Virus effaceur

Résolu
digizappeur Messages postés 21 Statut Membre -  
digizappeur Messages postés 21 Statut Membre -
Bonjour,
salut a tous voila g un prob de virus effaceur g lu des sujets dans le forum alors g désidé de poster pour avoir une solution a mon probleme si qlqun veut bien m'aider et que je remerci en avance
voici mon rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:59, on 18/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\NgrabLite\NGrabLite.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lnternet Update] lExplore.exe
O4 - HKLM\..\Run: [844a59de] rundll32.exe "C:\WINDOWS\system32\atkrqtyi.dll",b
O4 - HKLM\..\Run: [BM87796a42] Rundll32.exe "C:\WINDOWS\system32\pntciqjm.dll",s
O4 - HKLM\..\RunServices: [lnternet Update] lExplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers NGrabLite.lnk = C:\Program Files\NgrabLite\NGrabLite.exe
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download Video on This Page - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
O8 - Extra context menu item: Download Video This Links To - C:\Program Files\Tomato\YouTube Video Downloader\IELink.html
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Download Video - {B53C7980-9F20-48BB-8FC3-5A1CC9660C48} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
O9 - Extra 'Tools' menuitem: Download Video on This Page - {B53C7980-9F20-48BB-8FC3-5A1CC9660C48} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0F846AD-8332-439C-B93D-0CC0B9F6FE20}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6757 bytes

j'attend avec impationce merci
Configuration: Windows XP
Internet Explorer 6.0

40 réponses

  • 1
  • 2
Résumé de la discussion

Une infection décrite comme un virus effaceur est apparue sur un système Windows XP, et le rapport HijackThis met en évidence de multiples éléments malveillants et des entrées de démarrage suspectes. Des analyses complémentaires, notamment Kaspersky On-line Scanner, identifient plusieurs objets infectés et des fichiers système verrouillés, indiquant des infections profondes qu'il convient de traiter par des outils dédiés. En cas de nettoyage, les réponses suggèrent d’utiliser ComboFix et SmitfraudFix, puis d’éditer les rapports pour évaluer les éléments à supprimer ou mettre en quarantaine, tout en évitant les actions risquées. Certaines observations soulignent que les infections peuvent persister dans la restauration système ou la quarantaine, ce qui nécessite une vérification approfondie et une nouvelle analyse après suppression.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Salut,

    * Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
    * Double-clique VundoFix.exe afin de le lancer.
    * Clique sur le bouton Scan for Vundo.
    * Lorsque le scan est complété, clique sur le bouton Fix Vundo (uniquement si des fichiers infectieux sont trouvés).
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES.
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    0
  2. digizappeur Messages postés 21 Statut Membre
     
    avant tous merci pour ta reponse rapide

    g déja Vundofix g scané avec ya 3 heures et g suprimé les fichiers infectés mé le probleme persite g toujous le méssage de telecharger virus effaceur
    0
  3. Utilisateur anonyme
     
    salut fais ca:

    * Télécharger Combifix (by Subs) sur cette page :
    * http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Enregistrez le sur le bureau
    * Déconnectez vous d'internet et fermez toutes tes applications et programmes
    * Double-cliquez sur combo-fix.exe
    * Appuyer sur la touche Y (Yes) pour démarrer le scan
    * Le rapport sera crée sous la racine: C:\Combofix.txt

    Remarque : combo se charge de supprimer un certain nombre de fichiers infectés liés à bagle.
    Il est impératif de télécharger combo par le lien donné précédemment ( version renommée ) ou alors de renommer vous même combo ( clic droit sur le fichier < renommer ), car sinon Combo sera totalement inefficace face à Bagle !
    (vous pouver renomer combofix en n'importe quoi comme killer ou tuer etc...)

    vous me poster le rapport
    0
  4. digizappeur Messages postés 21 Statut Membre
     
    le rapport HijackThis c apres scan avec vundofix
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Oui.

