Infecté par TROJ PRIVACYSE.A

Résolu
Nico -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
Je suis infecté par le trojan PRYVACISE.A, non-cleanable par secuser.com.
Pouvez-vous m'aider à le supprimer.
Merci d'avance
Nico
Configuration: Windows XP
Internet Explorer 7.0

62 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une infection par le cheval de Troie PRYVACISE.A sur Windows XP est discutée, visant à la supprimer et à nettoyer les composants résiduels du malware. Plusieurs solutions recommandent d'arrêter la restauration système, puis d'exécuter des outils de nettoyage comme Combofix avec un CFScript, puis de générer des rapports HijackThis et Combofix pour analyse. D'autres parlent de compléter le nettoyage par Malwarebytes, et d'insister sur la consultation des rapports pour identifier les éléments persistant comme les fichiers DLL et les entrées de registre. Pour compléter, plusieurs échanges recommandent d'afficher les fichiers protégés et les dossiers cachés pour repérer des composants malveillants dissimulés, puis de poursuivre le nettoyage avec des outils complémentaires et des rapports de vérification.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut,

    Télécharge HijackThis ici :

    -> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Post le rapport généré ici stp...

    @+
    0
    1. Nico
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:28:00, on 30/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.5730.0013)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      d:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O3 - Toolbar: Mirar - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\version69ie7fix.dll
      O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
      O4 - HKLM\..\Run: [6c23a4f0] rundll32.exe "C:\WINDOWS\system32\joqqyown.dll",b
      O4 - HKLM\..\Run: [BM6f10976c] Rundll32.exe "C:\WINDOWS\system32\ljsbnuqf.dll",s
      O4 - HKLM\..\Run: [AntiSpywareExpert] C:\Program Files\AntiSpywareExpert\ase_fr.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
      O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
      O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O15 - Trusted Zone: http://click.getmirar.com (HKLM)
      O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
      O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
      O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      0
    2. Nico
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:28:00, on 30/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.5730.0013)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      d:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O3 - Toolbar: Mirar - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\version69ie7fix.dll
      O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
      O4 - HKLM\..\Run: [6c23a4f0] rundll32.exe "C:\WINDOWS\system32\joqqyown.dll",b
      O4 - HKLM\..\Run: [BM6f10976c] Rundll32.exe "C:\WINDOWS\system32\ljsbnuqf.dll",s
      O4 - HKLM\..\Run: [AntiSpywareExpert] C:\Program Files\AntiSpywareExpert\ase_fr.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
      O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
      O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O15 - Trusted Zone: http://click.getmirar.com (HKLM)
      O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
      O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
      O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      0
  2. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    Téléchargez ceci (de gchris) : http://sd-1.archive-host.com/membres/up/1366464061/Ad-Fix.zip
    Dézippez-le sur votre bureau (clic droit -> extraire tout).
    Vérifiez que vous êtes bien connecté à internet.
    Dans le dossier créé, double-cliquez sur le fichier "Ad-Fix.bat" ou "Ad-fix"
    Choisissez l'option 1.
    Si vous avez un message de votre pare-feu qui vous demande si vous voulez autoriser le fichier URL2FILE.EXE à
    se connecter à Internet, Autorisez, c'est nécessaire à ad-fix pour vérifier la version.
    Quand c'est finit (cela peut prendre plusieurs minutes), un rapport s'ouvre avec le bloc-notes.
    Merci de faire un copier/coller ici du contenu du rapport (Ad-Fix.txt)

    @+
    0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    j´ai edité le post car bt fix n´est pas telechargeablke pour le moment, adfix va faire l´affaire ;-)
    @+
    0
    1. Nico
       
      Ad-Fix v0.101e
      by gchris


      OPTION 1 (Scan) :

      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Démarré à :

      19:01:51,42 30/05/2008


      Executé depuis :

      C:\Documents and Settings\Will\Bureau\Ad-Fix\Ad-Fix


      Os :

      Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Recherche de fichier manquant


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Recherche de fichiers cachés (pas forcément mauvais)


      Fichiers cachés à la racine du disque système :

      boot.ini
      Bootfont.bin
      hiberfil.sys
      IO.SYS
      MSDOS.SYS
      NTDETECT.COM
      ntldr
      pagefile.sys
      sqmdata00.sqm
      sqmnoopt00.sqm

      Fichiers cachés dans le répertoire Windows :

      WindowsShell.Manifest
      winnt.bmp
      winnt256.bmp

      Fichiers cachés dans le répertoire System32 :

      aevpqoen.ini
      apgqxkmb.ini
      Atmfraxx.GID
      cdplayer.exe.manifest
      chgficeh.ini
      efkfmarg.ini
      gppatuxj.ini
      hjjlm.ini
      hjjlm.ini2
      iulbruwk.ini
      jfngknra.ini
      jmllm.ini
      jmllm.ini2
      kjkmp.ini
      kjkmp.ini2
      logonui.exe.manifest
      mlkkj.ini
      mlkkj.ini2
      ncpa.cpl.manifest
      nqstv.ini
      nqstv.ini2
      nwc.cpl.manifest
      nwoyqqoj.ini
      odarpkqu.ini
      oqtss.ini
      oqtss.ini2
      pqtss.ini
      pqtss.ini2
      pstwa.ini
      pstwa.ini2
      qqstv.ini
      qqstv.ini2
      rtutv.ini
      rtutv.ini2
      ruqcmhxi.ini
      sapi.cpl.manifest
      sstwa.ini
      sstwa.ini2
      ststv.ini
      ststv.ini2
      sttss.ini
      sttss.ini2
      ttstv.ini
      ttstv.ini2
      vedfdnxt.ini
      vybeg.ini
      vybeg.ini2
      WindowsLogon.manifest
      wuaucpl.cpl.manifest
      xhchptej.ini

      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Analyse du registre


      ---------- USER AGENT -- POST PLATFORM

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

      ----------

      ---------- AppInit_DLLs

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""

      ----------
      HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908} Détecté !
      HKLM\SOFTWARE\Classes\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} Détecté !
      HKLM\SOFTWARE\Classes\Interface\{1037B06C-84B7-4240-8D80-485810A0497D} Détecté !
      HKLM\SOFTWARE\Classes\Interface\{48E59292-9880-11CF-9754-00AA00C00908} Détecté !
      HKLM\SOFTWARE\Classes\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D} Détecté !
      HKLM\SOFTWARE\Classes\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F} Détecté !
      HKLM\SOFTWARE\Classes\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49} Détecté !
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com Détecté !
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75} Détecté !


