-03-19 17:47 1,428,030 ---hs---- C:\WINDOWS\system32\hkgjxwwa.ini
    2008-03-17 20:15 . 2008-03-18 20:16 1,968,390 ---hs---- C:\WINDOWS\system32\qbnpqhnm.ini

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-17 21:08 --------- d-----w C:\Program Files\Steam
    2008-03-16 19:41 99,904 ----a-w C:\WINDOWS\system32\iffpmikh.dll
    2008-03-16 19:36 95,296 ----a-w C:\WINDOWS\system32\umamaupj.dll
    2008-03-16 19:20 99,904 ----a-w C:\WINDOWS\system32\jedeokrg.dll
    2008-03-16 19:14 95,296 ----a-w C:\WINDOWS\system32\pfiifaor.dll
    2008-03-15 09:02 98,368 ----a-w C:\WINDOWS\system32\pmbklebx.dll
    2008-03-15 08:53 96,832 ----a-w C:\WINDOWS\system32\bxcsykxy.dll
    2008-03-11 16:42 --------- d-----w C:\Program Files\MSN Toolbar
    2008-03-10 17:42 --------- d-----w C:\Program Files\MSN Apps
    2008-03-06 20:35 --------- d-----r C:\Documents and Settings\All Users\Application Data\SalesMon
    2008-03-05 18:13 17,929,072 ----a-w C:\Install_Messenger.exe
    2008-02-25 18:01 --------- d-----w C:\Program Files\Alwil Software
    2008-02-23 13:31 --------- d-----w C:\Program Files\Orange
    2008-02-23 13:30 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
    2008-02-23 13:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-02-23 13:24 --------- d-----w C:\Program Files\Securitoo
    2008-02-23 13:24 --------- d-----w C:\Program Files\SAGEM
    2008-02-23 13:24 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\InstallShield
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F2B2726-1188-4F43-BE6F-B0825AC1F5FF}]
    C:\WINDOWS\System32\pmkjh.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b1d61330-4143-4451-8bfe-35a956cb5ee9}]
    C:\WINDOWS\System32\iwjijxwg.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Steam"="C:\Program Files\Steam\Steam.exe" [2008-03-30 18:50 1271032]
    "AVSystemCare"="C:\Program Files\AVSystemCare\pgs.exe" [ ]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-06-14 17:05 6856704]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2007-06-13 07:49 16377344 C:\WINDOWS\RTHDCPL.exe]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 19:37 69216]
    "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
    "SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 21:08 94208]
    "ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 20:10 102400]
    "QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-02-25 21:04 385024]
    "bm"="C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" [ ]
    "ptask"="C:\Program Files\AVSystemCare\ptask.exe" [ ]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-26 19:50 249896]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 15:22]
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 14:04]

    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-17 22:08:33
    Windows 5.1.2600 Service Pack 1 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0[/u]\FTRTSVC.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\[u]0[/u]\AlertModule.exe
    C:\Program Files\Orange\Launcher\Launcher.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-04-17 22:09:26 - machine was rebooted [Administrateur]
    ComboFix-quarantined-files.txt 2008-04-17 21:09:24

    Pre-Run: 28,834,955,264 octets libres
    Post-Run: 31,698,075,648 octets libres
    0
  15. poisson01 Messages postés 27 Statut Membre
     
    et voici le rapport hyjack, c'est dingue comment tu/ vous faites pour vous y retrouver dans tout ce fourbi. Ca m'imperssionne !!! Une dernière question est ce que je garde toute les fonction hyjack, vundo,combo, elbalia...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:15, on 17/04/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Orange\Systray\SystrayApp.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
    C:\Program Files\Orange\Launcher\Launcher.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Orange\Deskboard\deskboard.exe
    C:\Program Files\Orange\connectivity\connectivitymanager.exe
    C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
    C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
    C:\Program Files\Orange\browser\browser.exe
    C:\ccm.exe\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
    O2 - BHO: (no name) - {2F2B2726-1188-4F43-BE6F-B0825AC1F5FF} - C:\WINDOWS\System32\pmkjh.dll (file missing)
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: {9ee5bc65-9a53-efb8-1544-341403316d1b} - {b1d61330-4143-4451-8bfe-35a956cb5ee9} - C:\WINDOWS\System32\iwjijxwg.dll (file missing)
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
    O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [bm] "C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" dm=https://avsystemcare.com/ ad=https://avsystemcare.com/ sd=http://gregistre.avsystemcare.com
    O4 - HKLM\..\Run: [ptask] C:\Program Files\AVSystemCare\ptask.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe /min
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O15 - Trusted Zone: https://www.orange.fr/portail
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  16. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Une dernière question est ce que je garde toute les fonction hyjack, vundo,combo, elbalia...