    FillPCA
    0
  7. elsa
     
    BONJOUR,
    EST CE QUE C'EST POSSIBLE DE JOUER A PLUSIEURS AVEC LA M3 CAR J'AI ESSAYER AVEC UN POTE ET JE VOULAIS JOUER A MARIO CART J'AI MIS DELECHARGEMENT DS ET LUI IL A MIS CREER UN GROUPE ET APRES SA A MIS ERREUR DE COMMUNICATIONS.alors peut-tu m'aider??
    0
  8. Utilisateur anonyme
     
    ça na rien avoir avec la discutions!! !! elsa
    0
  9. digizappeur Messages postés 21 Statut Membre
     
    ComboFix 08-05-15.3 - NADIR 2008-05-18 18:54:31.1 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.543 [GMT 1:00]
    Endroit: C:\Documents and Settings\NADIR\Bureau\killer.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\cookies.ini
    C:\WINDOWS\Downloaded Program Files\setup.dll
    C:\WINDOWS\Downloaded Program Files\setup.inf
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\smdat32a.sys
    C:\WINDOWS\smdat32m.sys
    C:\WINDOWS\system32\atkrqtyi.dll
    C:\WINDOWS\system32\installer.exe
    C:\WINDOWS\system32\iytqrkta.ini
    C:\WINDOWS\system32\jiRrBJjl.ini
    C:\WINDOWS\system32\jiRrBJjl.ini2
    C:\WINDOWS\system32\ljJBrRij.dll
    C:\WINDOWS\system32\mcpqhlib.dll
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\rjbmrlwj.ini
    C:\WINDOWS\system32\xchfmnuh.ini
    C:\WINDOWS\xpupdate.exe

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-18 to 2008-05-18 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-18 18:37 . 2008-05-18 18:37 <REP> d-------- C:\Documents and Settings\NADIR\Application Data\Grisoft
    2008-05-18 18:37 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-05-18 18:36 . 2008-05-18 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-05-18 17:40 . 2008-05-18 17:40 <REP> d-------- C:\Program Files\Trend Micro
    2008-05-18 17:12 . 2008-05-18 17:12 <REP> d-------- C:\VundoFix Backups
    2008-05-18 13:07 . 2008-05-18 13:07 <REP> d-------- C:\Documents and Settings\NADIR\Download
    2008-05-18 13:07 . 2008-05-18 13:07 30,720 --a------ C:\WINDOWS\system32\ljJYRIBS.dll
    2008-05-18 13:07 . 2008-05-18 13:07 2,537 --a------ C:\Documents and Settings\NADIR\Application Data\update.log
    2008-05-18 13:01 . 2008-05-18 13:02 <REP> d-------- C:\Program Files\MalwareAlarm
    2008-05-17 21:19 . 2008-05-17 21:19 <REP> d-------- C:\Temp
    2008-05-17 19:58 . 2008-05-17 19:58 <REP> d-------- C:\Program Files\Kaspersky Lab
    2008-05-17 19:58 . 2008-05-17 19:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-05-17 19:58 . 2008-05-17 21:26 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
    2008-05-17 19:58 . 2008-05-17 21:26 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
    2008-05-17 19:57 . 2008-05-17 19:57 <REP> d-------- C:\KAV
    2008-05-17 19:57 . 2008-05-18 18:57 2,499,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2008-05-17 19:57 . 2008-05-18 18:57 38,732 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2008-05-17 19:57 . 2008-05-18 18:57 2,192 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-05-17 19:57 . 2008-05-18 18:57 800 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-05-17 18:10 . 2008-05-17 18:10 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-05-17 18:04 . 2008-05-17 18:04 <REP> d-------- C:\WINDOWS\AU_Temp
    2008-05-17 16:34 . 2008-05-17 18:12 40 --a------ C:\WINDOWS\TSC.INI
    2008-05-17 15:44 . 2008-05-17 15:44 <REP> d-------- C:\WINDOWS\AU_Log
    2008-05-17 15:44 . 2008-05-17 15:44 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
    2008-05-17 15:44 . 2008-05-17 15:44 286,720 --a------ C:\WINDOWS\PATCH.EXE
    2008-05-17 15:44 . 2008-05-17 15:44 69,689 --a------ C:\WINDOWS\UNZIP.DLL
    2008-05-17 15:44 . 2008-05-17 18:04 170 --a------ C:\WINDOWS\GetServer.ini
    2008-05-16 21:41 . 2008-05-16 21:41 <REP> d-------- C:\WINDOWS\NgrabLite
    2008-05-16 21:41 . 2008-05-16 21:41 <REP> d-------- C:\Program Files\NgrabLite
    2008-05-16 21:11 . 2008-05-16 21:11 82 --a------ C:\WINDOWS\mafosav.INI
    2008-05-16 20:39 . 2008-05-18 16:59 109,834 --a------ C:\WINDOWS\BM87796a42.xml
    2008-05-16 19:10 . 2008-05-16 19:10 2,290,176 --a------ C:\WINDOWS\system32\TUKernel.exe
    2008-05-16 18:35 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
    2008-05-16 08:32 . 2008-05-16 18:35 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
    2008-05-16 08:31 . 2008-05-16 08:31 <REP> d-------- C:\WINDOWS\Tnnp
    2008-05-16 08:31 . 2008-05-16 08:31 <REP> d-------- C:\Program Files\TuneUp Utilities 2008
    2008-05-16 08:31 . 2008-05-16 08:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
    2008-05-15 12:04 . 2008-05-15 12:04 <REP> d-------- C:\Program Files\MediaCoder
    2008-05-15 10:06 . 2008-05-15 10:06 <REP> d-------- C:\Program Files\Tomato
    2008-05-14 22:09 . 2008-05-14 22:09 <REP> d-------- C:\Program Files\PowerQuest

