Indetectable Résolu

Question

Bonjour tout le monde,

Voila je m'y connais moyennement en informatique et depuis l'autre jour ou j'ai voulu regarder une vidéo, on ma demandé d'activé un certain truc ( Active X ) j'ai alors été infecté par un virus.. j'ai déja tout essayé, jai utilisé smitfraudfix ( un truc dans le genre ) fait ce quon conseillait a dautres gens dans le meme cas sur des forums, je me suis aussi servi de ccleaner, spybot.. jai tout essayé.. mais rien y fait.. mon ordinateur parait irrversiblement infecté O.O..

Enfait voila donc jutilise ccleaner je fais des analyse etc.. il trouve souvent quelques erreurs je corrige evidemment .. jexamine egalement le registre.. je corrige les erreurs sil y en a.. je dispose également de spybot... je fais sans cesse des analyses.. mais depuis la premiere fois ou il a détecté tous les virus et tout supprimé.. et bien rien nest encore regle.. maintenant que je refais des analyses avec spybot.. il ne trouve plus de virus.. et pourtant je suis certain den avoir encore un..

Deja premiere conséquence directe.. mon démarrage une fois que je me suis connecté a ma session windows ( oui jai windows XP PRO SP2 ) et bien jai mon image darriere plan qui apparait.. apres quelques minutes dattentes jai enfin mes icones.. mais les processus sont extremement long a chargé ( déja rien que ca je pense que cest la conséquence directe dun virus ) jai également remarqué que depuis que jai chopé ce virus, beaucoup de choses sont vérouillé.. par exemple je ne peux plus déplacé mes icones.. je peux les séléctionner.. les supprimer.. mais pas les déplacé dans mon bureau..

Et enfin dernier probleme mais celui ci assez grave et vraiment tres embetant, je nai absolument plus aucun son sur mon ordi.. quand je vais voir dans panneau de config et périph audio etc.. il me dit quil ny a aucun periph audio détecté.. alors quavant que jai ce virus tout fonctionnais parfaitement bien coté son..

Encore un probleme ( et oui la liste et longue escusez moi ) je ne peux plus installer de programmes.. je recois un message derreur quand je lance une installation disant quun certains truc ( désolé je ne me rapelle plus du nom ) dans les fichiers systeme windows va pas ou est pas activé.. et du coup je peux rien installé..

Donc voila je ne sais vraiment plus quoi faire, jai également remarqué que a chaque démarrage de mon ordi.. jai des processus etrange portant des noms du genre : A245.tmp sont la toujours par 2 et semblables.. mais ce ne sont jamais les memes.... a chaque fois je vais dans C:/ Windows/Temp et je les cherches et supprime.. mais a chaque fois et systématiquement.. dautres apparaissent au prochain démarrage..

Merci de maider bien que mon cas soit desesperé.. merci davance aux courageux qui auront tout lu :'(

Diqblo · Answer

Je vous en supplie répondez moi.. je suis vraiment dans lembarras je sais plus quoi faire -_-

JMALFONSI · Answer

Hello,


Première chose a faire: démarrage en "mode sans échec"
Une fois le pc démarré, supprimer tous les programmes et services qui démarrent avec windows: utiliser MSCONFIG, ne pas redemarrer quand c'est fini.
Lancer une analyse SPYBOT et CIE pour nettoyer le poste : toujours en "mode sans echec" bien sur 
Redemarrer le poste et voir ce qui se passe.
Si tout est bon réactiver les services antivirus et parefeu.

Moi c'est ce que je fais en tout cas.

jmalfonsi
http://www.soswindows.com

Diqblo · Answer

Euh j'ai pas tres bien compris je crois.. tu veux que je relance en mode sans echec.. et que je supprime TOUT ce qui se lance au démarrage O.O ?

Cest pas un peu risqué nan ^^

Tu peux me reexpliquer vite fait stp ( désolé :/ )

sander_k · Answer

Bonjour ,alors tout d'abord j'ai vu que tu avais spyboot ce qui deja bien si tu dis que tu ne peut plus installe le programme.Je vais te donner les demarches a suivre:
-telecharge adaware si tu ne la pas voici le liens:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html
-telecharge ensuite hijackthis la:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
Procedure:redemarre ton pc en mode sans echec (en tapottant sur la touche f8 au demarrage)
1)fais un scan avec spybot et supprime ts les objets trouvés
2)meme chose avec adaware (s'il nest pas installé tu devrais pouvoir le faie en mode sans echec
3)scan avec ccleaner le registre et repare les erreurs
4)lance un scan hijackthis et poste le log ici
je te rappele que tout ceci doit se faire en mode sans echec
Voili voilou tiens moi au courant et j'attend ton log hijackthis
Cordialement

Diqblo · Answer

Merci beaucoup je fais ca au plus vite et je te tiens au courant !! merci

Diqblo · Answer

C'est bon je vais commencer allez a toute je me met en mode sans echec des que cest fini je reviens ici posté mon compte rendu de hijack =)

Merci davance pour laide ^^

Diqblo · Answer

Bon voila jai demarrer en mode sans echec.. etc j'ai fait lanalyse spybot tout sest bien passé.. il a trouvé un mouchard ( 3 éléments ) Virtumonde.dll, j'ai donc fait corigé les 3 problemes

Ensuite jai essayé dinstaller Adaware comme tu me la dis.. et la surprise ca marche meme pas, ca me dit :

L'administrateur systeme a configuré la politique de votre systeme pour interdire cette installation..

Alors que je suis moi meme sur ma session administrateur donc cest nimporte koi.. -_-

Apres jai fait le scan du registre, et jai trouvé un seul probleme, je lai corrigé mais il revenait sans arret en boucle et toujours le meme jai vérifié.. apres avoir corrigé 10x jai laissé tombé mdr, le probleme était le suivant :

Probleme : ActiveX/Com inexistant    Donnée : Inprocserver32\C:\WINDOWS\system32\iiffGXpq.dll

Enfin voila.. et jai réussi a faire le scan hijack sans probleme ( mdr le truc qui marche enfin ^^ )

Voila le log : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:10, on 15/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {7F5AD828-EA56-4101-9F1A-DB2DBD0A9D74} - (no file)
O2 - BHO: (no name) - {88ebbe0b-5ff8-4b84-b043-71a216374a5b} - C:\WINDOWS\system32\urqRhFyW.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {DC7812F4-D42F-4F51-B0B0-17B30B1825EC} - C:\WINDOWS\system32\iiffGXpq.dll (file missing)
O2 - BHO: QXK Rhythm - {DF47FCFB-AA32-4ECC-9F32-C99E30385AF3} - (no file)
O2 - BHO: (no name) - {EA2DC768-3877-450E-859D-556154796CB2} - (no file)
O2 - BHO: (no name) - {F54F3C08-21DA-4A47-84CE-F495008AD4B7} - (no file)
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA1966] command /c del "C:\WINDOWS\system32\iiffGXpq.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4411] cmd /c del "C:\WINDOWS\system32\iiffGXpq.dll_old"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB1924] command /c del "C:\WINDOWS\system32\iiffGXpq.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4049] cmd /c del "C:\WINDOWS\system32\iiffGXpq.dll_old"
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\RunOnce: [SpybotDeletingB1924] command /c del "C:\WINDOWS\system32\iiffGXpq.dll_old" (User '?')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69B23EC-941E-463A-8338-0F5EA0C8AF0E}: NameServer = 192.168.1.1
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: urqRhFyW - C:\WINDOWS\SYSTEM32\urqRhFyW.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O21 - SSODL: mpfanvqg - {243465FC-E262-4443-AE09-5F12598DA231} - C:\WINDOWS\mpfanvqg.dll
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