    ce n'est pas fini ( même si combo a supprimé plein de K K ...)
    On verra a la fin...

    je regarde ça en détail...

    @+
    0
  17. poisson01 Messages postés 27 Statut Membre
     
    j'ai crée le document texte "CFScript" et je l'ai glissé sur le combo qui a lancé la même recherche que celle que j'ai faite auparavant. J'ai du louper un truc mais je sais pas où en tout cas j'ai bien suivi ce que tu m'as marqué mais il n'y a pas eu de choix 1 à prendre. Voici quand meme le rapport

    ComboFix 08-04-16.5 - Administrateur 2008-04-17 22:49:31.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.1677 [GMT 1:00]
    Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\WINDOWS\System32\iwjijxwg.dll
    C:\WINDOWS\System32\pmkjh.dll
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-03-17 to 2008-04-17 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-17 17:52 . 2008-04-17 22:15 <REP> d-------- C:\ccm.exe
    2008-04-16 16:52 . 2008-04-16 16:52 <REP> d-------- C:\Program Files\MSN Messenger
    2008-04-14 16:59 . 2008-04-17 18:03 <REP> d-------- C:\VundoFix Backups
    2008-04-01 17:59 . 2008-04-01 17:59 10,752 --ahs---- C:\WINDOWS\Thumbs.db
    2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Program Files\Avira
    2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-03-25 21:53 . 2008-03-26 16:58 1,491,277 ---hs---- C:\WINDOWS\system32\xpalatne.ini
    2008-03-24 20:06 . 2008-03-25 21:48 1,547,285 ---hs---- C:\WINDOWS\system32\emfkrwkh.ini
    2008-03-20 21:46 . 2008-03-24 20:01 1,502,561 ---hs---- C:\WINDOWS\system32\crnfuthl.ini
    2008-03-20 20:46 . 2008-03-20 20:46 1,465,028 ---hs---- C:\WINDOWS\system32\mxojhmch.ini
    2008-03-19 20:23 . 2008-03-20 20:37 1,484,104 ---hs---- C:\WINDOWS\system32\odtkmyoh.ini
    2008-03-18 20:25 . 2008-03-19 17:47 1,428,030 ---hs---- C:\WINDOWS\system32\hkgjxwwa.ini
    2008-03-17 20:15 . 2008-03-18 20:16 1,968,390 ---hs---- C:\WINDOWS\system32\qbnpqhnm.ini

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-17 21:08 --------- d-----w C:\Program Files\Steam
    2008-03-16 19:41 99,904 ----a-w C:\WINDOWS\system32\iffpmikh.dll
    2008-03-16 19:36 95,296 ----a-w C:\WINDOWS\system32\umamaupj.dll
    2008-03-16 19:20 99,904 ----a-w C:\WINDOWS\system32\jedeokrg.dll
    2008-03-16 19:14 95,296 ----a-w C:\WINDOWS\system32\pfiifaor.dll
    2008-03-15 09:02 98,368 ----a-w C:\WINDOWS\system32\pmbklebx.dll
    2008-03-15 08:53 96,832 ----a-w C:\WINDOWS\system32\bxcsykxy.dll
    2008-03-11 16:42 --------- d-----w C:\Program Files\MSN Toolbar
    2008-03-10 17:42 --------- d-----w C:\Program Files\MSN Apps
    2008-03-06 20:35 --------- d-----r C:\Documents and Settings\All Users\Application Data\SalesMon
    2008-03-05 18:13 17,929,072 ----a-w C:\Install_Messenger.exe
    2008-02-25 18:01 --------- d-----w C:\Program Files\Alwil Software
    2008-02-23 13:31 --------- d-----w C:\Program Files\Orange
    2008-02-23 13:30 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
    2008-02-23 13:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-02-23 13:24 --------- d-----w C:\Program Files\Securitoo
    2008-02-23 13:24 --------- d-----w C:\Program Files\SAGEM
    2008-02-23 13:24 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\InstallShield
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Steam"="C:\Program Files\Steam\Steam.exe" [2008-03-30 18:50 1271032]
    "AVSystemCare"="C:\Program Files\AVSystemCare\pgs.exe" [ ]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-06-14 17:05 6856704]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2007-06-13 07:49 16377344 C:\WINDOWS\RTHDCPL.exe]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 19:37 69216]
    "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
    "SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 21:08 94208]
    "ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 20:10 102400]
    "QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-02-25 21:04 385024]
    "bm"="C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" [ ]
    "ptask"="C:\Program Files\AVSystemCare\ptask.exe" [ ]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-26 19:50 249896]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 15:22]
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 14:04]