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-29 18:32 --------- d-----w C:\Documents and Settings\NADIR\Application Data\vlc
    2008-03-29 17:46 171,520 ----a-w C:\WINDOWS\system32\cncs32.dll
    2008-03-29 09:34 --------- d-----w C:\Program Files\WinHTTrack
    2008-03-28 08:39 --------- d-----w C:\Documents and Settings\NADIR\Application Data\Lumen
    2008-03-27 09:08 --------- d-----w C:\Program Files\Internet Download Manager
    2008-03-26 16:58 --------- d-----w C:\Program Files\Need2Find
    2008-03-26 12:49 --------- d-----w C:\Documents and Settings\NADIR\Application Data\IDM
    2008-03-25 15:36 --------- d-----w C:\Program Files\Kazaa
    2008-03-25 14:25 --------- d-----w C:\Documents and Settings\NADIR\Application Data\TuneUp Software
    2008-03-25 13:58 --------- d-----w C:\Program Files\uTorrent
    2008-03-25 13:58 --------- d-----w C:\Documents and Settings\NADIR\Application Data\uTorrent
    2008-03-25 13:34 --------- d-sh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-03-25 13:34 --------- d-----w C:\Program Files\Windows Live
    2008-03-25 13:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-03-25 12:54 --------- d-----w C:\Program Files\Triogical!
    2008-03-25 12:53 --------- d-----w C:\Program Files\SuperCopier2
    2008-03-25 12:51 --------- d-----w C:\Program Files\Samsung
    2008-03-25 12:43 --------- d-----w C:\Program Files\Innovative Solutions
    2008-03-25 12:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Innovative Solutions
    2008-03-25 09:42 --------- d-----w C:\Program Files\Lavasoft
    2008-03-25 09:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-03-25 09:41 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9523A8F7-75D0-4E0C-854A-7CF2A1EF79EA}]
    2008-05-18 13:07 30720 --a------ C:\WINDOWS\system32\ljJYRIBS.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
    "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45 1052672]
    "IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-03-27 10:08 2553264]
    "uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2008-03-30 14:09 263472]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32 208952]
    "PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2002-08-28 21:39 455168]
    "PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2002-08-28 21:39 455168]
    "SoundMan"="SOUNDMAN.EXE" [2004-05-14 08:47 67072 C:\WINDOWS\SOUNDMAN.EXE]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2001-12-16 18:55 2899968]
    "nwiz"="nwiz.exe" [2001-12-16 18:55 782336 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2001-12-16 18:55 46080]
    "lnternet Update"="lExplore.exe" []
    "BM87796a42"="C:\WINDOWS\system32\pntciqjm.dll" [ ]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "lnternet Update"="lExplore.exe" []

