Probleme avast et Win32:Vundo@dll [Trj]
Résolu/Fermé
Seilenos
-
27 mai 2008 à 07:20
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 27 mai 2008 à 21:20
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 27 mai 2008 à 21:20
A voir également:
- Probleme avast et Win32:Vundo@dll [Trj]
- Avast antivirus gratuit - Télécharger - Antivirus & Antimalwares
- Avast clear - Télécharger - Antivirus & Antimalwares
- Puadimanager win32 ✓ - Forum Virus
- Iqvw64e.sys avast ✓ - Forum Virus
- Url blacklist avast - Forum Virus
12 réponses
benurrr
Messages postés
9643
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
107
27 mai 2008 à 08:18
27 mai 2008 à 08:18
salut et voila un lien ou tu trouvera 1 anti vundo tu aura les 2 variande et bon courage j'espere que sa va t'aider
benurrr
Messages postés
9643
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
107
27 mai 2008 à 08:18
27 mai 2008 à 08:18
desoler j'ai oublier le lien https://www.broadcom.com/support/security-center
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
27 mai 2008 à 08:42
27 mai 2008 à 08:42
pas mal infecté!
Télécharge sur ton Bureau RHosts (Merci à S!ri)
http://siri.urz.free.fr/Softs/RHosts.exe
Double-clique sur Rhosts.exe et clique sur "restaurer".
Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
Le PC va être redémarré lors du passage de VundoFix, je te conseille donc de fermer et enregistrer tout ce que tu as en cours!
Fais un double clic sur VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque l'analyse de ton PC est terminée, clique sur le bouton Fix Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique sur YES
Après avoir cliqué sur Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer
Clique sur OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
Coche les fichiers à supprimer qui te sont proposés
Clique sur Fix Vundo et laisse Vundofix redémarrer le PC
Renouvelle l'opération si demandé.
Copie/colle le contenu du rapport situé dans C:\VundoFix.txt (si XP est installé sur C:\ dans le cas contraire, il sera à la racine de ta partition système)
Télécharge VirtumundoBeGone sur ton Bureau.
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
* double-clic sur VirtumundoBeGone.exe
* Suis les instructions à l'écran
* Quand le Scan est terminé, enregistre le rapport.
* Copie/Colle le ici
Télécharge MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen
Clique sur Enregistrer le rapport et choisis ton Bureau
ainsi qu'un nouveau rapport Hijack This dans ta prochaine réponse
Télécharge sur ton Bureau RHosts (Merci à S!ri)
http://siri.urz.free.fr/Softs/RHosts.exe
Double-clique sur Rhosts.exe et clique sur "restaurer".
Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
Le PC va être redémarré lors du passage de VundoFix, je te conseille donc de fermer et enregistrer tout ce que tu as en cours!
Fais un double clic sur VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque l'analyse de ton PC est terminée, clique sur le bouton Fix Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique sur YES
Après avoir cliqué sur Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer
Clique sur OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
Coche les fichiers à supprimer qui te sont proposés
Clique sur Fix Vundo et laisse Vundofix redémarrer le PC
Renouvelle l'opération si demandé.
Copie/colle le contenu du rapport situé dans C:\VundoFix.txt (si XP est installé sur C:\ dans le cas contraire, il sera à la racine de ta partition système)
Télécharge VirtumundoBeGone sur ton Bureau.
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
* double-clic sur VirtumundoBeGone.exe
* Suis les instructions à l'écran
* Quand le Scan est terminé, enregistre le rapport.
* Copie/Colle le ici
Télécharge MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen
Clique sur Enregistrer le rapport et choisis ton Bureau
ainsi qu'un nouveau rapport Hijack This dans ta prochaine réponse
Bien, tout d'abord merci pour les réponses rapides, voilà où j'en suis :
J'ai essayé de suivre les instructions dans l'ordre, mais j'ai lancé deux fois Malwarebytes.
- Rhosts effectué (ça ne prend même pas une seconde, normal ?)
- Vundofix ne trouve rien du tout... (essayé 3 fois)
- J'ai ensuite lancé malwarebytes une première fois. Il trouve une vingtaine d'objet, j'ai tout mis en quarantaine, sauf ce qui concernait mon trojan, pour laisser le soin à Virtumundobegone de s'en charger (désolé, oublié de sauvegarder ce rapport...)