JMALFONSI · Answer

re,

tu es encore infecté par
WORM.Agent.EV /////WinNt32.dll + WinData.cab

sur cette ligne du log:

O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll 

Regarde ici pour info

https://www.f-secure.com/v-descs/email-worm_w32_agent_ev.shtml


Bon courage

jmalfonsi
http://www.soswindows.com

Diqblo · Answer

Bon daccord je vais relancer mon ordinateur en mode sans echec refaire un scan hijack et supprimer cette ligne merci je reposte un scan ici une fois que cest fait =)

sander_k · Answer

Re donc deja le log est pas terrible lol  un trojan sur voir plusieurs donc:
Redemarre encore une fois en mode sans echec et relance un scan hijackthis
Tu vas supprimer cette ligne:O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
Pour cela tu la coche et tu clique sur fix checked.
Redemarre en mode normal et refais un scan et remet moi le log.
Essaye de reinstaller adawre sait on jamais.
Ps je serais peut etre long a repondre g le magasin a fermé et dois faire les comptes enfin arf.
A t a l'heure

Diqblo · Answer

Mais désolé je comprends pas trop la page que tu ma donné vu que tout est en anglais.. aller je relance mon pc supprime la ligne et je reviens =)

Utilisateur anonyme · Answer

Télécharge SDFix (créé par AndyManchesta)
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double-clique sur SDFix.exe
Choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre en mode sans échec (tapote F8 au démarrage)
Ouvre le dossier SDFix qui vient d'être créé à la racine de ton disque dur C:\
Double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Appuie sur une touche pour redémarrer quand SDFix te demander d'appuyer sur une touche pour redémarrer.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira. Il porte le nom de Report.txt.
Copie/colle le contenu


Refais un scan HijackThis en mode normal stp, ça permettra de voir tous les processus.

Diqblo · Answer

Jai relancé en mode sans echec et refait scan avec hijack.. mais jai un probleme.. cette fois la ligne avec WinNT32 n'est plus la.. regardez : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:46:36, on 15/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69B23EC-941E-463A-8338-0F5EA0C8AF0E}: NameServer = 192.168.1.1
O21 - SSODL: mpfanvqg - {243465FC-E262-4443-AE09-5F12598DA231} - C:\WINDOWS\mpfanvqg.dll
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

JMALFONSI · Answer

re,

Pour moi c'est tout bon !
La ligne avec WINNT32 n'est plus là , c'est normal tu l'as supprimé

Je sais pas ce qu'en pense les autres.

jmalfonsi
http://www.soswindows.com

Diqblo · Answer

Bon ben voila jai fait tout ce que ma dit 12.eleven.. tout sest bien passé, voici le log de SDfix :


[b]SDFix: Version 1.182 [/b]
Run by Nicolas on 15/05/2008 at 19:09

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]: 
tcpsr

[b]Path [/b]:
\??\C:\WINDOWS\System32\drivers\tcpsr.sys 

tcpsr - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\mpfanvqg.dll  - Deleted
C:\WINDOWS\oadkxrts.exe  - Deleted
C:\WINDOWS\system32\crypts.dll  - Deleted
C:\WINDOWS\system32\WindowsUpdate.exe  - Deleted
C:\WINDOWS\system32\WinNt32.dll  - Deleted
C:\WINDOWS\system32\drivers\tcpsr.sys  - Deleted
C:\WINDOWS\system32\drivers\WXJ85.sys - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-15 19:18:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,29,ad,c2,63,a3,81,e2,e7,f4,1f,c5,d7,09,40,f5,84,f9,fe,2e,a4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,29,ad,c2,63,a3,81,e2,e7,f4,1f,c5,d7,09,40,f5,84,f9,fe,2e,a4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,29,ad,c2,63,a3,81,e2,e7,f4,1f,c5,d7,09,40,f5,84,f9,fe,2e,a4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,29,ad,c2,63,a3,81,e2,e7,f4,1f,c5,d7,09,40,f5,84,f9,fe,2e,a4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,29,ad,c2,63,a3,81,e2,e7,f4,1f,c5,d7,09,40,f5,84,f9,fe,2e,a4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,29,ad,c2,63,a3,81,e2,e7,f4,1f,c5,d7,09,40,f5,84,f9,fe,2e,a4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:76,34,03,a1,e3,b3,38,56,39,6b,b2,b8,3c,e6,cb,09,83,ab,cb,52,92,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,1e,f8,26,f6,ac,e8,7d,82,35,f6,db,8d,77,40,f6,51,da,89,90,72,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,1e,f8,26,f6,ac,e8,7d,82,35,f6,db,8d,77,40,f6,51,da,89,90,72,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,1e,f8,26,f6,ac,e8,7d,82,35,f6,db,8d,77,40,f6,51,da,89,90,72,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,1e,f8,26,f6,ac,e8,7d,82,35,f6,db,8d,77,40,f6,51,da,89,90,72,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:bc202017
"s2"=dword:766e1aee
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,1e,f8,26,f6,ac,e8,7d,82,35,f6,db,8d,77,40,f6,51,da,89,90,72,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,82,38,b8,cf,f8,91,9f,e3,3b,ec,0a,fa,14,d0,49,f6,b8,90,75,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,2a,09,43,73,db,e2,26,7e,38,07,c9,5a,cf,31,8c,0c,..
"khjeh"=hex:38,f7,9e,51,75,74,a3,20,b2,4a,35,c1,0f,af,3b,90,1b,2b,04,6a,ae,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,1e,f8,26,f6,ac,e8,7d,82,35,f6,db,8d,77,40,f6,51,da,89,90,72,..

scanning hidden registry entries ...

scanning hidden files ...