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:54 15360]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{9523A8F7-75D0-4E0C-854A-7CF2A1EF79EA}"= C:\WINDOWS\system32\ljJYRIBS.dll [2008-05-18 13:07 30720]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "UIHost"="C:\\Documents and Settings\\All Users\\Application Data\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNeCvv]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJYRIBS]
    ljJYRIBS.dll 2008-05-18 13:07 30720 C:\WINDOWS\system32\ljJYRIBS.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Microsoft Office\\Office12\\outlook.exe"=
    "C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "24411:TCP"= 24411:TCP:BitComet 24411 TCP
    "24411:UDP"= 24411:UDP:BitComet 24411 UDP

    R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:55]
    S3 DrvSnSht;DrvSnSht;C:\Program Files\R-Drive Image\DrvSnSht.sys []
    S3 R-ImageDisk;R-ImageDisk;C:\Program Files\R-Drive Image\R-ImageDisk.sys []
    S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-16 18:35]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    *Newly Created Service* - AVGASCLN
    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-05-18 18:00:10 C:\WINDOWS\Tasks\1-Click Maintenance.job"
    - C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-18 19:00:31
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
    "ImagePath"="\??\C:\DOCUME~1\NADIR\LOCALS~1\Temp\mc22.tmp"
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\ljJYRIBS.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\PROGRAM FILES\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
    C:\WINDOWS\SYSTEM32\NVSVC32.EXE
    C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
    C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
    C:\PROGRAM FILES\INTERNET DOWNLOAD MANAGER\IEMONITOR.EXE
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-18 19:02:18 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-18 18:02:12

    Pre-Run: 15,282,700,288 octets libres
    Post-Run: 15,265,792,000 octets libres

    189
    0
  10. Utilisateur anonyme
     
    ok recolle moi un log hijackthis stp
    0
  11. digizappeur Messages postés 21 Statut Membre
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:31:13, on 18/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\Program Files\uTorrent\uTorrent.exe
    C:\Program Files\NgrabLite\NGrabLite.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {9523A8F7-75D0-4E0C-854A-7CF2A1EF79EA} - C:\WINDOWS\system32\ljJYRIBS.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [lnternet Update] lExplore.exe
    O4 - HKLM\..\Run: [BM87796a42] Rundll32.exe "C:\WINDOWS\system32\pntciqjm.dll",s
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\RunServices: [lnternet Update] lExplore.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Raccourci vers NGrabLite.lnk = C:\Program Files\NgrabLite\NGrabLite.exe
    O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
    O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Download Video on This Page - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O8 - Extra context menu item: Download Video This Links To - C:\Program Files\Tomato\YouTube Video Downloader\IELink.html
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Download Video - {B53C7980-9F20-48BB-8FC3-5A1CC9660C48} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O9 - Extra 'Tools' menuitem: Download Video on This Page - {B53C7980-9F20-48BB-8FC3-5A1CC9660C48} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D0F846AD-8332-439C-B93D-0CC0B9F6FE20}: NameServer = 192.168.1.1
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: byXNeCvv - C:\WINDOWS\
    O20 - Winlogon Notify: ljJYRIBS - C:\WINDOWS\SYSTEM32\ljJYRIBS.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    0
  12. Utilisateur anonyme
     
    fais ca :

    * Téléchargez ELIBAGLA (by SATINFO) en bas de cette page : http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    * Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez le sur votre bureau.
    * Double-cliquez dessus pour l'ouvrir
    * Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ (ou la partition contenant le système d'exploitation)
    * Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
    * Cliquez sur le bouton Explorar pour lancer l'analyse, à la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt
    et vous me poster le rapport
    0
  13. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Jessydu54,

    Tu es gentil mais tu me laisses prendre en charge ce sujet s'il te plait !

    FillPCA
    0
  14. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    # Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    # Imprime ceci.
    # Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    * Redémarre ton ordinateur.
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
    * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    * Choisis ton compte.