      Complete!

      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Recherche de fichiers et dossiers


      C:\WINDOWS\Downloaded Program Files\setup.inf Détecté !


      C:\WINDOWS\system32\pmkjk.dll Détecté ! (Vundo)


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Terminé à 19:05:03,10
      0
  4. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    ¤Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

    Lancez de nouveau Ad-fix
    Choisissez l'option 2
    Le bureau ou les icônes vont disparaître, c'est normal.
    Quand c'est terminé, pressez la touche "entrée" pour redémarrer l'ordinateur.

    Copiez collez ici, le contenu du nouveau rapport.

    avec un nouveau rapport hijack this stp

    @+
    0
    1. Nico
       
      Ad-Fix v0.101e
      by gchris


      OPTION 2 (Fix) :

      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Démarré à :

      19:17:51,35 30/05/2008
      en mode sans échec


      Executé depuis :

      C:\Documents and Settings\Will\Bureau\Ad-Fix\Ad-Fix


      Os :

      Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Recherche de fichier manquant


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Nettoyage du registre

      HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908} Supprimé !
      HKLM\SOFTWARE\Classes\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} Supprimé !
      HKLM\SOFTWARE\Classes\Interface\{1037B06C-84B7-4240-8D80-485810A0497D} Supprimé !
      HKLM\SOFTWARE\Classes\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D} Supprimé !
      HKLM\SOFTWARE\Classes\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F} Supprimé !
      HKLM\SOFTWARE\Classes\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49} Supprimé !
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com Supprimé !
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75} Supprimé !


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Suppression des fichiers

      C:\WINDOWS\Downloaded Program Files\setup.inf Supprimé !
      C:\WINDOWS\system32\pmkjk.dll Supprimé !

      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

      Terminé à 19:23:48,20


      Redémarrage effectué


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 19:30:33, on 30/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.5730.0013)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      d:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\notepad.exe
      d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\vsnpstd2.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\Rundll32.exe
      C:\Program Files\AntiSpywareExpert\ase_fr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      C:\Program Files\Hamachi\hamachi.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: {e23d3a30-b051-e6f9-2084-3924b5d78a52} - {25a87d5b-4293-4802-9f6e-150b03a3d32e} - C:\WINDOWS\system32\lnbdsfwt.dll
      O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\wvutsts.dll
      O2 - BHO: dcads - {733716E1-76D2-4003-AC39-845281C0EF85} - C:\WINDOWS\system32\nse152.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: (no name) - {A70B0636-4780-4894-AAB4-61397DCD435C} - C:\WINDOWS\system32\sstts.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
      O2 - BHO: mysidesearch browser optimizer - {fd10f60f-45c4-16d3-2799-6440c219b48f} - C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll
      O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
      O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
      O4 - HKLM\..\Run: [6c23a4f0] rundll32.exe "C:\WINDOWS\system32\joqqyown.dll",b
      O4 - HKLM\..\Run: [AntiSpywareExpert] C:\Program Files\AntiSpywareExpert\ase_fr.exe
      O4 - HKLM\..\Run: [BM6f10976c] Rundll32.exe "C:\WINDOWS\system32\ljsbnuqf.dll",s
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
      O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
      O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O15 - Trusted Zone: http://click.getmirar.com (HKLM)
      O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
      O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O20 - Winlogon Notify: wvutsts - C:\WINDOWS\SYSTEM32\wvutsts.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    ah oui quand meme...

    passe :

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    * Double-clique VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    puis

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Post un nouveau rapport hijack this egalement

    Donc post les trois rapports

    @+
    0
    1. Nico
       
      Bonjour
      Désolé pour l'attente mais j'ai du régler quelques problèmes perso.
      Voici les rapports.

      VundoFix V7.0.5

      Scan started at 19:42:56 30/05/2008

      Listing files found while scanning....

      C:\windows\system32\bbadd.ini
      C:\windows\system32\bbadd.ini2
      C:\windows\system32\ddabb.dll
      C:\windows\system32\jkklm.dll
      C:\windows\system32\sstqp.dll
      C:\windows\system32\vtsqq.dll
      C:\WINDOWS\system32\wvutsts.dll

      VundoFix V7.0.5

      Scan started at 19:50:49 30/05/2008

      Listing files found while scanning....

      C:\windows\system32\bbadd.ini
      C:\windows\system32\bbadd.ini2
      C:\windows\system32\ddabb.dll
      C:\windows\system32\jkklm.dll
      C:\windows\system32\sstqp.dll
      C:\windows\system32\vtsqq.dll
      C:\WINDOWS\system32\wvutsts.dll

      VundoFix V7.0.5

      Scan started at 19:56:12 30/05/2008

      Listing files found while scanning....

      C:\windows\system32\bbadd.ini
      C:\windows\system32\bbadd.ini2
      C:\windows\system32\ddabb.dll
      C:\windows\system32\jkklm.dll
      C:\windows\system32\sstqp.dll
      C:\windows\system32\vtsqq.dll
      C:\WINDOWS\system32\wvutsts.dll

      Beginning removal...

      Attempting to delete C:\windows\system32\bbadd.ini
      C:\windows\system32\bbadd.ini Has been deleted!

      Attempting to delete C:\windows\system32\bbadd.ini2
      C:\windows\system32\bbadd.ini2 Has been deleted!

      Attempting to delete C:\windows\system32\ddabb.dll
      C:\windows\system32\ddabb.dll Could not be deleted.

      Attempting to delete C:\windows\system32\jkklm.dll
      C:\windows\system32\jkklm.dll Has been deleted!

      Attempting to delete C:\windows\system32\sstqp.dll
      C:\windows\system32\sstqp.dll Has been deleted!

      Attempting to delete C:\windows\system32\vtsqq.dll
      C:\windows\system32\vtsqq.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\wvutsts.dll
      C:\WINDOWS\system32\wvutsts.dll Could not be deleted.

      Performing Repairs to the registry.
      Done!

      Beginning removal...

      Performing Repairs to the registry.
      Done!