C:\Program Files\Cossacks - The Art Of War\tro bo :).sav 3197605 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\AOL 9.0\waol.exe"="C:\Program Files\AOL 9.0\waol.exe:*:Enabled:AOL France"
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\Program Files\Valve\Steam\SteamApps\diablo466\condition zero\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo466\condition zero\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\diablo466\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo466\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Cossacks - The Art Of War\dmcr.exe"="C:\Program Files\Cossacks - The Art Of War\dmcr.exe:*:Enabled:dmcr"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\Microsoft Games\Age of Empires\EMPIRES.EXE"="C:\Program Files\Microsoft Games\Age of Empires\EMPIRES.EXE:*:Enabled:Age of Empires"
"C:\Program Files\mIRC\mirc.exe"="C:\Program Files\mIRC\mirc.exe:*:Enabled:mIRC"
"C:\Program Files\Valve\Steam\SteamApps\diablo466\deathmatch classic\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo466\deathmatch classic\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\diablo466\ricochet\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo466\ricochet\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\diablo466\day of defeat\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo466\day of defeat\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\diablo466\counter-strike source\hl2.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo466\counter-strike source\hl2.exe:*:Enabled:hl2"
"C:\Program Files\Valve\Steam\SteamApps\diablo466\day of defeat source\hl2.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo466\day of defeat source\hl2.exe:*:Enabled:hl2"
"C:\Program Files\Valve\Steam\SteamApps\diablo466\half-life 2 deathmatch\hl2.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo466\half-life 2 deathmatch\hl2.exe:*:Enabled:hl2"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Disabled:Microsoft DirectPlay Voice Test"
"C:\Program Files\Populous Reincarnated\MatchMaker\PopMM.exe"="C:\Program Files\Populous Reincarnated\MatchMaker\PopMM.exe:*:Enabled:Populous MatchMaker"
"C:\Program Files\Bullfrog\Populous - A l'aube de la cr‚ation\D3DPOPTB.EXE"="C:\Program Files\Bullfrog\Populous - A l'aube de la cr‚ation\D3DPOPTB.EXE:*:Enabled:D3Ddpop3w"
"C:\Program Files\Valve\Steam\SteamApps\mahui_sto\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\mahui_sto\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\mahui_sto\counter-strike source\hl2.exe"="C:\Program Files\Valve\Steam\SteamApps\mahui_sto\counter-strike source\hl2.exe:*:Enabled:hl2"
"C:\Program Files\Valve\Steam\SteamApps\diablo4666\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\diablo4666\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe"="C:\Program Files\TrackMania Nations ESWC\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\Program Files\Bullfrog\Populous - A l'aube de la cr‚ation\POPTB.EXE"="C:\Program Files\Bullfrog\Populous - A l'aube de la cr‚ation\POPTB.EXE:*:Enabled:D3Ddpop3w"
"C:\Program Files\Valve\Steam\SteamApps\air1_amiens\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\air1_amiens\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\air1_amiens\condition zero\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\air1_amiens\condition zero\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\VentSrv\ventrilo_srv.exe"="C:\Program Files\VentSrv\ventrilo_srv.exe:*:Enabled:ventrilo_srv"
"C:\Program Files\HLSW\hlsw.exe"="C:\Program Files\HLSW\hlsw.exe:*:Enabled:hlsw"
"C:\Program Files\Valve\Steam\SteamApps\airmchichgaby\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\airmchichgaby\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\anthraxx755\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\anthraxx755\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe"="C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe:*:Enabled:MessengerDiscovery Live the Windows Live Messenger addon"
"C:\Program Files\Microsoft Games\Midtown Madness 2\midtown2.icd"="C:\Program Files\Microsoft Games\Midtown Madness 2\midtown2.icd:*:Enabled:Midtown Madness 2 Executable"
"C:\Program Files\eMule\Incoming\[Pc Game] Dark Colony\DARKCOL\DC16.EXE"="C:\Program Files\eMule\Incoming\[Pc Game] Dark Colony\DARKCOL\DC16.EXE:*:Enabled:DC16"
"C:\Program Files\Valve\Steam\SteamApps\jules59300\counter-strike source\hl2.exe"="C:\Program Files\Valve\Steam\SteamApps\jules59300\counter-strike source\hl2.exe:*:Enabled:hl2"
"C:\Program Files\Starcraft\StarCraft.exe"="C:\Program Files\Starcraft\StarCraft.exe:*:Enabled:Starcraft"
"C:\Program Files\Valve\Steam\SteamApps\anthraxx755\dark messiah might and magic multi-player\mm.exe"="C:\Program Files\Valve\Steam\SteamApps\anthraxx755\dark messiah might and magic multi-player\mm.exe:*:Enabled:mm"
"C:\Program Files\Valve\Steam\SteamApps\anthraxx755\condition zero\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\anthraxx755\condition zero\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"C:\Program Files\Valve\Steam\SteamApps\jules59300\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\jules59300\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\Steam.exe"="C:\Program Files\Valve\Steam\Steam.exe:*:Enabled:Steam"
"C:\Program Files\Valve\Steam\SteamApps\jules59300\deathmatch classic\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\jules59300\deathmatch classic\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\jules59300\ricochet\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\jules59300\ricochet\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\pcssable\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\pcssable\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\osefdu80\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\osefdu80\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\osefdu80\condition zero\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\osefdu80\condition zero\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Warcraft III\War3.exe"="C:\Program Files\Warcraft III\War3.exe:*:Enabled:Warcraft III"
"C:\Program Files\Valve\Steam\SteamApps\osefdu80\condition zero deleted scenes\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\osefdu80\condition zero deleted scenes\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Microsoft Games\Age of Empires II\EMPIRES2.ICD"="C:\Program Files\Microsoft Games\Age of Empires II\EMPIRES2.ICD:*:Enabled:Age of Empires II"
"C:\Program Files\Dark Reign 2\dr2.exe"="C:\Program Files\Dark Reign 2\dr2.exe:*:Enabled:Dark Reign 2"
"C:\Program Files\Lionhead Studios Ltd\Black & White\runblack.exe"="C:\Program Files\Lionhead Studios Ltd\Black & White\runblack.exe:*:Enabled:lh"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Program Files\Microsoft Games\Age of Mythology\aomx.exe"="C:\Program Files\Microsoft Games\Age of Mythology\aomx.exe:*:Enabled:Age of Mythology - The Titans Expansion"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Program Files\GameSpy Arcade\Aphex.exe"="C:\Program Files\GameSpy Arcade\Aphex.exe:*:Enabled:GameSpy Arcade"
"C:\Documents and Settings\Nicolas\Bureau\slimftpd\SlimFTPd.exe"="C:\Documents and Settings\Nicolas\Bureau\slimftpd\SlimFTPd.exe:*:Enabled:SlimFTPd"
"C:\Program Files\Microsoft Games\Age of Empires III\age3.exe"="C:\Program Files\Microsoft Games\Age of Empires III\age3.exe:*:Enabled:Age of Empires 3"
"C:\Program Files\Codemasters\RF Online\RF.exe"="C:\Program Files\Codemasters\RF Online\RF.exe:*:Enabled:RFLauncher"
"C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe"="C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs"
"C:\Program Files\Doom 3\DOOM3Ded.exe"="C:\Program Files\Doom 3\DOOM3Ded.exe:*:Enabled:DOOM 3"
"C:\Program Files\Valve\Steam\SteamApps\wootdu80\counter-strike source\hl2.exe"="C:\Program Files\Valve\Steam\SteamApps\wootdu80\counter-strike source\hl2.exe:*:Enabled:hl2"
"C:\Program Files\GOA\Gunbound\GunBound.gme"="C:\Program Files\GOA\Gunbound\GunBound.gme:*:Enabled:GunBound"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 27 Nov 2006           211 A.SHR --- "C:\BOOT.BAK"
Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sat 29 Mar 2008            70 ...H. --- "C:\WINDOWS\system32\SWCTL.DLL"
Sat 12 Jan 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Thu  8 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT1.tmp"
Tue 11 Dec 2007             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ad213d081e2675ef87a62c73b8abf209\BIT1.tmp"
Mon  6 Aug 2007           444 A..HR --- "C:\Documents and Settings\Nicolas\Application Data\SecuROM\UserData\securom_v7_01.bak"

[b]Finished![/b]



Et maintenant celui de hijack fait en mode normal :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:14, on 15/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69B23EC-941E-463A-8338-0F5EA0C8AF0E}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Diqblo · Answer

Et je fais quoi maintenant moi pour regler tout mes problemes..