    # Déroule la liste des instructions ci-dessous :

    * En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le script.
    * Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    * Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    FillPCA
    0
  15. digizappeur Messages postés 21 Statut Membre
     
    voila le rapport

    Sun May 18 19:46:57 2008
    EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Sun May 18 19:47:38 2008
    EliBagle v11.37 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 2360
    Nº Total de Ficheros: 36420
    Nº de Ficheros Analizados: 8929
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    0
  16. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Elibagla est inutile, ce n'est pas Bagle. Fais ce qui est demandé juste au-dessus s'il te plait.

    FillPCA
    0
  17. digizappeur Messages postés 21 Statut Membre
     
    OK FillPCA
    0
  18. digizappeur Messages postés 21 Statut Membre
     
    rapport SDFIX :

    [b]SDFix: Version 1.183 [/b]
    Run by NADIR on 18/05/2008 at 20:19

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\WINDOWS\Downloaded Program Files\UGA6P_0001_N122M2802NetInstaller.exe - Deleted

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-18 20:25:42
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Microsoft Office\\Office12\\outlook.exe"="C:\\Program Files\\Microsoft Office\\Office12\\outlook.exe:*:Enabled:Microsoft Office Outlook"
    "C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
    "C:\\Program Files\\NgrabLite\\NGrabLite.exe"="C:\\Program Files\\NgrabLite\\NGrabLite.exe:*:Enabled:NGrabLite"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

    [b]Remaining Files [/b]:

    File Backups: - C:\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Mon 22 Jul 2002 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
    Fri 19 Jul 2002 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
    Fri 19 Jul 2002 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
    Tue 20 Aug 2002 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
    Tue 23 Jul 2002 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
    Fri 22 Nov 2002 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
    Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
    Fri 19 Jul 2002 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
    Mon 2 Dec 2002 431,616 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
    Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
    Sat 17 May 2008 1,024 A..H. --- "C:\System Volume Information\_restore{01BBA15E-FAF0-4FFE-8D8C-88D8ECEFA95D}\RP2\A0001096.sys"
    Tue 25 Mar 2008 23,513,448 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\60f98441524da959e4cfd96533bfcea5\BIT90.tmp"
    Tue 25 Mar 2008 14,504,976 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7333946973f87a4fdf879a85eeae256b\BIT1C4.tmp"
    Tue 25 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bc7043d60e692448b548f03d568309ab\BIT1C7.tmp"
    Tue 25 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8b3179d71e82d8085d960408b16ae5bf\BIT1C8.tmp"

    [b]Finished![/b]

    rapport HijackThis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:27:58, on 18/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Internet Download Manager\IDMan.exe
    C:\Program Files\NgrabLite\NGrabLite.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {9523A8F7-75D0-4E0C-854A-7CF2A1EF79EA} - C:\WINDOWS\system32\ljJYRIBS.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [BM87796a42] Rundll32.exe "C:\WINDOWS\system32\pntciqjm.dll",s
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Raccourci vers NGrabLite.lnk = C:\Program Files\NgrabLite\NGrabLite.exe
    O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
    O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Download Video on This Page - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O8 - Extra context menu item: Download Video This Links To - C:\Program Files\Tomato\YouTube Video Downloader\IELink.html
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Download Video - {B53C7980-9F20-48BB-8FC3-5A1CC9660C48} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O9 - Extra 'Tools' menuitem: Download Video on This Page - {B53C7980-9F20-48BB-8FC3-5A1CC9660C48} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D0F846AD-8332-439C-B93D-0CC0B9F6FE20}: NameServer = 192.168.1.1
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: byXNeCvv - C:\WINDOWS\
    O20 - Winlogon Notify: ljJYRIBS - C:\WINDOWS\SYSTEM32\ljJYRIBS.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    0
  19. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1/ Je ne saurasi trop t'inciter à virer les logiciels de p2p (Kazaa, utorrent etc...). Si tu as chopé Vundo, c'est à cause d'eux.