    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-17 22:49:57
    Windows 5.1.2600 Service Pack 1 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-04-17 22:50:13
    ComboFix-quarantined-files.txt 2008-04-17 21:50:10
    ComboFix2.txt 2008-04-17 21:09:27

    Pre-Run: 31,658,340,352 octets libres
    Post-Run: 31,661,129,728 octets libres
    0
  18. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    on reprend
    ComboFix avec CFScript :

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

    file::

    C:\WINDOWS\system32\xpalatne.ini
    C:\WINDOWS\system32\emfkrwkh.ini
    C:\WINDOWS\system32\crnfuthl.ini
    C:\WINDOWS\system32\mxojhmch.ini
    C:\WINDOWS\system32\odtkmyoh.ini
    C:\WINDOWS\system32\hkgjxwwa.ini
    C:\WINDOWS\system32\qbnpqhnm.ini

    registry::

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "bm"=-
    "ptask"=-


    Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau )
    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    * Reactive ton Antivirus avant de te reconnecter...
    * Poste aussi un nouveau rapport Hijackthis stp et dis moi si tu constates des améliorations ...

    @+
    0
  19. poisson01 Messages postés 27 Statut Membre
     
    bonjour désolé pour hier j'étais crevé et je me suis endormi dans le fauteuil en attendant... Mais me voici, donc c'est la meme situation qu'avant j'ai bien fait glisser le doc texte et il ne me pose pas de choix c'est soit oui soit non et après combo lance l'analyse il a supprimé 5 ou 6 fichiers puis il a lancé les étapes voici le rapport. Donc on continu par messagerie personnelle? y a t il un lien : je ne peux plus envoyer de message par ma messagerie orange
    voici le rapport de combo

    ComboFix 08-04-16.5 - Administrateur 2008-04-18 12:43:11.4 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.1687 [GMT 1:00]
    Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\WINDOWS\system32\crnfuthl.ini
    C:\WINDOWS\system32\emfkrwkh.ini
    C:\WINDOWS\system32\hkgjxwwa.ini
    C:\WINDOWS\system32\mxojhmch.ini
    C:\WINDOWS\system32\odtkmyoh.ini
    C:\WINDOWS\system32\qbnpqhnm.ini
    C:\WINDOWS\system32\xpalatne.ini
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\crnfuthl.ini
    C:\WINDOWS\system32\emfkrwkh.ini
    C:\WINDOWS\system32\hkgjxwwa.ini
    C:\WINDOWS\system32\mxojhmch.ini
    C:\WINDOWS\system32\odtkmyoh.ini
    C:\WINDOWS\system32\qbnpqhnm.ini
    C:\WINDOWS\system32\xpalatne.ini