Du genre : J'ai plus aucun son.. et tout ce que javais cité tout en haut de la page

Merci davance.. :/

Utilisateur anonyme · Answer

BitDefender
Fais un scan en ligne Bitdefender
https://www.bitdefender.fr/
Une fois sur le site clique sur le bouton BitDefender Scan Online
Vois la démo de Balltrap34 ici si tu n'y arrives pas !
http://pageperso.aol.fr/balltrap34/defender.htm
Copie/colle le rapport final.

Diqblo · Answer

Y a un probleme je peux pas faire le scan en ligne avec Bitdefender.. parce que je suis sur mozilla firefox..

Car depuis mes nombreux problemes qui ont découlé de mon virus... il y a également celui la.. mes listes de connexions réseaux ont disparu.. et du coup quand jessaie douvrir une fenetre avec internet explorer.. elle souvre a peine une fraction de seconde et se referme aussi tot sans pour autant me laisser aucun message derreur..

Je ne sais meme pas comment ca se fait que jarrive avec mozilla firefox.. bon et puis sinon mes rapports ils disent koi ? et pourkoi aucun de mes problemes est encore reglé..

Au fait peut etre que ca taidera mais jai comme antivirus : Bitdefender v10 free edition ^^

niepravilni · Answer

detecte le apres vien me paRLER

Diqblo · Answer

Euh tu pourrais etre plus précis stp.. détecter koi.. oO ?

Utilisateur anonyme · Answer

Clique sur Démarrer > Exécuter > Tape explorer
La fenetre d'IE restera peut-être ouverte.


Tu n'as plus de son. Désinstalle/Réinstalle tes drivers.

niepravilni · Answer

rien

Diqblo · Answer

Désolé jy connais rien dans ce domaine la 12.eleven, comment désinstaller mes drivers puis les réinstaller, comment my prendre stp :/ ( vraiment désolé de te prendre ton temps T_T )

Diqblo · Answer

Si c'est pour dire ca tu peux te taire niepravilni jattends laide de 12.eleven..

Utilisateur anonyme · Answer

Fais comme ceci :
Télécharge https://filehippo.com/windows/tuning-utilities/ tu l'installes et il te liste ce qu'il faut mettre à jour avec les liens correspondants.

Diqblo · Answer

D'accord merci je fais ca

Diqblo · Answer

RHO NAN MAIS CEST PAS VRAI.. pour ce servir de ton truc pour mettre a jour la.. la version de NET.framework je sais pas quoi doit etre a jour.. hors moi ca lest pas.. et je peux pas installer une version plus récente car je peux installer aucun programme moi.. 

Je fais comment maintenant HELPPPPPP :'(

Utilisateur anonyme · Answer

# Télécharge GenProc sur ton bureau
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
# Dézippe-le (clique-droit > Extraire ici)
# Ouvre le nouveau dossier crée et clique sur genproc.bat
# Copie/colle le rapport
Aide en images :
http://www.alt-shift-return.org/Info/GenProc-HowTo.html

Diqblo · Answer

D'accord merci je suis en train de le faire =)

Diqblo · Answer

Bon voila j'ai fait la premiere étape donnée par GenProc.. avec Navilog1, maintenant je vais aller en mode sans echec comme GenProc me lindique, je reviendrais avec tout les rapport nécessaire une fois les analyses terminées.. merci encore 12.eleven et a toute =) reste ici stp xD
Voici le rapport de Navilog1 :



Search Navipromo version 3.5.7 commencé le 15/05/2008 à 20:18:14,53

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Nicolas" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***

C:\Program Files\InternetGameBox trouvé !

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Nicolas\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\EMULE_~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\NOMIE~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and 

Settings\Nicolas\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\EMULE_~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\NOMIE~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and 

Settings\Nicolas\menudm~1\progra~1" *** 


*** Recherche dossiers dans 

"C:\DOCUME~1\EMULE_~1\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\NOMIE~1\menudm~1\progra~1" 

*** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Nicolas\locals~1\applic~1" * 

Fichiers trouvés :

wcfumxnmq.exe trouvé ! 
wcfumxnmq.dat trouvé ! 
wcfumxnmq_nav.dat trouvé ! 
wcfumxnmq_navps.dat trouvé ! 
wcfumxnmq.exe trouvé ! 
wcfumxnmq.dat trouvé ! 
wcfumxnmq_nav.dat trouvé ! 
wcfumxnmq_navps.dat trouvé ! 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\EMULE_~1\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\NOMIE~1\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Nicolas\locals~1\applic~1" : 

wcfumxnmq.dat trouvé !
wcfumxnmq_nav.dat trouvé !
wcfumxnmq_navps.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\EMULE_~1\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\NOMIE~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\cLSAbccf.ini2 trouvé ! infection Vundo possible non 

traitée par cet outil !
C:\WINDOWS\system32\JlUvyccf.ini2 trouvé ! infection Vundo possible non 

traitée par cet outil !
C:\WINDOWS\system32\qpXGffii.ini2 trouvé ! infection Vundo possible non 

traitée par cet outil !
C:\WINDOWS\system32\QYcMonmp.ini2 trouvé ! infection Vundo possible non 

traitée par cet outil !
C:\WINDOWS\system32\VwDJmUtv.ini2 trouvé ! infection Vundo possible non 

traitée par cet outil !


*** Analyse terminée le 15/05/2008 à 20:24:57,04 ***

Utilisateur anonyme · Answer

J'aimerais avoir le rapport GenProc et que tu fasses les manips quand je te le dis, je ne sais meme pas ce que tu fais.. :S

Et je reste encore 30 minutes environ. Si ce n'est pas fini ce sera demain.

Diqblo · Answer

Ca y est jai fait tout ce qui était dit, voici le rapport de hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:09, on 2008-05-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {760964CF-4B32-4E4C-B9B5-DF1A657CCF91} - C:\WINDOWS\system32\pmnoMcYQ.dll
O2 - BHO: (no name) - {88ebbe0b-5ff8-4b84-b043-71a216374a5b} - C:\WINDOWS\system32\urqRhFyW.dll
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [filehippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [filehippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background (User '?')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69B23EC-941E-463A-8338-0F5EA0C8AF0E}: NameServer = 192.168.1.1
O20 - Winlogon Notify: urqRhFyW - C:\WINDOWS\SYSTEM32\urqRhFyW.dll
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Utilisateur anonyme · Answer

Je ne t'avais pas demandé de faire ce qui était indiqué, j'avais demandé le rapport GenProc mais bon, trop tard maintenant.

Télécharge MalwareByte's
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
A la fin du scan, clique sur "Supprimer la sélection"
Et poste le rapport final.

Diqblo · Answer

Qui peut me dire ce que je suis censé faire maintenant sil vous plait..

Car pour linstant aucun de mes problemes na disparu -_-

Diqblo · Answer

Omg je suis vraiment désolé javais pas lu.. escuse moi je suis vraiment navré ( je suis pitoyable cest dingue :x )

Je fais tout de suite ce que tu ma donné

Utilisateur anonyme · Answer

Pitoyable non, mais si je l'avais eu j'aurais su ce que t'allais faire ;)

Mais bon, c'est pas très grave.

Moi j'y vais. Donc quelqu'un prendra peut-être la suite ;)

Bonne nuit. A demain je pense.

Utilisateur anonyme · Answer

Pitoyable non, mais si je l'avais eu j'aurais su ce que t'allais faire ;)

Mais bon, c'est pas très grave.