    2/ * Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

    * Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip
    * Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU).
    * Fais un clic droit ici : http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
    et choisis "Enregistrer la cible sous..." afin de télécharger toolbar.bfu (de Chercheur). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : toolbar.bfu et BFU.exe (très important).
    * Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
    * Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
    o Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : toolbar.bfu
    o Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\toolbar.bfu
    o Clique sur Execute et laisse-le faire son travail.
    o Attendre que Complete script execution apparaîsse et clique sur OK.
    o Clique Exit pour fermer le programme BFU.
    * Redémarre normalement.

    3/ * Sélectionne le texte suivant :

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9523A8F7-75D0-4E0C-854A-7CF2A1EF79EA}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BM87796a42"=-
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{9523A8F7-75D0-4E0C-854A-7CF2A1EF79EA}"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNeCvv]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJYRIBS]

    File::
    C:\WINDOWS\system32\ljJYRIBS.dll


    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-note (programme>Accessoire>bloc-note).
    * Colle le texte copié dans ce bloc-note (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt
    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    3/ Edite le rapport Combofix, un nouveau rapport Hijackthis et dis-moi comment se porte le pc.

    FillPCA
    0
  20. digizappeur Messages postés 21 Statut Membre
     
    g fé glissé
    g u un message qui dit yes et no pas 1 et 2 comme vous avez dit
    bref je l'ais fé et je crois ca va mieu maintenant
    voici les rapports:

    combofix :

    ComboFix 08-05-15.3 - NADIR 2008-05-18 21:22:10.2 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.485 [GMT 1:00]
    Endroit: C:\Documents and Settings\NADIR\Bureau\killer.exe
    Command switches used :: C:\Documents and Settings\NADIR\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\WINDOWS\system32\ljJYRIBS.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\dLkTEfhk.ini
    C:\WINDOWS\system32\dLkTEfhk.ini2
    C:\WINDOWS\system32\ggclnevl.ini
    C:\WINDOWS\system32\ljJYRIBS.dll
    C:\WINDOWS\system32\tgrnoeoa.exe