      ComboFix 08-05-26.2 - Will 2008-06-02 18:17:56.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.530 [GMT 2:00]
      Endroit: C:\Documents and Settings\Will\Bureau\ComboFix.exe
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Program Files\Adssite Games Collection
      C:\Program Files\Adssite Games Collection\BattlesOfHelicopters.exe
      C:\Program Files\Adssite Games Collection\BobAndBill.exe
      C:\Program Files\Adssite Games Collection\CrazyBlocks.exe
      C:\Program Files\Adssite Games Collection\Lines.exe
      C:\Program Files\Adssite Games Collection\uninstall.exe
      C:\Program Files\Adssite Games Collection\VideoPool.exe
      C:\Program Files\AntiSpywareExpert
      C:\Program Files\AntiSpywareExpert\ase_fr.exe
      C:\Program Files\PlayMP3z
      C:\Program Files\PlayMP3z\uninstall.exe
      C:\WINDOWS\BM6f10976c.xml
      C:\WINDOWS\cookies.ini
      C:\WINDOWS\pskt.ini
      C:\WINDOWS\system32\aevpqoen.ini
      C:\WINDOWS\system32\akffudti.dll
      C:\WINDOWS\system32\apgqxkmb.ini
      C:\WINDOWS\system32\chgficeh.ini
      C:\WINDOWS\system32\dcads-remove.exe
      C:\WINDOWS\system32\efkfmarg.ini
      C:\WINDOWS\system32\eghyorde.exe
      C:\WINDOWS\system32\eteuinhd.exe
      C:\WINDOWS\system32\fqhevaim.dll
      C:\WINDOWS\system32\gppatuxj.ini
      C:\WINDOWS\system32\gwcopyfs.ini
      C:\WINDOWS\system32\hjjlm.ini
      C:\WINDOWS\system32\hjjlm.ini2
      C:\WINDOWS\system32\inoyalcm.dll
      C:\WINDOWS\system32\iulbruwk.ini
      C:\WINDOWS\system32\jfngknra.ini
      C:\WINDOWS\system32\jmllm.ini
      C:\WINDOWS\system32\jmllm.ini2
      C:\WINDOWS\system32\joqqyown.dll
      C:\WINDOWS\system32\kjkmp.ini
      C:\WINDOWS\system32\kjkmp.ini2
      C:\WINDOWS\system32\lbmaqcwt.exe
      C:\WINDOWS\system32\ljsbnuqf.dll
      C:\WINDOWS\system32\lkkatssk.dll
      C:\WINDOWS\system32\lnbdsfwt.dll
      C:\WINDOWS\system32\mlkkj.ini
      C:\WINDOWS\system32\mlkkj.ini2
      C:\WINDOWS\system32\MSINET.oca
      C:\WINDOWS\system32\mvsruwwf.dll
      C:\WINDOWS\system32\nmvrnmtt.dll
      C:\WINDOWS\system32\nqstv.ini
      C:\WINDOWS\system32\nqstv.ini2
      C:\WINDOWS\system32\ntmbwwbv.dll
      C:\WINDOWS\system32\nwoyqqoj.ini
      C:\WINDOWS\system32\odarpkqu.ini
      C:\WINDOWS\system32\oqtss.ini
      C:\WINDOWS\system32\oqtss.ini2
      C:\WINDOWS\system32\pqtss.ini
      C:\WINDOWS\system32\pqtss.ini2
      C:\WINDOWS\system32\pstwa.ini
      C:\WINDOWS\system32\pstwa.ini2
      C:\WINDOWS\system32\qqstv.ini
      C:\WINDOWS\system32\qqstv.ini2
      C:\WINDOWS\system32\rtutv.ini
      C:\WINDOWS\system32\rtutv.ini2
      C:\WINDOWS\system32\ruqcmhxi.ini
      C:\WINDOWS\system32\sfypocwg.dll
      C:\WINDOWS\system32\sstwa.ini
      C:\WINDOWS\system32\sstwa.ini2
      C:\WINDOWS\system32\ststv.ini
      C:\WINDOWS\system32\ststv.ini2
      C:\WINDOWS\system32\sttss.ini
      C:\WINDOWS\system32\sttss.ini2
      C:\WINDOWS\system32\ttstv.ini
      C:\WINDOWS\system32\ttstv.ini2
      C:\WINDOWS\system32\utryidru.exe
      C:\WINDOWS\system32\vedfdnxt.ini
      C:\WINDOWS\system32\version69ie7fix.dll
      C:\WINDOWS\system32\vybeg.ini
      C:\WINDOWS\system32\vybeg.ini2
      C:\WINDOWS\system32\winnb58.dll
      C:\WINDOWS\system32\wremfgow.dll
      C:\WINDOWS\system32\xhchptej.ini
      C:\WINDOWS\system32\xolqyprs.exe

      .
      ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-02 to 2008-06-02 ))))))))))))))))))))))))))))))))))))
      .