Moi j'y vais. Donc quelqu'un prendra peut-être la suite ;)

Bonne nuit. A demain je pense.

Diqblo · Answer

Bon ca commence vraiment a me casser les couilles.. je peux meme pas me servir de ton scanner la.

Au moment de le lancer.. apres linstallation.. jai lerreur 372 blablabla.. et finalement je peux une nouvelle fois pas men servir.. je suis vraiment désolé de te prendre tout ton temps mais je ten prie aide moi encore :/

Diqblo · Answer

Bon ben moi demain je reviens que le soir.. en tout cas encore merci pour tout tes super.. jespere vraiment te revoir demain pour quon en finisse avec mon merdier :) a demain merci encore ^^

Utilisateur anonyme · Answer

Je vais me coucher, j'ai une longue journée demain et j'ai besoin de repos.

La suite demain ou quelqu'un d'autre peut-être et vu que tu es pressé prendra ma place pour continuer ;)

Diqblo · Answer

D'accord merci encore bonne nuit =)

Diqblo · Answer

Bon et bien si jamais il y a de courageux volontaires qui veulent bien maider.. jattends que ca :p

Diqblo · Answer

Rhooo allez les gars y a personne dautres que 12.eleven pour maider..

SVP HELP je sais plus quoi faire.. sérieux svp..

Diqblo · Answer

Bon ce serait sympa de me répondre sil vous plait parce que la le temps devient long sans aucune aide si vous voyez ce que je veux dire.. merci davance ^^

Diqblo · Answer

PUREE MAIS HELLLLLLLLLLLLLP PLEAAAAAAAAAAAAAAAAAAAAAAAAAAAASE :'(

Diqblo · Answer

Serieux ca craint personne veut maider la koi..

kilian · Answer

Salut,

Les gens de ce forum, qui répondent aux questions durant leur temps libre, ont une vie à côté. Si quelqu'un a le temps et l'envie de t'aider alors il viendra, sinon il ne sert à rien de crier dans le vide.

L'aide ici n'est pas un dû ;-)

Bonne chance!

Diqblo · Answer

Ouais escusez moi cest juste que ca devient insoutenable tout les problemes que jai en meme temps sur mon ordi..

Désolé les gars.. :x

Utilisateur anonyme · Answer

Supprime GenProc et retélécharge le 

# Télécharge GenProc sur ton bureau
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
# Dézippe-le (clique-droit > Extraire ici)
# Ouvre le nouveau dossier crée et clique sur genproc.bat
# Copie/colle le rapport
Aide en images :
http://www.alt-shift-return.org/Info/GenProc-HowTo.html


Et comme l'a dit Kilian, inutile de crier, on est ici sur un forum, on donne de notre temps libre..

Diqblo · Answer

Coucou encore désolé pour les problemes au dessus.. cest juste que je suis a bout de nerf avec ce PC je suis vraiment désolé pour ceux que jai offensé..

Voici le rapport avec GenProc réinstaller.. ( en mode normal vu que ta pas précisé )

Rapport GenProc 1.951 [2] effectué le 2008-05-16 à 20:12:28.52 - Windows XP  

# Etape 1/ Télécharge :  
  
- VundoFix.exe  (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par [b]sUBs[/b]) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "Nicolas") ***** 
 
 
# Etape 2/ 
 
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

* Double clique [b]combofix.exe[/b].
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra 
 
# Etape 3/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 4/ 

Redémarre normalement et poste, dans la même réponse : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ; 
- Le contenu du rapport situé dans C:\vundofix.txt ; 
- Le contenu du rapport situé dans C:\Combofix.txt ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Diqblo · Answer

La je dois partir manger mais je reviens des que possible pour venir voir ta réponses et plein de nouveaux conseils jespere

Merci davance !! :D

Utilisateur anonyme · Answer

Ok

Bon app'

Diqblo · Answer

Re, alors diagnostic chef ? ^^

Il donne quoi mon rapport?

Utilisateur anonyme · Answer

Fais ce qui est indiqué, j'ai oublié de te le dire ;)

Diqblo · Answer

Mais euh.. cest un peu ce que jai fait la premiere fois que tu ma parlé de ce prog.. et apres que je lai fait tu ma dit quil fallait pas le faire en fait.. et la maintenant je dois a nouveau TOUT refaire ?

Je comprends plus trop la :/

Utilisateur anonyme · Answer

.....


Je ne t'ai jamais dit que tu ne devais pas le faire.

J'ai dit que tu devais me poster le rapport avant de faire les manip's. La première fois c'est bien beau t'as fait les manips mais je ne savais même pas ce que tu faisais.

Maintenant que je te dis fais les manips, fais les ;)

Diqblo · Answer

D'accord bon ben dès que tout est fini.. je reviens illico.. je te dirais ce que jai pas réussi a faire etc.. comme dab quoi ^^

Utilisateur anonyme · Answer

Moi j'y vais en revanche. Je suis de sorti.

Donc réponse demain ou dimanche car demain s'annonce plus que chargé pour moi.

A plus tard et bonne nuit.

Diqblo · Answer

D'accord merci encore a bientot jespere ++ :)

Diqblo · Answer

Bon ben voila rien marche comme prévu ca menerve vraiment je suis désolé je ny peut rien.. alors je vais essayer detre le plus clair possible.. donc jai tout fait comme ca métait expliqué..

Jai tout dabord relancé en sans echec.. jai dabord tenter de lancer Vundofix.. résultat : nul, il a meme pas voulu se lancer

Message derreur : Erreur d execution '-2147023174)'
                          Erreur systeme &H800706BA (-2147023174)
                          Le server RPC n'est pas disponible.

Enfin voila quoi un vrai charabia.. et au final pas réussi a louvrir.. donc jai été dans lobligation de sauter cette étape malgré moi.. ensuite jai tester combo fix. ca se lance tout va bien, a part que jai trouver bizarre le fait quil me propose pas doption comme la Y comme dit dans le manuel.. il fait lanalyse tout seul par lui meme direct.. ensuite il me dit de relancer pc, je le fait

Au redemarrage du pc.. la fenetre combofix se rouvre.. il met me préparation du compte rendu en couprs.. il me prévient également de lancer aucun programmes durant ce temps.. ce que jai parfaitement respecté.. et au bout dune dizaine de minutes dattente.. la fenetre bleu disparait.. et aucun compte rendu apparait.. ni sur le bureau .. ni dans C:/

Donc ca me soule vraiment.. apres je fais CCleaner.. nettoyeur analyse etc.. il trouve quelques problemes efface..

Je relance donc ensuite en mode normal.. et fait le scan Hijack comme sest demandé..

Donc le voila :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:21, on 2008-05-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69B23EC-941E-463A-8338-0F5EA0C8AF0E}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Utilisateur anonyme · Answer

On va tester quelque chose.

* Télécharge ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla
* Enregistre le fichier sur ton bureau
* Double-clique dessus pour l'ouvrir
* Assure-toi que dans le menu déroulant Unidad, tu as bien C:\
* Vérifie également que Eliminar Ficheros Automaticamente est cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse

Diqblo · Answer

Ok merci j'ai commencé je suis en train de faire lanalyse.. je suis pas en mode sans echec c'est quand meme bon ?