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-18 to 2008-05-18 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-18 20:58 . 2008-05-18 20:58 <REP> d-------- C:\BUF
    2008-05-18 20:32 . 2008-05-18 20:32 80,896 --a------ C:\WINDOWS\system32\lvenlcgg.dll
    2008-05-18 20:30 . 2008-05-18 20:30 90,624 --a------ C:\WINDOWS\system32\ncsbeiqx.dll
    2008-05-18 20:28 . 2008-05-18 20:29 280,576 --a------ C:\WINDOWS\system32\khfETkLd.dll
    2008-05-18 20:16 . 2008-05-17 02:23 <REP> d-------- C:\SDFix
    2008-05-18 20:05 . 2008-05-18 20:05 <REP> d-------- C:\WINDOWS\ERUNT
    2008-05-18 18:37 . 2008-05-18 18:37 <REP> d-------- C:\Documents and Settings\NADIR\Application Data\Grisoft
    2008-05-18 18:37 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-05-18 18:36 . 2008-05-18 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-05-18 17:40 . 2008-05-18 17:40 <REP> d-------- C:\Program Files\Trend Micro
    2008-05-18 17:12 . 2008-05-18 17:12 <REP> d-------- C:\VundoFix Backups
    2008-05-18 13:07 . 2008-05-18 13:07 <REP> d-------- C:\Documents and Settings\NADIR\Download
    2008-05-18 13:07 . 2008-05-18 13:07 2,537 --a------ C:\Documents and Settings\NADIR\Application Data\update.log
    2008-05-18 13:01 . 2008-05-18 13:02 <REP> d-------- C:\Program Files\MalwareAlarm
    2008-05-17 21:19 . 2008-05-17 21:19 <REP> d-------- C:\Temp
    2008-05-17 19:58 . 2008-05-17 19:58 <REP> d-------- C:\Program Files\Kaspersky Lab
    2008-05-17 19:58 . 2008-05-17 19:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-05-17 19:58 . 2008-05-17 21:26 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
    2008-05-17 19:58 . 2008-05-17 21:26 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
    2008-05-17 19:57 . 2008-05-17 19:57 <REP> d-------- C:\KAV
    2008-05-17 19:57 . 2008-05-18 21:25 2,514,208 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2008-05-17 19:57 . 2008-05-18 21:25 38,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2008-05-17 19:57 . 2008-05-18 21:25 2,216 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-05-17 19:57 . 2008-05-18 21:25 1,056 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-05-17 18:10 . 2008-05-17 18:10 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-05-17 18:04 . 2008-05-17 18:04 <REP> d-------- C:\WINDOWS\AU_Temp
    2008-05-17 16:34 . 2008-05-17 18:12 40 --a------ C:\WINDOWS\TSC.INI
    2008-05-17 15:44 . 2008-05-17 15:44 <REP> d-------- C:\WINDOWS\AU_Log
    2008-05-17 15:44 . 2008-05-17 15:44 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
    2008-05-17 15:44 . 2008-05-17 15:44 286,720 --a------ C:\WINDOWS\PATCH.EXE
    2008-05-17 15:44 . 2008-05-17 15:44 69,689 --a------ C:\WINDOWS\UNZIP.DLL
    2008-05-17 15:44 . 2008-05-17 18:04 170 --a------ C:\WINDOWS\GetServer.ini
    2008-05-16 21:41 . 2008-05-16 21:41 <REP> d-------- C:\WINDOWS\NgrabLite
    2008-05-16 21:41 . 2008-05-16 21:41 <REP> d-------- C:\Program Files\NgrabLite
    2008-05-16 21:11 . 2008-05-16 21:11 82 --a------ C:\WINDOWS\mafosav.INI
    2008-05-16 20:39 . 2008-05-18 20:30 109,807 --a------ C:\WINDOWS\BM87796a42.xml
    2008-05-16 19:10 . 2008-05-16 19:10 2,290,176 --a------ C:\WINDOWS\system32\TUKernel.exe
    2008-05-16 18:35 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
    2008-05-16 08:32 . 2008-05-16 18:35 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
    2008-05-16 08:31 . 2008-05-16 08:31 <REP> d-------- C:\WINDOWS\Tnnp
    2008-05-16 08:31 . 2008-05-16 08:31 <REP> d-------- C:\Program Files\TuneUp Utilities 2008
    2008-05-16 08:31 . 2008-05-16 08:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
    2008-05-15 12:04 . 2008-05-15 12:04 <REP> d-------- C:\Program Files\MediaCoder
    2008-05-15 10:06 . 2008-05-15 10:06 <REP> d-------- C:\Program Files\Tomato
    2008-05-14 22:09 . 2008-05-14 22:09 <REP> d-------- C:\Program Files\PowerQuest

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-29 18:32 --------- d-----w C:\Documents and Settings\NADIR\Application Data\vlc
    2008-03-29 17:46 171,520 ----a-w C:\WINDOWS\system32\cncs32.dll
    2008-03-29 09:34 --------- d-----w C:\Program Files\WinHTTrack
    2008-03-28 08:39 --------- d-----w C:\Documents and Settings\NADIR\Application Data\Lumen
    2008-03-27 09:08 --------- d-----w C:\Program Files\Internet Download Manager
    2008-03-26 12:49 --------- d-----w C:\Documents and Settings\NADIR\Application Data\IDM
    2008-03-25 15:36 --------- d-----w C:\Program Files\Kazaa
    2008-03-25 14:25 --------- d-----w C:\Documents and Settings\NADIR\Application Data\TuneUp Software
    2008-03-25 13:58 --------- d-----w C:\Program Files\uTorrent
    2008-03-25 13:58 --------- d-----w C:\Documents and Settings\NADIR\Application Data\uTorrent
    2008-03-25 13:34 --------- d-sh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-03-25 13:34 --------- d-----w C:\Program Files\Windows Live
    2008-03-25 13:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-03-25 12:54 --------- d-----w C:\Program Files\Triogical!
    2008-03-25 12:53 --------- d-----w C:\Program Files\SuperCopier2
    2008-03-25 12:51 --------- d-----w C:\Program Files\Samsung
    2008-03-25 12:43 --------- d-----w C:\Program Files\Innovative Solutions
    2008-03-25 12:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Innovative Solutions
    2008-03-25 09:42 --------- d-----w C:\Program Files\Lavasoft
    2008-03-25 09:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-03-25 09:41 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    .