- Virtumundobegone le trouve et redémarre mon ordi (rapport en dessous). Je le relance plusieurs fois, il ne trouve plus rien.
- Je relance malwarebytes, qui bizarrement le retrouve. Cette fois, je le supprime.
Voici les rapports :
-----------
VBG
[05/27/2008, 15:57:28] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 15:57:37] - Detected System Information:
[05/27/2008, 15:57:37] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 15:57:37] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 15:57:37] - Windows is in NORMAL mode.
[05/27/2008, 15:57:37] - Searching for Browser Helper Objects:
[05/27/2008, 15:57:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:37] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:37] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - No filename found. Continuing.
[05/27/2008, 15:57:37] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:37] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:37] - BHO 6: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - Checking for HKLM\...\Winlogon\Notify\xxYrRKCu
[05/27/2008, 15:57:37] - Found: HKLM\...\Winlogon\Notify\xxYrRKCu - This is probably Virtumundo.
[05/27/2008, 15:57:37] - Assigning {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} MSEvents Object
[05/27/2008, 15:57:37] - BHO list has been changed! Starting over...
[05/27/2008, 15:57:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:37] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:37] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - No filename found. Continuing.
[05/27/2008, 15:57:37] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:37] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:37] - BHO 6: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} (MSEvents Object)
[05/27/2008, 15:57:38] - ALERT: Found MSEvents Object!
[05/27/2008, 15:57:38] - Finished Searching Browser Helper Objects
[05/27/2008, 15:57:38] - *** Detected MSEvents Object
[05/27/2008, 15:57:38] - Trying to remove MSEvents Object...
[05/27/2008, 15:57:39] - Terminating Process: IEXPLORE.EXE
[05/27/2008, 15:57:39] - Terminating Process: RUNDLL32.EXE
[05/27/2008, 15:57:39] - Disabling Automatic Shell Restart
[05/27/2008, 15:57:39] - Terminating Process: EXPLORER.EXE
[05/27/2008, 15:57:39] - Suspending the NT Session Manager System Service
[05/27/2008, 15:57:40] - Terminating Windows NT Logon/Logoff Manager
[05/27/2008, 15:57:40] - Re-enabling Automatic Shell Restart
[05/27/2008, 15:57:40] - File to disable: C:\WINDOWS\system32\xxYrRKCu.dll
[05/27/2008, 15:57:40] - Renaming C:\WINDOWS\system32\xxYrRKCu.dll -> C:\WINDOWS\system32\xxYrRKCu.dll.vir
[05/27/2008, 15:57:40] - File successfully renamed!
[05/27/2008, 15:57:40] - Removing HKLM\...\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Removing HKCR\CLSID\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Adding Kill Bit for ActiveX for GUID: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Deleting ATLEvents/MSEvents Registry entries
[05/27/2008, 15:57:40] - Removing HKLM\...\Winlogon\Notify\xxYrRKCu
[05/27/2008, 15:57:40] - Searching for Browser Helper Objects:
[05/27/2008, 15:57:40] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:40] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:40] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:40] - No filename found. Continuing.
[05/27/2008, 15:57:40] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:40] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:40] - Finished Searching Browser Helper Objects
[05/27/2008, 15:57:40] - Finishing up...
[05/27/2008, 15:57:40] - A restart is needed.
[05/27/2008, 15:57:53] - Attempting to Restart via STOP error (Blue Screen!)
[05/27/2008, 16:06:45] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:06:47] - Detected System Information:
[05/27/2008, 16:06:47] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:06:47] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:06:47] - Windows is in NORMAL mode.
[05/27/2008, 16:06:47] - Searching for Browser Helper Objects:
[05/27/2008, 16:06:47] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:06:47] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:06:47] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:06:47] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:06:47] - No filename found. Continuing.
[05/27/2008, 16:06:47] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:06:47] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:06:47] - Finished Searching Browser Helper Objects
[05/27/2008, 16:06:47] - Finishing up...
[05/27/2008, 16:06:47] - Nothing found! Exiting...
[05/27/2008, 16:07:01] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:07:02] - Detected System Information:
[05/27/2008, 16:07:02] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:07:02] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:07:02] - Windows is in NORMAL mode.