Diqblo · Answer

Et une fois que lanalyse sera finie je fais koi.. il va y avoir un rapport ou pas ? :/

Diqblo · Answer

Bon ben voila cest fini.. résultat il me dit aucun fichier infecté... je comprends vraiment rien cest impossible ? oO

Regarde par toi meme :/ :


	  Sat May 17 15:15:06 2008
EliBagle v11.37  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Sat May 17 15:15:20 2008
EliBagle v11.37  (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   7728
Nº Total de Ficheros:      70710
Nº de Ficheros Analizados: 12142
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Diqblo · Answer

hey 12.eleven désolé de te déranger mais je fais quoi maintenant, vu que jai trouver aucune infection ? :/

Diqblo · Answer

Rho nan t'es pas la.. le pire c'est qu'on dirait que t'es le seul a savoir comment maider..

Lyonnais92 · Answer

Bonjour,

tu peux regarder si tu n'a pas ce fichier C:\Combofix.txt sur l'ordi ?

Si oui, poste le dans ta réponse.

Diqblo · Answer

Nan je ne l'ai pas.. quand javais executé combo fix il ne mavais pas donné de rapport a la fin -_-

12.eleven :'( XD

Lyonnais92 · Answer

Re,


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Diqblo · Answer

J'ai un petit probleme par rapport a ce que tu dis.. je ne vois plus mon icone internet en bas.. mes connexions réseau ( listes ) ont disparu du dossier connexion réseau depuis mon infection par les virus..

Je nai dailleurs toujours pas compris comment jarrive a aller sur internet sans avoir de connexion crée.. donc explique moi comment je peux couper internet stp ?

Lyonnais92 · Answer

Re,

tu es connecté par câble, par wifi, par USB, .... ?

Diqblo · Answer

Par cable.. sur un routeur, la neuf box

Lyonnais92 · Answer

Re,

débranche le câble.

Tu le rebrancheras après.

Diqblo · Answer

Bon jai fait exactement comme ta dit.. jai TOUT Coupé.. il fait ses analyses etc.. il redemarre ensuite

Et au retour il me dit quil prépare le rapport etc.. cette fenetre reste 10 min

Ensuite elle disparait.. ET... PAS DE RAPPORT T_T

je cherche partout.. dans C:/ mais y a rien..

ca me gave il me donne pas de rapport combo fix

bon je vais manger jespere que quand je reviendrai tu aura une solution a me donné ^^

Lyonnais92 · Answer

Re,

tu avais désactivié :

Bit Defender,

Spybot,

Spyware Doctor ?

Diqblo · Answer

TOUT rien nétait en marche.. javais tout bien vérifié.. je comprends vraiment rien T_T

Lyonnais92 · Answer

re,

remets un rapport Hijackthis

Diqblo · Answer

Tiens, en mode normal comme ta pas précisé ^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41, on 2008-05-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {88ebbe0b-5ff8-4b84-b043-71a216374a5b} - C:\WINDOWS\system32\urqRhFyW.dll
O2 - BHO: (no name) - {FF9BB33D-ACD1-4A62-A2E7-16357A027B71} - C:\WINDOWS\system32\iiffcYOI.dll
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69B23EC-941E-463A-8338-0F5EA0C8AF0E}: NameServer = 192.168.1.1
O20 - Winlogon Notify: urqRhFyW - C:\WINDOWS\SYSTEM32\urqRhFyW.dll
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Lyonnais92 · Answer

Re,

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.

Diqblo · Answer

D'accord je fais ca tout de suite et je te tiens au courant .. des que jai les rapports je les poste =)

Diqblo · Answer

Bon ben voila c'est fait tout s'est passé comme prévu.. je dois tavouer quau début jai un peu flipé quand jai vu limpressionant écran bleu de lerror fatal.. mais apres le redemarrage je vois que le test s'est bien passé le rapport est la.. je viens également de faire un scan hijack.. les voici :


[05/17/2008, 22:06:45] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas\Bureau\VirtumundoBeGone.exe" )
[05/17/2008, 22:06:58] - Detected System Information:
[05/17/2008, 22:06:58] -  Windows Version: 5.1.2600, Service Pack 2
[05/17/2008, 22:06:58] -  Current Username: Nicolas (Admin)
[05/17/2008, 22:06:58] -  Windows is in NORMAL mode.
[05/17/2008, 22:06:58] - Searching for Browser Helper Objects:
[05/17/2008, 22:06:58] -  BHO 1: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[05/17/2008, 22:06:58] -  BHO 2: {88EBBE0B-5FF8-4B84-B043-71A216374A5B} ()
[05/17/2008, 22:06:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/17/2008, 22:06:58] -  Checking for HKLM\...\Winlogon\Notify\urqRhFyW
[05/17/2008, 22:06:58] -  Found: HKLM\...\Winlogon\Notify\urqRhFyW - This is probably Virtumundo.
[05/17/2008, 22:06:58] -  Assigning {88EBBE0B-5FF8-4B84-B043-71A216374A5B} MSEvents Object
[05/17/2008, 22:06:58] - BHO list has been changed! Starting over...
[05/17/2008, 22:06:58] -  BHO 1: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[05/17/2008, 22:06:58] -  BHO 2: {88EBBE0B-5FF8-4B84-B043-71A216374A5B} (MSEvents Object)
[05/17/2008, 22:06:58] - ALERT: Found MSEvents Object!
[05/17/2008, 22:06:58] - Finished Searching Browser Helper Objects
[05/17/2008, 22:06:58] - *** Detected MSEvents Object
[05/17/2008, 22:06:58] - Trying to remove MSEvents Object...
[05/17/2008, 22:06:59] -    Terminating Process: IEXPLORE.EXE
[05/17/2008, 22:07:00] -    Terminating Process: RUNDLL32.EXE
[05/17/2008, 22:07:00] -    Disabling Automatic Shell Restart
[05/17/2008, 22:07:00] -    Terminating Process: EXPLORER.EXE
[05/17/2008, 22:07:00] -    Suspending the NT Session Manager System Service
[05/17/2008, 22:07:00] -    Terminating Windows NT Logon/Logoff Manager
[05/17/2008, 22:07:01] -    Re-enabling Automatic Shell Restart
[05/17/2008, 22:07:01] -   File to disable: C:\WINDOWS\system32\urqRhFyW.dll
[05/17/2008, 22:07:01] -  Renaming C:\WINDOWS\system32\urqRhFyW.dll -> C:\WINDOWS\system32\urqRhFyW.dll.vir
[05/17/2008, 22:07:01] -  File successfully renamed!
[05/17/2008, 22:07:01] -   Removing HKLM\...\Browser Helper Objects\{88EBBE0B-5FF8-4B84-B043-71A216374A5B}
[05/17/2008, 22:07:01] -   Removing HKCR\CLSID\{88EBBE0B-5FF8-4B84-B043-71A216374A5B}
[05/17/2008, 22:07:01] -   Adding Kill Bit for ActiveX for GUID: {88EBBE0B-5FF8-4B84-B043-71A216374A5B}
[05/17/2008, 22:07:01] -   Deleting ATLEvents/MSEvents Registry entries
[05/17/2008, 22:07:01] -   Removing HKLM\...\Winlogon\Notify\urqRhFyW
[05/17/2008, 22:07:01] - Searching for Browser Helper Objects:
[05/17/2008, 22:07:01] -  BHO 1: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[05/17/2008, 22:07:01] - Finished Searching Browser Helper Objects
[05/17/2008, 22:07:01] - Finishing up...
[05/17/2008, 22:07:01] - A restart is needed.
[05/17/2008, 22:07:01] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[05/17/2008, 22:07:11] - Attempting to Restart via STOP error (Blue Screen!)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:10, on 2008-05-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69B23EC-941E-463A-8338-0F5EA0C8AF0E}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Diqblo · Answer

ouarf Lyonnais92 je ten supplie me dis pas que tes parti mdr.. ^^

Lyonnais92 · Answer

Bonsoir,

non je suis là.