    ((((((((((((((((((((((((((((( snapshot@2008-05-18_19.01.43.00 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-05-18 17:58:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-05-18 20:26:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-05-17 01:22:38 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
    + 2008-05-18 19:16:30 3,964,928 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
    + 2008-05-18 19:16:32 28,672 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
    + 2008-05-17 01:22:38 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
    + 2008-05-18 19:05:50 3,964,928 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\ntuser.dat
    + 2008-05-18 19:05:50 28,672 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6B748EF9-6D52-485A-934E-FF28579A6191}]
    2008-05-18 20:29 280576 --a------ C:\WINDOWS\system32\khfETkLd.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
    "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45 1052672]
    "IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-03-27 10:08 2553264]
    "uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2008-03-30 14:09 263472]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32 208952]
    "PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2002-08-28 21:39 455168]
    "PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2002-08-28 21:39 455168]
    "SoundMan"="SOUNDMAN.EXE" [2004-05-14 08:47 67072 C:\WINDOWS\SOUNDMAN.EXE]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2001-12-16 18:55 2899968]
    "nwiz"="nwiz.exe" [2001-12-16 18:55 782336 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2001-12-16 18:55 46080]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
    "844a59de"="C:\WINDOWS\system32\lvenlcgg.dll" [2008-05-18 20:32 80896]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:54 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "UIHost"="C:\\Documents and Settings\\All Users\\Application Data\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Microsoft Office\\Office12\\outlook.exe"=
    "C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=
    "C:\\Program Files\\NgrabLite\\NGrabLite.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "24411:TCP"= 24411:TCP:BitComet 24411 TCP
    "24411:UDP"= 24411:UDP:BitComet 24411 UDP

    R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:55]
    S3 DrvSnSht;DrvSnSht;C:\Program Files\R-Drive Image\DrvSnSht.sys []
    S3 R-ImageDisk;R-ImageDisk;C:\Program Files\R-Drive Image\R-ImageDisk.sys []
    S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-16 18:35]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-05-18 20:26:36 C:\WINDOWS\Tasks\1-Click Maintenance.job"
    - C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-18 21:26:57
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
    "ImagePath"="\??\C:\DOCUME~1\NADIR\LOCALS~1\Temp\mc22.tmp"
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\PROGRAM FILES\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE
    C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\GUARD.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
    C:\WINDOWS\SYSTEM32\NVSVC32.EXE
    C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
    C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
    C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
    C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
    C:\PROGRAM FILES\INTERNET DOWNLOAD MANAGER\IEMONITOR.EXE
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-18 21:29:07 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-18 20:29:04
    ComboFix2.txt 2008-05-18 18:02:20

    Pre-Run: 15,191,719,936 octets libres
    Post-Run: 15,181,053,952 octets libres

    184

    et le nouveau rapport de Hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:49:43, on 18/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Download Manager\IEMonitor.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {6B748EF9-6D52-485A-934E-FF28579A6191} - C:\WINDOWS\system32\khfETkLd.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [844a59de] rundll32.exe "C:\WINDOWS\system32\lvenlcgg.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
    O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Raccourci vers NGrabLite.lnk = C:\Program Files\NgrabLite\NGrabLite.exe
    O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
    O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
    O8 - Extra context menu item: Download Video on This Page - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O8 - Extra context menu item: Download Video This Links To - C:\Program Files\Tomato\YouTube Video Downloader\IELink.html
    O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Download Video - {B53C7980-9F20-48BB-8FC3-5A1CC9660C48} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O9 - Extra 'Tools' menuitem: Download Video on This Page - {B53C7980-9F20-48BB-8FC3-5A1CC9660C48} - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D0F846AD-8332-439C-B93D-0CC0B9F6FE20}: NameServer = 192.168.1.1
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    0
  • 1
  • 2