[05/27/2008, 16:07:02] - Searching for Browser Helper Objects:
[05/27/2008, 16:07:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:07:02] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:07:02] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:07:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:07:02] - No filename found. Continuing.
[05/27/2008, 16:07:02] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:07:02] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:07:02] - Finished Searching Browser Helper Objects
[05/27/2008, 16:07:02] - Finishing up...
[05/27/2008, 16:07:02] - Nothing found! Exiting...
[05/27/2008, 16:07:10] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:07:15] - Detected System Information:
[05/27/2008, 16:07:15] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:07:15] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:07:15] - Windows is in NORMAL mode.
[05/27/2008, 16:07:15] - Searching for Browser Helper Objects:
[05/27/2008, 16:07:15] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:07:15] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:07:15] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:07:15] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:07:15] - No filename found. Continuing.
[05/27/2008, 16:07:15] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:07:15] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:07:15] - Finished Searching Browser Helper Objects
[05/27/2008, 16:07:15] - Finishing up...
[05/27/2008, 16:07:15] - Nothing found! Exiting...
----------------
(Rapport avant suppression)
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 789
Type de recherche: Examen complet (C:\|)
Eléments examinés: 146391
Temps écoulé: 36 minute(s), 45 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Nicolas Prenant\Local Settings\Temporary Internet Files\Content.IE5\8FB7E0D9\rasesnet[1].exe (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Nicolas Prenant\Local Settings\Temporary Internet Files\Content.IE5\UL6D416B\wavvsnet[1].exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP154\A0022437.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxYrRKCu.dll.vir (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqPfEvv.dll (Trojan.Vundo) -> No action taken.
---------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:09, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\lotus\register\remind32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/internet/portail/go/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Enregistrement de Lotus SmartSuite version 9.lnk = C:\lotus\register\remind32.exe
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
J'ai essayé de suivre les instructions dans l'ordre, mais j'ai lancé deux fois Malwarebytes.
- Rhosts effectué (ça ne prend même pas une seconde, normal ?)
- Vundofix ne trouve rien du tout... (essayé 3 fois)
- J'ai ensuite lancé malwarebytes une première fois. Il trouve une vingtaine d'objet, j'ai tout mis en quarantaine, sauf ce qui concernait mon trojan, pour laisser le soin à Virtumundobegone de s'en charger (désolé, oublié de sauvegarder ce rapport...)
- Virtumundobegone le trouve et redémarre mon ordi (rapport en dessous). Je le relance plusieurs fois, il ne trouve plus rien.
- Je relance malwarebytes, qui bizarrement le retrouve. Cette fois, je le supprime.
Voici les rapports :
-----------
VBG
[05/27/2008, 15:57:28] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 15:57:37] - Detected System Information:
[05/27/2008, 15:57:37] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 15:57:37] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 15:57:37] - Windows is in NORMAL mode.
[05/27/2008, 15:57:37] - Searching for Browser Helper Objects:
[05/27/2008, 15:57:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:37] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:37] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - No filename found. Continuing.
[05/27/2008, 15:57:37] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:37] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:37] - BHO 6: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - Checking for HKLM\...\Winlogon\Notify\xxYrRKCu
[05/27/2008, 15:57:37] - Found: HKLM\...\Winlogon\Notify\xxYrRKCu - This is probably Virtumundo.
[05/27/2008, 15:57:37] - Assigning {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} MSEvents Object
[05/27/2008, 15:57:37] - BHO list has been changed! Starting over...
[05/27/2008, 15:57:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:37] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:37] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - No filename found. Continuing.
[05/27/2008, 15:57:37] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:37] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:37] - BHO 6: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} (MSEvents Object)
[05/27/2008, 15:57:38] - ALERT: Found MSEvents Object!
[05/27/2008, 15:57:38] - Finished Searching Browser Helper Objects
[05/27/2008, 15:57:38] - *** Detected MSEvents Object
[05/27/2008, 15:57:38] - Trying to remove MSEvents Object...