      2008-05-30 20:22 . 2008-05-30 20:22 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
      2008-05-30 19:42 . 2008-05-30 20:21 <REP> d-------- C:\VundoFix Backups
      2008-05-30 19:17 . 2008-05-30 19:01 16,384 --a------ C:\WINDOWS\system32\restart.exe
      2008-05-30 18:59 . 2008-05-30 18:58 184,320 --a------ C:\WINDOWS\system32\delnext.exe
      2008-05-30 18:30 . 2008-05-30 18:30 26,480 --a------ C:\WINDOWS\system32\xxyvtsPg.dll
      2008-05-30 18:27 . 2008-05-30 18:27 <REP> d-------- C:\Program Files\Trend Micro
      2008-05-30 11:33 . 2008-05-30 11:33 <REP> d-------- C:\WINDOWS\report
      2008-05-30 11:33 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\LPT$VPN.295
      2008-05-30 11:27 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Backup
      2008-05-30 11:27 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\VPTNFILE.295
      2008-05-30 11:27 . 2008-05-30 11:27 1,954,681 --a------ C:\WINDOWS\tsc.ptn
      2008-05-30 11:27 . 2008-05-30 11:27 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
      2008-05-30 11:27 . 2008-05-30 11:27 333,576 --a------ C:\WINDOWS\TSC.exe
      2008-05-30 11:27 . 2008-05-30 11:27 91,744 --a------ C:\WINDOWS\BPMNT.dll
      2008-05-30 11:27 . 2008-05-30 11:27 71,749 --a------ C:\WINDOWS\hcextoutput.dll
      2008-05-30 11:27 . 2008-05-30 16:04 823 --a------ C:\WINDOWS\tsc.ini
      2008-05-30 11:25 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Temp
      2008-05-30 11:25 . 2008-05-30 11:25 <REP> d-------- C:\WINDOWS\AU_Log
      2008-05-30 11:25 . 2008-05-30 11:25 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
      2008-05-30 11:25 . 2008-05-30 11:25 286,720 --a------ C:\WINDOWS\PATCH.EXE
      2008-05-30 11:25 . 2008-05-30 11:25 69,689 --a------ C:\WINDOWS\UNZIP.DLL
      2008-05-30 11:25 . 2008-05-30 11:25 170 --a------ C:\WINDOWS\GetServer.ini
      2008-05-27 18:19 . 2008-05-27 18:19 45 --a------ C:\WINDOWS\wininit.ini
      2008-05-27 18:03 . 2008-05-27 18:03 95,833 --a------ C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-uninst.exe
      2008-05-24 12:43 . 2008-05-24 12:43 316,112 --a------ C:\WINDOWS\system32\sstts.dll
      2008-05-22 17:34 . 2008-05-23 19:36 <REP> d-------- C:\Documents and Settings\Invit‚
      2008-05-19 19:16 . 2008-05-19 19:16 316,176 --a------ C:\WINDOWS\system32\vtutr.dll
      2008-05-19 15:55 . 2008-05-19 15:55 439,808 --a------ C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll
      2008-05-13 14:44 . 2008-05-13 14:44 316,096 --a------ C:\WINDOWS\system32\vtsqn.dll
      2008-05-12 19:11 . 2008-05-12 21:43 <REP> d-------- C:\Documents and Settings\famille\Application Data\Hamachi

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-06-02 16:22 --------- d-----w C:\Documents and Settings\Will\Application Data\Hamachi
      2008-06-02 15:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
      2008-05-27 16:20 --------- d-----w C:\Program Files\Google
      2008-05-24 12:11 --------- d-----w C:\Program Files\LimeWire
      2008-05-20 12:48 --------- d-----w C:\Program Files\TuxPaint
      2008-05-19 17:22 --------- d-----w C:\Program Files\InternetProgram
      2008-04-22 09:44 --------- d-----w C:\Program Files\Windows Media Components
      2008-04-22 09:42 --------- d-----w C:\Program Files\NRJ
      2008-04-01 11:09 71,326 -c--a-w C:\WINDOWS\BricoPackUninst.cmd
      2008-04-01 11:09 5,415 -c--a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
      .

      ------- Sigcheck -------

      2007-06-26 16:36 669696 19058fbdc72f7bae085369c6d0a7d074 C:\WINDOWS\$hf_mig$\KB937143\SP2QFE\wininet.dll
      2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
      2007-08-20 11:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
      2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
      2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
      2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\$NtUninstallKB937143_0$\wininet.dll
      2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\ie7\wininet.dll
      2007-08-13 19:54 818688 a4a0fc92358f39538a6494c42ef99fe9 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
      2007-08-20 11:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
      2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
      2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\SoftwareDistribution\Download\[u]0/u7ae2e5edb64dd4f4ba47df3cec87b33\sp2gdr\wininet.dll
      2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u7ae2e5edb64dd4f4ba47df3cec87b33\sp2qfe\wininet.dll
      2007-06-27 15:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2GDR\wininet.dll
      2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2QFE\wininet.dll
      2008-03-01 14:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2GDR\wininet.dll
      2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2QFE\wininet.dll
      2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\wininet.dll
      2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\dllcache\wininet.dll

      2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
      2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
      2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
      2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{733716E1-76D2-4003-AC39-845281C0EF85}]
      2008-02-08 19:53 233472 --a------ C:\WINDOWS\system32\nse152.dll

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4D16D20-C64D-4287-943A-CB31987888B1}]
      2008-05-24 12:43 316112 --a------ C:\WINDOWS\system32\sstts.dll

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fd10f60f-45c4-16d3-2799-6440c219b48f}]
      2008-05-19 15:55 439808 --a------ C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
      "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-23 10:44 68856]
      "IziWebFiles"="C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe" [ ]
      "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07 1667584]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "AtiPTA"="atiptaxx.exe" [2001-09-26 22:39 245760 C:\WINDOWS\system32\atiptaxx.exe]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
      "avast!"="d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06 79224]
      "Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
      "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-10-12 10:33 131072]
      "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-10-12 10:33 163840]
      "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-10-12 10:33 135168]
      "RTHDCPL"="RTHDCPL.EXE" [2007-09-27 08:20 16844800 C:\WINDOWS\RTHDCPL.exe]
      "SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 17:37 286720]
      "AntiSpywareExpert"="C:\Program Files\AntiSpywareExpert\ase_fr.exe" [ ]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "wave"= alsnd32.dll
      "MIDI"= alsnd32.dll
      "aux"= alsnd32.dll
      "mixer"= alsnd32.dll
      "wave1"= alsnd32.dll
      "MIDI1"= alsnd32.dll
      "aux1"= alsnd32.dll
      "mixer1"= alsnd32.dll
      "wave2"= alsnd32.dll
      "MIDI2"= alsnd32.dll
      "aux2"= alsnd32.dll
      "mixer2"= alsnd32.dll
      "wave3"= alsnd32.dll
      "MIDI3"= alsnd32.dll
      "aux3"= alsnd32.dll
      "mixer3"= alsnd32.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\eMule\\emule.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
      "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "C:\\Program Files\\MSN Messenger\\livecall.exe"=
      "C:\\Program Files\\Internet Explorer\\iexplore.exe"=
      "C:\\Program Files\\Ankama Games\\DofusArenaBeta2\\DofusArena.exe"=
      "C:\\WINDOWS\\system32\\java.exe"=
      "C:\\Program Files\\Messenger\\msmsgs.exe"=

      R3 snpstd2;Trek 310;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2005-05-23 21:29]
      S3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2001-09-26 21:32]
      S3 SetupNTGLM7X;SetupNTGLM7X;H:\NTGLM7X.sys []
      S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
      S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

      .
      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-06-02 18:21:47
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cach‚s ...

      Balayage cach‚ autostart entries ...

      Balayage des fichiers cach‚s ...