Virtumundobegone a fait des merveilles. Il y avait 2 malwares et les 2 sont partis.

Tu peux me faire la liste des problèmes restants ?

Diqblo · Answer

Euh depuis que jai relancer le pc apres les scans de virtumondo jai pas relancer pc.. je vais le faire maintenant et te dire ce quil reste comme probleme =) je relance a tout de suite =)

Diqblo · Answer

Bon ben malheureusement encore beaucoup de mes problemes sont la.. comme le fait que ma session est extremement lente a se lancer.. du genre quand jai mi mon mdp pour ma session faut compter a moins 3/4 minutes avant que ce soit opérationnel.. avant cétait a peine 20 sec..

Je peux toujours rien déplacer.. mes icones sont tous freezes.. partout..

Je ne vois toujours pas les programmes actif ou en réduction en bas dans ma barre des taches a coté des lancements rapide..

Je nai toujours pas de son.. mais ca cest lié au fait que je peux plus rien installé depuis que jai eu ma multi infection..
Donc je peux pas réinstaller mes pilotes audio..

Enfin voila quoi.. je comprends pas.. vous etes pourtant si génial.. vous faites tout pour maider.. jai limpression quon a eu TOUS les virus.. et pourtant les symptomes sont encore la

Je précise quavant la multi infection.. mon pc était nikel.. aucun de ces problemes nétaient présents..

Lyonnais92 · Answer

Re,

l'infection ne se contente pas de créer des fichiers. Elle modifie aussi des clés et des valeurs et il n'est pas simple de remettre en état.

On va essayer avec ça :

Ouvre ce lien :

http://telechargement.zebulon.fr/zeb-restore.html

et exécute toutes les modalités.

Des améliorations ?

Diqblo · Answer

Ok attends je fais ca et jte dis si ca change quelque chose apres, reste la jten supplie mdr ^^

Ps : tu restes juska quelle heure environ ?

Lyonnais92 · Answer

Re,

de toute manière, je suis là demain.

Diqblo · Answer

Juste une question est ce que je coche tout dans les trucs a restaurer.. car certains me parlent pas du tout du tout... ?

Répond vite stp ^^

Diqblo · Answer

Bon voila jai lancer la restauration jai coché ce qui me semblait le plus logique ^^ presque tout quoi ^^

Diqblo · Answer

Ca y est il me dit que cest restaurer.. jessaye de relancer mon pc pour voir sil y a du changement =) a tout de suite !!

Diqblo · Answer

voila jai relancer.. bon le son toujours pas mais ca cest normal.. parce que jai pas refait les pilotes..

Les icones bougent toujours pas T_T.. je peux TOUJOURS PAS faire de copié collé..

Et mes programmes lancé apparaissent toujours pas dans la barre des taches..

Et euh le démarrage est toujours aussi long

Voila le seul changement que jai remarqué... cest que ce con ma supprimé mon fond décran.. a part ca RIEN..

Donc voila je suis desesperé.. pk rien ne fonctionne cest pas croyable ? oO

Diqblo · Answer

Reviens lyonnais !!! mdr ^^

Diqblo · Answer

:'( 

* se sent tres tres tres tres tres seul *

bon ok jarrete le flood.. jattends mon sauveur -_-

Lyonnais92 · Answer

Re,

je ne vois pas d'autre solution qu'une réparation de Windows.

Tu as le CD et la clé ? le CD est avec le SP 2 ?

La réparation va conserver tous tes fichiers et applications installées.

Un tuto :  http://www.informatruc.com/reparer-windows-xp-2

On fera ça au jour.

Diqblo · Answer

Bon ben voila me retrouve tout seul T_T.. livré a moi meme et mon abruti de pc mdr

Revenez vite ^^ bonne nuit

Diqblo · Answer

Ok.. suffit que je retrouver le CD dinstallation windows quoi.. -_- si mes applications et fichiers sont gardé ca me va =)

Quand tu parles de clé.. tu veut parlé de quelle clé stp ?

Lyonnais92 · Answer

Re,

la clé de licence de 25 caractères de Windows.

Diqblo · Answer

Euh comment je fais crois que jai plus de CD moi, car quand jai acheté mon ordinateur.. windows était déja installé

Donc la clé oui cest bien je lai... mais le CD nan

Alors je répare comment ? :s

Diqblo · Answer

Jai lu sur dautres forums que tout est pas perdu apparament car moi aussi jai Windows XP, et j'ai le disque D ( donc une partition ) qui est réservé a la réinstallation du systeme.. est ce que grace a ca je peux me passer du CD dinstallation XP, merci davance =)

Lyonnais92 · Answer

Bonjour,

sauf que, sauf erreur, cette partition va formater et non réparer.

Tu as une procédure pour créer un CD bootable à partir de cette partition, mais il faut pouvoir installer des programmes :

http://www.commentcamarche.net/faq/sujet 5033 windows xp recreer son cd original pc grande marque

On peut contourner si tu as un autre ordi avec un graveur (et une clé USB pour transporter les données.


Pour les icônes. Clic droit sur un endroit vierge du bureau, "Réorganiser les icônes par ". Est ce que "Verrouiller les éléments Web sur le bureau est coché" ? Si oui, décoche.



Pour l'installation d'un programme, quel est le message ?

Diqblo · Answer

Nan pour les icones rien nest vérouillé.. et puis ben pour les installations cest tres compliqué.. seulement quelques unes marchent et cest pour ca que je comprends rien.. mais quand jai un message cest jamais le meme.. généralement il me dit que bidule est pas activé et ou que jai pas les droit enfin des conneries comme ca quoi..

Et grande nouvelle.. hier soir je lance pour le fun un scan complet avec spyware doctor.. résultat :

12 virus et 128 infections -_-.. va comprendre quelque chose toi.. y avait de tout.. keylogger.. spyware.. trojan et jen passe

jai fait réparé.. mais bon..

Diqblo · Answer

Je sais plus quoi faire.. jai pas le CD... je suis foutu :'(

Lyonnais92 · Answer

Re,

quand tu fais ce genre de truc, poste au moins le rapport.

Si tes malwares étaient dans la restauration système, il n'y a pas à s'inquiéter.

Tu n'as pas dit si tu avais des possibilités d'utiliser un autre ordi.

Diqblo · Answer

Ben ma soeur a un ordinateur.. mais pas la meme version de XP que moi.. elle c'est coccinelle

et je suis désolé mais il me propose pas de rapport spyware doctor.. sinon évidemment je laurais posté.. :/ désolé

Mais je peux te citer ce quil a mi en quarantaine si tu veux ?

Lyonnais92 · Answer

Re,

oui, donne moi la quarantaine.

Coccinelle = version illégale.