[05/27/2008, 15:57:39] - Terminating Process: IEXPLORE.EXE
[05/27/2008, 15:57:39] - Terminating Process: RUNDLL32.EXE
[05/27/2008, 15:57:39] - Disabling Automatic Shell Restart
[05/27/2008, 15:57:39] - Terminating Process: EXPLORER.EXE
[05/27/2008, 15:57:39] - Suspending the NT Session Manager System Service
[05/27/2008, 15:57:40] - Terminating Windows NT Logon/Logoff Manager
[05/27/2008, 15:57:40] - Re-enabling Automatic Shell Restart
[05/27/2008, 15:57:40] - File to disable: C:\WINDOWS\system32\xxYrRKCu.dll
[05/27/2008, 15:57:40] - Renaming C:\WINDOWS\system32\xxYrRKCu.dll -> C:\WINDOWS\system32\xxYrRKCu.dll.vir
[05/27/2008, 15:57:40] - File successfully renamed!
[05/27/2008, 15:57:40] - Removing HKLM\...\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Removing HKCR\CLSID\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Adding Kill Bit for ActiveX for GUID: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Deleting ATLEvents/MSEvents Registry entries
[05/27/2008, 15:57:40] - Removing HKLM\...\Winlogon\Notify\xxYrRKCu
[05/27/2008, 15:57:40] - Searching for Browser Helper Objects:
[05/27/2008, 15:57:40] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:40] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:40] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:40] - No filename found. Continuing.
[05/27/2008, 15:57:40] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:40] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:40] - Finished Searching Browser Helper Objects
[05/27/2008, 15:57:40] - Finishing up...
[05/27/2008, 15:57:40] - A restart is needed.
[05/27/2008, 15:57:53] - Attempting to Restart via STOP error (Blue Screen!)
[05/27/2008, 16:06:45] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:06:47] - Detected System Information:
[05/27/2008, 16:06:47] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:06:47] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:06:47] - Windows is in NORMAL mode.
[05/27/2008, 16:06:47] - Searching for Browser Helper Objects:
[05/27/2008, 16:06:47] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:06:47] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:06:47] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:06:47] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:06:47] - No filename found. Continuing.
[05/27/2008, 16:06:47] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:06:47] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:06:47] - Finished Searching Browser Helper Objects
[05/27/2008, 16:06:47] - Finishing up...
[05/27/2008, 16:06:47] - Nothing found! Exiting...
[05/27/2008, 16:07:01] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:07:02] - Detected System Information:
[05/27/2008, 16:07:02] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:07:02] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:07:02] - Windows is in NORMAL mode.
[05/27/2008, 16:07:02] - Searching for Browser Helper Objects:
[05/27/2008, 16:07:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:07:02] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:07:02] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:07:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:07:02] - No filename found. Continuing.
[05/27/2008, 16:07:02] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:07:02] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:07:02] - Finished Searching Browser Helper Objects
[05/27/2008, 16:07:02] - Finishing up...
[05/27/2008, 16:07:02] - Nothing found! Exiting...
[05/27/2008, 16:07:10] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:07:15] - Detected System Information:
[05/27/2008, 16:07:15] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:07:15] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:07:15] - Windows is in NORMAL mode.
[05/27/2008, 16:07:15] - Searching for Browser Helper Objects:
[05/27/2008, 16:07:15] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:07:15] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:07:15] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:07:15] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:07:15] - No filename found. Continuing.
[05/27/2008, 16:07:15] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:07:15] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:07:15] - Finished Searching Browser Helper Objects
[05/27/2008, 16:07:15] - Finishing up...
[05/27/2008, 16:07:15] - Nothing found! Exiting...
----------------
(Rapport avant suppression)
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 789
Type de recherche: Examen complet (C:\|)
Eléments examinés: 146391
Temps écoulé: 36 minute(s), 45 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Nicolas Prenant\Local Settings\Temporary Internet Files\Content.IE5\8FB7E0D9\rasesnet[1].exe (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Nicolas Prenant\Local Settings\Temporary Internet Files\Content.IE5\UL6D416B\wavvsnet[1].exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP154\A0022437.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxYrRKCu.dll.vir (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqPfEvv.dll (Trojan.Vundo) -> No action taken.