      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0

      **************************************************************************
      .
      --------------------- DLLs a charg‚ sous des processus courants ---------------------

      PROCESS: C:\WINDOWS\explorer.exe
      -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
      -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
      .
      ------------------------ Other Running Processes ------------------------
      .
      D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      D:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      C:\Program Files\Hamachi\hamachi.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      C:\WINDOWS\SoftwareDistribution\Download\aac32b147e85d7e385723db20710e304\update\update.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-06-02 18:24:31 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-06-02 16:24:26

      Pre-Run: 4,942,069,760 octets libres
      Post-Run: 5,137,633,280 octets libres

      262 --- E O F --- 2008-06-02 16:24:07

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:25:31, on 02/06/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.5730.0013)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      d:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\svchost.exe
      d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\vsnpstd2.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      C:\Program Files\Hamachi\hamachi.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\notepad.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
      O4 - HKLM\..\Run: [AntiSpywareExpert] C:\Program Files\AntiSpywareExpert\ase_fr.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
      O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
      O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
      O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
      O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
      O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O15 - Trusted Zone: http://click.getmirar.com (HKLM)
      O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
      O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      0
  7. g!rly Messages postés 18462 Statut Contributeur 407
     
    S<alut nico,

    la suite :

    Copie le texte ci-dessous :

    File::
    C:\WINDOWS\system32\wvutsts.dll
    C:\WINDOWS\system32\xxyvtsPg.dll
    C:\WINDOWS\system32\restart.exe
    C:\WINDOWS\system32\delnext.exe
    C:\WINDOWS\system32\vtutr.dll
    C:\WINDOWS\AU_Temp
    C:\WINDOWS\AU_Log
    C:\WINDOWS\TMUPDATE.DLL
    C:\WINDOWS\PATCH.EXE
    C:\WINDOWS\UNZIP.DLL
    C:\WINDOWS\GetServer.ini
    C:\WINDOWS\wininit.ini
    C:\WINDOWS\system32\nse152.dll
    C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll
    C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-unin­st.exe

    Folder::
    C:\VundoFix Backups
    C:\Program Files\AntiSpywareExpert

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{733716E1-76D2-4003-AC39-845281C0EF85}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4D16D20-C64D-4287-943A-CB31987888B1}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fd10f60f-45c4-16d3-2799-6440c219b48f}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AntiSpywareExpert"=-

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    Ps : a quoi te sert ce programme ?

    C:\Program Files\Maïdo Production\IziWebFiles

    @+
    0
  8. Nico
     
    ComboFix 08-05-26.2 - Will 2008-06-02 21:32:58.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.541 [GMT 2:00]
    Endroit: C:\Documents and Settings\Will\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Will\Bureau\CFScript.txt..txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\WINDOWS\AU_Log
    C:\WINDOWS\AU_Temp
    C:\WINDOWS\GetServer.ini
    C:\WINDOWS\PATCH.EXE
    C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll
    C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-unin­st.exe
    C:\WINDOWS\system32\delnext.exe
    C:\WINDOWS\system32\nse152.dll
    C:\WINDOWS\system32\restart.exe
    C:\WINDOWS\system32\vtutr.dll
    C:\WINDOWS\system32\wvutsts.dll
    C:\WINDOWS\system32\xxyvtsPg.dll
    C:\WINDOWS\TMUPDATE.DLL
    C:\WINDOWS\UNZIP.DLL
    C:\WINDOWS\wininit.ini
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\VundoFix Backups
    C:\VundoFix Backups\bbadd.ini.bad
    C:\VundoFix Backups\bbadd.ini2.bad
    C:\VundoFix Backups\ddabb.dll.bad
    C:\VundoFix Backups\jkklm.dll.bad
    C:\VundoFix Backups\sstqp.dll.bad
    C:\VundoFix Backups\vtsqq.dll.bad
    C:\VundoFix Backups\wvutsts.dll.bad
    C:\WINDOWS\BM6f10976c.xml
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\GetServer.ini
    C:\WINDOWS\PATCH.EXE
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll
    C:\WINDOWS\system32\delnext.exe
    C:\WINDOWS\system32\iehjoykl.dll
    C:\WINDOWS\system32\lkyojhei.ini
    C:\WINDOWS\system32\nse152.dll
    C:\WINDOWS\system32\restart.exe
    C:\WINDOWS\system32\sttss.ini
    C:\WINDOWS\system32\sttss.ini2
    C:\WINDOWS\system32\tiqllasn.dll
    C:\WINDOWS\system32\vtutr.dll
    C:\WINDOWS\system32\wvutsts.dll
    C:\WINDOWS\system32\xxyvtsPg.dll
    C:\WINDOWS\TMUPDATE.DLL
    C:\WINDOWS\UNZIP.DLL
    C:\WINDOWS\wininit.ini

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-02 to 2008-06-02 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-02 18:24 . 2008-06-02 18:24 <REP> d-------- C:\Documents and Settings\Invité
    2008-06-02 18:24 . <REP> C:\Documents and Settings\InvitÚ\Local Settings
    2008-06-02 18:24 . <REP> C:\Documents and Settings\InvitÚ\Local Settings
    2008-05-30 20:22 . 2008-05-30 20:22 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
    2008-05-30 18:27 . 2008-05-30 18:27 <REP> d-------- C:\Program Files\Trend Micro
    2008-05-30 11:33 . 2008-05-30 11:33 <REP> d-------- C:\WINDOWS\report
    2008-05-30 11:33 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\LPT$VPN.295
    2008-05-30 11:27 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Backup
    2008-05-30 11:27 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\VPTNFILE.295
    2008-05-30 11:27 . 2008-05-30 11:27 1,954,681 --a------ C:\WINDOWS\tsc.ptn
    2008-05-30 11:27 . 2008-05-30 11:27 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
    2008-05-30 11:27 . 2008-05-30 11:27 333,576 --a------ C:\WINDOWS\TSC.exe
    2008-05-30 11:27 . 2008-05-30 11:27 91,744 --a------ C:\WINDOWS\BPMNT.dll
    2008-05-30 11:27 . 2008-05-30 11:27 71,749 --a------ C:\WINDOWS\hcextoutput.dll
    2008-05-30 11:27 . 2008-05-30 16:04 823 --a------ C:\WINDOWS\tsc.ini
    2008-05-30 11:25 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Temp
    2008-05-30 11:25 . 2008-05-30 11:25 <REP> d-------- C:\WINDOWS\AU_Log
    2008-05-27 18:03 . 2008-05-27 18:03 95,833 --a------ C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-uninst.exe
    2008-05-24 12:43 . 2008-05-24 12:43 316,112 --a------ C:\WINDOWS\system32\sstts.dll
    2008-05-22 17:34 . 2008-05-23 19:36 <REP> d-------- C:\Documents and Settings\Invit‚
    2008-05-13 14:44 . 2008-05-13 14:44 316,096 --a------ C:\WINDOWS\system32\vtsqn.dll
    2008-05-12 19:11 . 2008-05-12 21:43 <REP> d-------- C:\Documents and Settings\famille\Application Data\Hamachi