Diqblo · Answer

LOUL ^^ euh le probleme cest que je peux pas faire copié collé.. donc je vais ten cité quelquuns.. surtout les plus graves

Diqblo · Answer

Alors dans les plus graves : Application.family_Keylogger
Application.KeyCaptor
Adware.EliteBar
Dialer.instant_Acces
Application.component.windupdates
Trojan-PWS.Tanspy
Adware.component.keloggers
Adware.Media_Acces
Application.Perfect_Keylogger
Application.Keystroke Spy
Trojan Dowloader.Agent
Spyware.Knowz_Bad_Sites

Voila je tai sité les plus graves selon spywares doctor.. ils sont tous en quarantaine.. dois je les supprimer ? :/

Lyonnais92 · Answer

Re,

tu peux les supprimer.

Ce qui m'intéresserait c'est de savoir quels étaient les fichiers, en particulier ceux en dehors de la restauration système.

Fais redémarrer l'ordi et refais tourner Spyware doctor

Diqblo · Answer

Ca sert a quoi que je le refasse tourner jai pas compris.. vu que jai déja mis les fichiers en quarantaine.. je tai dit quil y avait pas de rapport ? oO

Alors pourquoi refaire a nouveau lanalyse ?

Lyonnais92 · Answer

Re,

après redémarrage de l'ordi.

parce que c'est un moyen de savoir si il n'y a pas encore un mécanisme de réinfection à l'oeuvre.

Diqblo · Answer

D'accord je relance mon ordinateur.. je refait un scan avec spyware doctor.. et alors.. je te recite tout ce que je trouve ?

Diqblo · Answer

Nan parce que jai beau chercher partout sur le programme.. il y a aucun moyen de faire un rapport.. cest nul ca -_-

Utilisateur anonyme · Answer

Fais un imprim écran et poste l'image si il n'y a pas moyen de faire de rapport..

Diqblo · Answer

Hehehe 12 eleven.. jaimerais tant.. mais meme avec un imprime écran.. je peux pas faire de copié collé.. donc pas mettre sur paint.. ni sur le site pour host limage et ensuite vous donné le lien.. je peux rien faire -_-

Utilisateur anonyme · Answer

Mais comment as-tu fait pour t'infecter à ce point ?

Bref...j'espère pour toi que Lyonnais92 a plus d'un tour dans son sac.

Diqblo · Answer

Ah pas si sur que ca.. je viens de faire un imprim écran pour test.. jarrive a copié collé sur paint.. comme quoi je comprends rien.. certains copié collé marchent et dautres non.. bon ben je relance mon ordi.. et puis ben tanpis jécrirais le lien pour voir le screen lettre par lettre.. a tout de suite les zamis ^^ XD

Diqblo · Answer

Moi non plus je ne sais pas.. tout allait bien.. jusquau moment ou jai accepté dactver un active X pour voir une vidéo.. et paf.. premier virus.. et tout les autres ont suivi.. on dirait que le premier que jai chopé a créé une faille pour laisser rentrer tout les autres virus qui passaient par la.. aller je relance et je fais un scan avec spyware doctor =)

Diqblo · Answer

Bon voila jai redemarrer le pc je suis en trin de faire lanalyse avec spyware doctor.. quand cest fini je screen et je vous montre ca =)

Diqblo · Answer

Bon voila jai fini.. jai retrouvé beaucoup moins de virus.. jai juste trouvé les 2 qui viennent tout le temps a chaque scan..

Voila le screen : https://imageshack.com/

Diqblo · Answer

Bon et voila maintenant je sais pas si c'est utile mais je poste un petit scan fait avec hijack apres le scan de spyware doctor :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:00, on 2008-05-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-2477717300-20014484-1706776114-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D69B23EC-941E-463A-8338-0F5EA0C8AF0E}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Diqblo · Answer

Alors je fais quoi maintenant ?

Diqblo · Answer

. . .

Lyonnais92 · Answer

Ren

ça va pas être simple, mais ça sera instructif.

 Avec le pc de ta soeur, créé le CD Ultimate boot CD :

 http://www.commentcamarche.net/faq/sujet 5389 creer un cd bootable

Ce CD va servir à sauvegarder tes données sur un DD externe.

En particulier, on sauvegardera ta partition de restauration (D si j'ai bien compris).

Ensuite, toujours avec le pc de ta soeur, on va essayer de reconstituer un CD de ton Xp.

Diqblo · Answer

Daccord je ferais ca des que je peux.. demain je reprends les cours mais restez avec moi je vous tien au courant =) merci du conseil ^^

Lyonnais92 · Answer

Re,

ni 12.eleven ni moi ne te laisseront tomber.

Ca peut prendre du temps, parce que on est pas totalement disponible (toi et nods) , parce que les maneuvres peuvent être longues et compliquées et parce que on va prendre des sécurités pour que tu ne perdes pas tes données.

Utilisateur anonyme · Answer

On te laissera pas tomber c'est vrai, même si tu nous as donné du fil à retordre.

Diqblo · Answer

Oui c'est vrai que mon cas est pas vraiment facile.. surement lun des plus durs que vous ayiez traité mes pauvres.. meme si ce n'est pas encore fini je vous suis vraiment extremement reconnaissant pour tout ce que vous avez déja fait pour moi

Encore une fois je le dis.. des que javance par rapport a ce qua di Lyonnais.. je vous donne linfo ^^

Merci encore les mecs continuez comme ca vous etes super=)

Diqblo · Answer

Bon ben en fait mon probleme va se regler autrement.. jai reussi a joindre un ami a moi qui possede un CD de XP cocinelle.. il va maider a formater ( je sauverais ce dont jai besoin avant sur dvd ) et minstallera XP coccinelle a la place..

Comme ca adieu les virus et problemes

donc je crois que mes problemes sarrentent la.. mais je tiens a vous remercier quand meme pour tous ce que vous avez fait et tenter et aux heures que vous avez passez a essayé de maider

Merci encore vous 2 je vous oublierai pas si un jour jai un souci je sais a qui madresser

Bonne continuation les mecs vous déchirez !!

++ merci encore.. =)

Lyonnais92 · Answer

Re,

je ne suis pas à ta place et je comprends que tu renacles devant le boulot.

Mais utiliser une version illégale n'est pas un gage de sécurité, au contraire.

Pousse un peu plus loin le cercle de tes connaissances pour voir si aucun n'a la même version de Xp que toi.
Utiliser ce CD avec ta clé ne serait pas illégal. Ca te permettrait de faire une réparation de windows (je pense que ça devrait suffire). Derrière, on pourra reprendre ta partition de sauvegarde pour créer un CD auhentique de ton Windows associé à ta clé.

Diqblo · Answer

Daccord je vais essayer de trouver quelqun avec ma version de windows XP, désolé de vouloir me presser cest juste que jen ai marre, mon ordi fonctionne a peine a 25% de ca capacité T_T

Lyonnais92 · Answer

Salut,

tu en es où de tes recherches ?

Diqblo · Answer

Je crois avoir trouvé un ami qui a la meme version que moi de XP.. cest bon

Je vais sauvé ce dont jai besoin sur DVD vierge.. et je vais formater ce week end..

Jinstallerai ensuite XP grace a son CD..

Voila merci encore les gars vous mavez quand meme bien aidé !!! 


++ :)

Indetectable - Page 7

Discussions similaires

Newsletters