---------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:09, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\lotus\register\remind32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/internet/portail/go/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Enregistrement de Lotus SmartSuite version 9.lnk = C:\lotus\register\remind32.exe
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
27 mai 2008 à 16:59
27 mai 2008 à 16:59
Rhost n'a pas fonctionné...
Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
un tutoriel pour l'utiliser
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Double-clique sur le fichier "SmitFraudFix.exe" (SmitFraudFix) et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste-le
Le rapport se trouve à la racine du disque système C:\rapport.txt
process.exe est détecté par certains antivirus comme étant potentiellement dangereux. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.
Double clique sur SmitfraudFix.exe
Sélectionne 2 et clique sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
A la question: Voulez-vous nettoyer le registre ? Réponds O (oui) et clique sur Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
L'outil déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? Réponds O (oui) et clique Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
Poste ce rapport
ainsi qu'un rapport hijack this
Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
un tutoriel pour l'utiliser
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Double-clique sur le fichier "SmitFraudFix.exe" (SmitFraudFix) et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste-le
Le rapport se trouve à la racine du disque système C:\rapport.txt
process.exe est détecté par certains antivirus comme étant potentiellement dangereux. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.
Double clique sur SmitfraudFix.exe
Sélectionne 2 et clique sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
A la question: Voulez-vous nettoyer le registre ? Réponds O (oui) et clique sur Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
L'outil déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? Réponds O (oui) et clique Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
Poste ce rapport
ainsi qu'un rapport hijack this
Merci.
Voilà les deux rapports, suivis du rapport hijackthis, est-ce que ça semble correct ? D'autres choses à faire, de mon côté ? :
-------
SmitFraudFix v2.323
Rapport fait à 17:04:23,75, 27/05/2008
Executé à partir de C:\Documents and Settings\Nicolas Prenant\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\lotus\register\remind32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\lotus\wordpro\wordpro.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicolas Prenant
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicolas Prenant\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\NICOLA~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
----------------------------
SmitFraudFix v2.323
Rapport fait à 17:05:52,76, 27/05/2008
Executé à partir de C:\Documents and Settings\Nicolas Prenant\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
---------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:20, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\lotus\register\remind32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Enregistrement de Lotus SmartSuite version 9.lnk = C:\lotus\register\remind32.exe
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Voilà les deux rapports, suivis du rapport hijackthis, est-ce que ça semble correct ? D'autres choses à faire, de mon côté ? :
-------
SmitFraudFix v2.323
Rapport fait à 17:04:23,75, 27/05/2008
Executé à partir de C:\Documents and Settings\Nicolas Prenant\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\lotus\register\remind32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\lotus\wordpro\wordpro.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicolas Prenant
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicolas Prenant\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\NICOLA~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
----------------------------
SmitFraudFix v2.323
Rapport fait à 17:05:52,76, 27/05/2008
Executé à partir de C:\Documents and Settings\Nicolas Prenant\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
---------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:20, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\lotus\register\remind32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Enregistrement de Lotus SmartSuite version 9.lnk = C:\lotus\register\remind32.exe
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
27 mai 2008 à 17:19
27 mai 2008 à 17:19
lance hijack this pour un scan et coche ces lignes
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
ferme toutes tes applications y compris internet et clique sur fix checked
Télécharge ComboFix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
https://forum.pcastuces.com/default.asp
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
ferme toutes tes applications y compris internet et clique sur fix checked
Télécharge ComboFix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
https://forum.pcastuces.com/default.asp
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
Voilà, et encore merci pour les réponses particulièrement rapides. Le log combofix (après opération effectuée sur hijackthis) :
ComboFix 08-05-26.2 - Nicolas Prenant 2008-05-27 17:29:18.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.705 [GMT 2:00]
Endroit: C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\winhelp.ini
.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.