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-02 19:29 --------- d-----w C:\Documents and Settings\Will\Application Data\Hamachi
    2008-06-02 15:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
    2008-05-27 16:20 --------- d-----w C:\Program Files\Google
    2008-05-24 12:11 --------- d-----w C:\Program Files\LimeWire
    2008-05-20 12:48 --------- d-----w C:\Program Files\TuxPaint
    2008-05-19 17:22 --------- d-----w C:\Program Files\InternetProgram
    2008-04-22 09:44 --------- d-----w C:\Program Files\Windows Media Components
    2008-04-22 09:42 --------- d-----w C:\Program Files\NRJ
    2008-04-01 11:09 71,326 -c--a-w C:\WINDOWS\BricoPackUninst.cmd
    2008-04-01 11:09 5,415 -c--a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
    .

    ------- Sigcheck -------

    2007-06-26 16:36 669696 19058fbdc72f7bae085369c6d0a7d074 C:\WINDOWS\$hf_mig$\KB937143\SP2QFE\wininet.dll
    2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
    2007-08-20 11:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
    2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
    2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
    2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\$NtUninstallKB937143_0$\wininet.dll
    2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\ie7\wininet.dll
    2007-08-13 19:54 818688 a4a0fc92358f39538a6494c42ef99fe9 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
    2007-08-20 11:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
    2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
    2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2gdr\wininet.dll
    2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2qfe\wininet.dll
    2007-06-27 15:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2GDR\wininet.dll
    2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2QFE\wininet.dll
    2008-03-01 14:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2GDR\wininet.dll
    2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2QFE\wininet.dll
    2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\wininet.dll
    2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\dllcache\wininet.dll

    2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
    2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
    2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
    2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
    .
    ((((((((((((((((((((((((((((( snapshot@2008-06-02_18.24.13.07 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-06-02 16:21:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-02 19:36:45 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-02 19:36:52 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_1b4.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B8402CF4-DEAB-4859-A37D-9C4D70BEE8E2}]
    2008-05-24 12:43 316112 --a------ C:\WINDOWS\system32\sstts.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-23 10:44 68856]
    "IziWebFiles"="C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe" [ ]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07 1667584]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AtiPTA"="atiptaxx.exe" [2001-09-26 22:39 245760 C:\WINDOWS\system32\atiptaxx.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "avast!"="d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06 79224]
    "Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
    "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-10-12 10:33 131072]
    "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-10-12 10:33 163840]
    "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-10-12 10:33 135168]
    "RTHDCPL"="RTHDCPL.EXE" [2007-09-27 08:20 16844800 C:\WINDOWS\RTHDCPL.exe]
    "SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 17:37 286720]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "wave"= alsnd32.dll
    "MIDI"= alsnd32.dll
    "aux"= alsnd32.dll
    "mixer"= alsnd32.dll
    "wave1"= alsnd32.dll
    "MIDI1"= alsnd32.dll
    "aux1"= alsnd32.dll
    "mixer1"= alsnd32.dll
    "wave2"= alsnd32.dll
    "MIDI2"= alsnd32.dll
    "aux2"= alsnd32.dll
    "mixer2"= alsnd32.dll
    "wave3"= alsnd32.dll
    "MIDI3"= alsnd32.dll
    "aux3"= alsnd32.dll
    "mixer3"= alsnd32.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\sstts.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Internet Explorer\\iexplore.exe"=
    "C:\\Program Files\\Ankama Games\\DofusArenaBeta2\\DofusArena.exe"=
    "C:\\WINDOWS\\system32\\java.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=

    R3 snpstd2;Trek 310;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2005-05-23 21:29]
    S3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2001-09-26 21:32]
    S3 SetupNTGLM7X;SetupNTGLM7X;H:\NTGLM7X.sys []
    S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-02 21:37:25
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\explorer.exe
    -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
    -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Hamachi\hamachi.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]2418795bf9ae0332d2724a0721b3b6a\update\update.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-02 21:40:03 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-06-02 19:39:57
    ComboFix2.txt 2008-06-02 16:24:31

    Pre-Run: 5,753,552,896 octets libres
    Post-Run: 5,752,471,552 octets libres

    225 --- E O F --- 2008-06-02 16:24:07

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:41:46, on 02/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    d:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\vsnpstd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Hamachi\hamachi.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O2 - BHO: (no name) - {B8402CF4-DEAB-4859-A37D-9C4D70BEE8E2} - C:\WINDOWS\system32\sstts.dll
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://click.getmirar.com (HKLM)
    O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
    O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    0
  9. g!rly Messages postés 18462 Statut Contributeur 407
     
    Nico`

    mince j´ai oublié un fichier ;(

    Pour quand tu auras le temps :

    * Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    n´y touche pas

    redemarre en mode sans echec:

    Comment redémarrer en mode sans echec?

    Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
    Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
    Ps : si F8 ne marche pas utilise la touche F5.

    Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
    une fois en mode sans echec.