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-03-18 to 2008-04-18 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-17 17:52 . 2008-04-17 22:15 <REP> d-------- C:\ccm.exe
    2008-04-16 16:52 . 2008-04-16 16:52 <REP> d-------- C:\Program Files\MSN Messenger
    2008-04-14 16:59 . 2008-04-17 18:03 <REP> d-------- C:\VundoFix Backups
    2008-04-01 17:59 . 2008-04-01 17:59 10,752 --ahs---- C:\WINDOWS\Thumbs.db
    2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Program Files\Avira
    2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-18 11:06 --------- d-----w C:\Program Files\Steam
    2008-03-16 19:41 99,904 ----a-w C:\WINDOWS\system32\iffpmikh.dll
    2008-03-16 19:36 95,296 ----a-w C:\WINDOWS\system32\umamaupj.dll
    2008-03-16 19:20 99,904 ----a-w C:\WINDOWS\system32\jedeokrg.dll
    2008-03-16 19:14 95,296 ----a-w C:\WINDOWS\system32\pfiifaor.dll
    2008-03-15 09:02 98,368 ----a-w C:\WINDOWS\system32\pmbklebx.dll
    2008-03-15 08:53 96,832 ----a-w C:\WINDOWS\system32\bxcsykxy.dll
    2008-03-11 16:42 --------- d-----w C:\Program Files\MSN Toolbar
    2008-03-10 17:42 --------- d-----w C:\Program Files\MSN Apps
    2008-03-06 20:35 --------- d-----r C:\Documents and Settings\All Users\Application Data\SalesMon
    2008-03-05 18:13 17,929,072 ----a-w C:\Install_Messenger.exe
    2008-02-25 18:01 --------- d-----w C:\Program Files\Alwil Software
    2008-02-23 13:31 --------- d-----w C:\Program Files\Orange
    2008-02-23 13:30 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
    2008-02-23 13:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-02-23 13:24 --------- d-----w C:\Program Files\Securitoo
    2008-02-23 13:24 --------- d-----w C:\Program Files\SAGEM
    2008-02-23 13:24 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\InstallShield
    .

    ((((((((((((((((((((((((((((( snapshot@2008-04-17_22.09.17.35 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-04-17 21:08:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-04-18 11:06:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Steam"="C:\Program Files\Steam\Steam.exe" [2008-03-30 18:50 1271032]
    "AVSystemCare"="C:\Program Files\AVSystemCare\pgs.exe" [ ]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-06-14 17:05 6856704]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2007-06-13 07:49 16377344 C:\WINDOWS\RTHDCPL.exe]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 19:37 69216]
    "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
    "SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 21:08 94208]
    "ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 20:10 102400]
    "QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-02-25 21:04 385024]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-26 19:50 249896]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 15:22]
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 14:04]

    *Newly Created Service* - CATCHME
    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-18 12:43:50
    Windows 5.1.2600 Service Pack 1 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-04-18 12:44:08
    ComboFix-quarantined-files.txt 2008-04-18 11:44:06
    ComboFix2.txt 2008-04-17 21:50:14
    ComboFix3.txt 2008-04-17 21:09:27

    Pre-Run: 31,602,696,192 octets libres
    Post-Run: 31,608,324,096 octets libres
    0
  20. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    * Poste aussi un nouveau rapport Hijackthis stp et dis moi si tu constates des améliorations...


    Ou est t-il ??

    Donc on continu par messagerie personnelle? pourquoi ?
    Tu réussi bien a te connecter ici ? On continue ici stp...

    @+
    0
    1. poisson01
       
      Bonjour
      voici le rapport hijack, j'ai antivir qui m'a détécté un fois seulement le virus tr vundogen, sinon ca à l'air d'aller
      a+



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 10:13, on 20/04/2008
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\Program Files\Orange\Systray\SystrayApp.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\ccm.exe\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
      O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
      O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
      O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
      O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
      O4 - HKCU\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe /min
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      0
  21. poisson01 Messages postés 27 Statut Membre
     
    salut
    voila le rapport hyjack, par contre je vais devoir partir et le retour se fera tard alors on verra demain mais envoie quand meme tes conclusions et je m'en occuperais à la première heure demain.

    Merci et excuse pour les désagréments

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:01, on 18/04/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Orange\Systray\SystrayApp.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
    C:\Program Files\Orange\Launcher\Launcher.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Program Files\Orange\Deskboard\deskboard.exe
    C:\Program Files\Orange\connectivity\connectivitymanager.exe
    C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
    C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
    C:\Program Files\Orange\browser\browser.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\ccm.exe\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
    O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe /min
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O15 - Trusted Zone: https://www.orange.fr/portail
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  • 1
  • 2
  • 3