2008-05-27 17:04 . 2008-05-27 17:06 3,020 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-27 14:49 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-27 14:38 . 2008-05-27 14:38 <REP> d-------- C:\VundoFix Backups
2008-05-27 07:11 . 2008-05-27 07:11 <REP> d-------- C:\Program Files\Trend Micro
2008-05-26 04:24 . 2008-05-26 04:24 <REP> d-------- C:\Program Files\7-Zip
2008-05-18 18:59 . 2008-05-18 18:59 <REP> d-------- C:\Program Files\EA GAMES
2008-05-14 01:14 . 2008-05-14 01:14 <REP> d-------- C:\Program Files\JoWood
2008-05-14 01:05 . 2008-05-14 01:08 <REP> d-------- C:\Program Files\Kingpin
2008-05-13 17:46 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-13 17:46 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-05-13 17:46 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-05-13 17:46 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-05-13 17:46 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-05-13 17:46 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-05-13 17:41 . 2008-05-21 22:54 <REP> d-------- C:\Program Files\UBISOFT
2008-05-13 00:11 . 2008-05-13 02:21 <REP> d-------- C:\Program Files\Future Pinball
2008-05-11 20:39 . 2008-05-11 20:39 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\DivX
2008-05-11 20:38 . 2008-05-11 20:38 <REP> d-------- C:\Program Files\DivX
2008-05-11 20:38 . 2008-03-21 22:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-05-11 20:38 . 2008-03-21 22:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-05-11 20:33 . 2008-05-12 16:03 38 --a------ C:\WINDOWS\avisplitter.INI
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\The Weather Channel FW
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\AskPBar
2008-05-05 00:07 . 2008-05-13 05:01 <REP> d-------- C:\Program Files\Trillian
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 02:11 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\uTorrent
2008-05-27 01:55 --------- d-----w C:\Program Files\eMule
2008-05-22 02:22 768 --sha-w C:\hjejovma.sys
2008-05-21 23:44 --------- d-----w C:\Program Files\Wesnoth
2008-05-21 20:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-13 23:13 --------- d-----w C:\Program Files\EA SPORTS
2008-05-13 23:12 --------- d-----w C:\Program Files\IndustryGiant2
2008-05-13 17:34 --------- d-----w C:\Program Files\ASC
2008-05-07 20:48 --------- d-----w C:\Program Files\Soulseek
2008-05-07 13:51 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\AdobeUM
2008-04-23 13:54 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-23 13:54 --------- d-----w C:\Program Files\Windows Live
2008-04-23 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-07 07:47 --------- d-----w C:\Program Files\QuickTime
2008-04-07 07:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-05 17:20 --------- d-----w C:\Program Files\SecondLife
2008-04-03 01:55 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\SecondLife
2008-04-02 13:22 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\Apple Computer
2008-04-01 12:39 --------- d-----w C:\Program Files\Lavalys
2008-03-31 21:25 831,488 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-03-31 21:25 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-03-31 21:25 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-03-31 21:25 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-03-31 19:43 --------- d-----w C:\Program Files\NVIDIA Corporation
2008-03-31 14:30 --------- d-----w C:\Program Files\Apple Software Update
2008-03-31 14:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-21 20:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-03-21 20:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-03-21 20:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-03-21 20:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-03-21 20:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-03-21 20:28 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-03-21 20:28 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-03-21 20:28 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-03-21 20:28 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-03-21 20:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-03-21 20:28 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:09 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 04:14 81920]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
"DeathAdder"="C:\Program Files\Razer\DeathAdder\razerhid.exe" [2007-05-07 18:40 159744]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 14:08 180269]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360]
C:\Documents and Settings\Nicolas Prenant\Menu D‚marrer\Programmes\D‚marrage\
Enregistrement de Lotus SmartSuite version 9.lnk - C:\lotus\register\remind32.exe [1998-05-27 12:37:42 67584]
Lotus QuickStart.lnk - C:\lotus\wordpro\ltsstart.exe [1997-05-14 02:23:00 25600]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-16 22:51:48 108544]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Microsoft Office.lnk - C:\Program Files\microsoft office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\APPS\\Inventime\\my.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\jeux et sauvegardes\\PSX\\ePSXe.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\programmes divers\\caratruf\\Truf.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\FileZilla\\filezilla.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\SecondLife\\SLVoice.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9725:TCP"= 9725:TCP:eMule_TCP
"11307:UDP"= 11307:UDP:eMule_UDP
"4662:TCP"= 4662:TCP:4662 TCP
"4711:TCP"= 4711:TCP:4711 TCP
"4672:UDP"= 4672:UDP:4672 UDP
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2007-04-12 07:46]
S3 gAGP440p;gAGP440p;C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys []
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-14 06:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 17:32:31
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
.