    Fix.reg

    Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    REGEDIT4

    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B8402CF4-DEAB-4859-A37D-9C4D70BEE8E2}]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
    Puis click sur "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    ca doit ressembler a ca une fois enrregistré :

    http://img520.imageshack.us/img520/4251/screenshot005ps2.png

    double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

    C:\WINDOWS\system32\sstts.dll

    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

    Redemarre normalement et post le rapport de ot_move it ici stp ainsi qu´un nouveau rapport hijack this.

    puis tu passeras en suite cet antispyware :

    Fais un scan avec cet antispyware :

    Telecharge malwarebytes + tutoriel :

    -> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    Donc post un nouveau rapport hijack this ainsi que le rapport de malwarebytes

    @ demain`
    0
  10. Nico
     
    Bonjour
    Je vais m'en occuper ce soir.
    Pour ce qui est de C:\Program Files\Maïdo Production\IziWebFiles, mon fils ne sais plus ce que c'est.
    On peut donc le virer si c'est suspect !
    @+
    Nico
    0
  11. Nico
     
    Bonsoir
    J'ai un problème, le PC ne veut plus démarrer en mode sans échec.
    Après avoir sélectionner le mode sans echec, le PC bloque sur un écran noir avec le curseur clignotant en haut à gauche.
    Que puis-je faire ?
    Par contre il démarre en mode normal !
    0
  12. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut nico,

    alors rajoute le a la liste de suppression de ot_move it (C:\Program Files\Maïdo Production\IziWebFiles)

    @+
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    bon pour le moment on va contibuer la desinfection en utilisant combofix

    Copie le texte ci-dessous :

    File::
    C:\WINDOWS\system32\sstts.dll

    Folder::
    C:\Program Files\Maïdo Production

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B8402CF4-DEAB-4859-A37D-9C4D70BEE8E2}]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    Passe egalement malwarebytes

    @+
    0
  14. Nico
     
    ComboFix 08-05-26.2 - Will 2008-06-03 19:06:42.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.628 [GMT 2:00]
    Endroit: C:\Documents and Settings\Will\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Will\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\WINDOWS\system32\sstts.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Program Files\Maïdo Production
    C:\WINDOWS\system32\sstts.dll

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-03 to 2008-06-03 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-02 18:24 . 2008-06-02 18:24 <REP> d-------- C:\Documents and Settings\Invité
    2008-06-02 18:24 . <REP> C:\Documents and Settings\InvitÚ\Local Settings
    2008-06-02 18:24 . <REP> C:\Documents and Settings\InvitÚ\Local Settings
    2008-05-30 20:22 . 2008-05-30 20:22 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
    2008-05-30 18:27 . 2008-05-30 18:27 <REP> d-------- C:\Program Files\Trend Micro
    2008-05-30 11:33 . 2008-05-30 11:33 <REP> d-------- C:\WINDOWS\report
    2008-05-30 11:33 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\LPT$VPN.295
    2008-05-30 11:27 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Backup
    2008-05-30 11:27 . 2008-05-30 11:27 36,152,225 --a------ C:\WINDOWS\VPTNFILE.295
    2008-05-30 11:27 . 2008-05-30 11:27 1,954,681 --a------ C:\WINDOWS\tsc.ptn
    2008-05-30 11:27 . 2008-05-30 11:27 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
    2008-05-30 11:27 . 2008-05-30 11:27 333,576 --a------ C:\WINDOWS\TSC.exe
    2008-05-30 11:27 . 2008-05-30 11:27 91,744 --a------ C:\WINDOWS\BPMNT.dll
    2008-05-30 11:27 . 2008-05-30 11:27 71,749 --a------ C:\WINDOWS\hcextoutput.dll
    2008-05-30 11:27 . 2008-05-30 16:04 823 --a------ C:\WINDOWS\tsc.ini
    2008-05-30 11:25 . 2008-05-30 11:27 <REP> d-------- C:\WINDOWS\AU_Temp
    2008-05-30 11:25 . 2008-05-30 11:25 <REP> d-------- C:\WINDOWS\AU_Log
    2008-05-27 18:03 . 2008-05-27 18:03 95,833 --a------ C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-uninst.exe
    2008-05-22 17:34 . 2008-05-23 19:36 <REP> d-------- C:\Documents and Settings\Invit‚
    2008-05-13 14:44 . 2008-05-13 14:44 316,096 --a------ C:\WINDOWS\system32\vtsqn.dll
    2008-05-12 19:11 . 2008-05-12 21:43 <REP> d-------- C:\Documents and Settings\famille\Application Data\Hamachi

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-03 17:11 --------- d-----w C:\Documents and Settings\Will\Application Data\Hamachi
    2008-06-03 16:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
    2008-05-27 16:20 --------- d-----w C:\Program Files\Google
    2008-05-24 12:11 --------- d-----w C:\Program Files\LimeWire
    2008-05-20 12:48 --------- d-----w C:\Program Files\TuxPaint
    2008-05-19 17:22 --------- d-----w C:\Program Files\InternetProgram
    2008-04-22 09:44 --------- d-----w C:\Program Files\Windows Media Components
    2008-04-22 09:42 --------- d-----w C:\Program Files\NRJ
    2008-04-01 11:09 71,326 -c--a-w C:\WINDOWS\BricoPackUninst.cmd
    2008-04-01 11:09 5,415 -c--a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
    .

    ------- Sigcheck -------

    2007-06-26 16:36 669696 19058fbdc72f7bae085369c6d0a7d074 C:\WINDOWS\$hf_mig$\KB937143\SP2QFE\wininet.dll
    2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
    2007-08-20 11:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
    2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
    2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
    2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\$NtUninstallKB937143_0$\wininet.dll
    2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\ie7\wininet.dll
    2007-08-13 19:54 818688 a4a0fc92358f39538a6494c42ef99fe9 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
    2007-08-20 11:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
    2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
    2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2gdr\wininet.dll
    2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\SoftwareDistribution\Download\[u]0[/u]7ae2e5edb64dd4f4ba47df3cec87b33\sp2qfe\wininet.dll
    2007-06-27 15:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2GDR\wininet.dll
    2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\SoftwareDistribution\Download\7c61b059d2af0f3ba460f8ec129d2f73\SP2QFE\wininet.dll
    2008-03-01 14:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2GDR\wininet.dll
    2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\SoftwareDistribution\Download\8d613c2fcdbe6fc37944c01a65abe170\SP2QFE\wininet.dll
    2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\wininet.dll
    2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada C:\WINDOWS\system32\dllcache\wininet.dll

    2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
    2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
    2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe
    2004-08-05 14:00 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
    .
    ((((((((((((((((((((((((((((( snapshot@2008-06-02_18.24.13.07 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-06-02 16:21:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-03 17:09:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-03 17:10:00 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_1ac.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-23 10:44 68856]
    "IziWebFiles"="C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe" [ ]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07 1667584]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AtiPTA"="atiptaxx.exe" [2001-09-26 22:39 245760 C:\WINDOWS\system32\atiptaxx.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "avast!"="d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06 79224]
    "Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
    "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-10-12 10:33 131072]
    "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-10-12 10:33 163840]
    "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-10-12 10:33 135168]
    "RTHDCPL"="RTHDCPL.EXE" [2007-09-27 08:20 16844800 C:\WINDOWS\RTHDCPL.exe]
    "SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 17:37 286720]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "wave"= alsnd32.dll
    "MIDI"= alsnd32.dll
    "aux"= alsnd32.dll
    "mixer"= alsnd32.dll
    "wave1"= alsnd32.dll
    "MIDI1"= alsnd32.dll
    "aux1"= alsnd32.dll
    "mixer1"= alsnd32.dll
    "wave2"= alsnd32.dll
    "MIDI2"= alsnd32.dll
    "aux2"= alsnd32.dll
    "mixer2"= alsnd32.dll
    "wave3"= alsnd32.dll
    "MIDI3"= alsnd32.dll
    "aux3"= alsnd32.dll
    "mixer3"= alsnd32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Internet Explorer\\iexplore.exe"=
    "C:\\Program Files\\Ankama Games\\DofusArenaBeta2\\DofusArena.exe"=
    "C:\\WINDOWS\\system32\\java.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=

    R3 snpstd2;Trek 310;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2005-05-23 21:29]
    S3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2001-09-26 21:32]
    S3 SetupNTGLM7X;SetupNTGLM7X;H:\NTGLM7X.sys []
    S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-03 19:10:17
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Hamachi\hamachi.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-03 19:12:40 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-06-03 17:12:37
    ComboFix2.txt 2008-06-02 19:40:04
    ComboFix3.txt 2008-06-02 16:24:31

    Pre-Run: 5,659,508,736 octets libres
    Post-Run: 5,658,157,056 octets libres

    175 --- E O F --- 2008-06-02 19:45:51

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:18:45, on 03/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    d:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\vsnpstd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Hamachi\hamachi.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://click.getmirar.com (HKLM)
    O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
    O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok oui passe malwarebytes ;-)

    @+
    0
  16. Nico
     
    Malwarebytes' Anti-Malware 1.12
    Version de la base de données: 794

    Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
    Eléments examinés: 123002
    Temps écoulé: 30 minute(s), 10 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 14
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 14

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.AntiMalwareGuard) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\dc_ads.ads (Trojan.BHO) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\dc_ads.ads.1 (Trojan.BHO) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mysearchassistant (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\AdvRemoteDbg (Adware.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Mirar (AdWare.Mirar) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbrowsingadvisor_is1 (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\Program Files\FBrowsingAdvisor\XPCOMEvents.dll (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    C:\Program Files\Mozilla Firefox\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP95\A0012146.dll (Adware.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{D5616BD3-1139-4626-8972-1F8DA49B6CDF}\RP95\A0012147.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\myss_sb_uninstall.exe (Adware.BHO) -> Quarantined and deleted successfully.
    C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\{f0f53fc9-ac4b-4f1f-032d-609899e5b5ba}.dll-uninst.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\vtsqn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Will\Bureau\AntiSpywareExpert.lnk (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Will\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareExpert.lnk (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
    0
  17. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok nico

    passe ceci pour voir :

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    * Double-clique VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt

    ett post un nouveau rapport hijack this stp

    @+
    0
  18. Nico
     
    VundoFix V7.0.5

    Scan started at 19:42:56 30/05/2008

    Listing files found while scanning....

    C:\windows\system32\bbadd.ini
    C:\windows\system32\bbadd.ini2
    C:\windows\system32\ddabb.dll
    C:\windows\system32\jkklm.dll
    C:\windows\system32\sstqp.dll
    C:\windows\system32\vtsqq.dll
    C:\WINDOWS\system32\wvutsts.dll

    VundoFix V7.0.5

    Scan started at 19:50:49 30/05/2008

    Listing files found while scanning....

    C:\windows\system32\bbadd.ini
    C:\windows\system32\bbadd.ini2
    C:\windows\system32\ddabb.dll
    C:\windows\system32\jkklm.dll
    C:\windows\system32\sstqp.dll
    C:\windows\system32\vtsqq.dll
    C:\WINDOWS\system32\wvutsts.dll

    VundoFix V7.0.5

    Scan started at 19:56:12 30/05/2008

    Listing files found while scanning....

    C:\windows\system32\bbadd.ini
    C:\windows\system32\bbadd.ini2
    C:\windows\system32\ddabb.dll
    C:\windows\system32\jkklm.dll
    C:\windows\system32\sstqp.dll
    C:\windows\system32\vtsqq.dll
    C:\WINDOWS\system32\wvutsts.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\bbadd.ini
    C:\windows\system32\bbadd.ini Has been deleted!

    Attempting to delete C:\windows\system32\bbadd.ini2
    C:\windows\system32\bbadd.ini2 Has been deleted!

    Attempting to delete C:\windows\system32\ddabb.dll
    C:\windows\system32\ddabb.dll Could not be deleted.

    Attempting to delete C:\windows\system32\jkklm.dll
    C:\windows\system32\jkklm.dll Has been deleted!

    Attempting to delete C:\windows\system32\sstqp.dll
    C:\windows\system32\sstqp.dll Has been deleted!

    Attempting to delete C:\windows\system32\vtsqq.dll
    C:\windows\system32\vtsqq.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\wvutsts.dll
    C:\WINDOWS\system32\wvutsts.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Performing Repairs to the registry.
    Done!

    VundoFix V7.0.5

    Scan started at 21:07:39 03/06/2008

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...

    Beginning removal...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:18:57, on 03/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    d:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
    C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\vsnpstd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Hamachi\hamachi.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [IziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://click.getmirar.com (HKLM)
    O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
    O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    0
  19. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    moi qui croyais que combofix avait bien bossé, quenini

    supprime ce fichier : C:\WINDOWS\system32\wvutsts.dll

    si tu n´arrive pas, on le supprimera avec combofix

    puis

    Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau.

    -Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
    -Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
    - Coche la case devant :

    Sites de confiance et sensibles

    - Ne coche aucune autre case
    -Clique sur Restaurer
    -Redémarre ton PC

    puis repasse combofix et post son rapport stp avec egalement unnouveau rapport hijack this...

    @+
    0
  20. Nico
     
    OK , je le ferai demain, mon fils est couché.
    Bonne soirée
    Nico
    0
  21. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    @ demain`

    bonne soirée egalement ;-)
    0
  • 1
  • 2
  • 3
  • 4