Temps d'accomplissement: 2008-05-27 17:35:11
ComboFix-quarantined-files.txt 2008-05-27 15:35:01
Pre-Run: 68,761,071,616 octets libres
Post-Run: 68,920,332,288 octets libres
187 --- E O F --- 2008-05-16 03:18:05
ComboFix 08-05-26.2 - Nicolas Prenant 2008-05-27 17:29:18.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.705 [GMT 2:00]
Endroit: C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\winhelp.ini
.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.
2008-05-27 17:04 . 2008-05-27 17:06 3,020 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-27 14:49 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-27 14:38 . 2008-05-27 14:38 <REP> d-------- C:\VundoFix Backups
2008-05-27 07:11 . 2008-05-27 07:11 <REP> d-------- C:\Program Files\Trend Micro
2008-05-26 04:24 . 2008-05-26 04:24 <REP> d-------- C:\Program Files\7-Zip
2008-05-18 18:59 . 2008-05-18 18:59 <REP> d-------- C:\Program Files\EA GAMES
2008-05-14 01:14 . 2008-05-14 01:14 <REP> d-------- C:\Program Files\JoWood
2008-05-14 01:05 . 2008-05-14 01:08 <REP> d-------- C:\Program Files\Kingpin
2008-05-13 17:46 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-13 17:46 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-05-13 17:46 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-05-13 17:46 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-05-13 17:46 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-05-13 17:46 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-05-13 17:41 . 2008-05-21 22:54 <REP> d-------- C:\Program Files\UBISOFT
2008-05-13 00:11 . 2008-05-13 02:21 <REP> d-------- C:\Program Files\Future Pinball
2008-05-11 20:39 . 2008-05-11 20:39 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\DivX
2008-05-11 20:38 . 2008-05-11 20:38 <REP> d-------- C:\Program Files\DivX
2008-05-11 20:38 . 2008-03-21 22:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-05-11 20:38 . 2008-03-21 22:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-05-11 20:33 . 2008-05-12 16:03 38 --a------ C:\WINDOWS\avisplitter.INI
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\The Weather Channel FW
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\AskPBar
2008-05-05 00:07 . 2008-05-13 05:01 <REP> d-------- C:\Program Files\Trillian
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 02:11 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\uTorrent
2008-05-27 01:55 --------- d-----w C:\Program Files\eMule
2008-05-22 02:22 768 --sha-w C:\hjejovma.sys
2008-05-21 23:44 --------- d-----w C:\Program Files\Wesnoth
2008-05-21 20:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-13 23:13 --------- d-----w C:\Program Files\EA SPORTS
2008-05-13 23:12 --------- d-----w C:\Program Files\IndustryGiant2
2008-05-13 17:34 --------- d-----w C:\Program Files\ASC
2008-05-07 20:48 --------- d-----w C:\Program Files\Soulseek
2008-05-07 13:51 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\AdobeUM
2008-04-23 13:54 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-23 13:54 --------- d-----w C:\Program Files\Windows Live
2008-04-23 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-07 07:47 --------- d-----w C:\Program Files\QuickTime
2008-04-07 07:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-05 17:20 --------- d-----w C:\Program Files\SecondLife
2008-04-03 01:55 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\SecondLife
2008-04-02 13:22 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\Apple Computer
2008-04-01 12:39 --------- d-----w C:\Program Files\Lavalys
2008-03-31 21:25 831,488 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-03-31 21:25 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-03-31 21:25 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-03-31 21:25 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-03-31 19:43 --------- d-----w C:\Program Files\NVIDIA Corporation
2008-03-31 14:30 --------- d-----w C:\Program Files\Apple Software Update
2008-03-31 14:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-21 20:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-03-21 20:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-03-21 20:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-03-21 20:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-03-21 20:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-03-21 20:28 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-03-21 20:28 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-03-21 20:28 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-03-21 20:28 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-03-21 20:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-03-21 20:28 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:09 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 04:14 81920]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
"DeathAdder"="C:\Program Files\Razer\DeathAdder\razerhid.exe" [2007-05-07 18:40 159744]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 14:08 180269]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360]
C:\Documents and Settings\Nicolas Prenant\Menu D‚marrer\Programmes\D‚marrage\
Enregistrement de Lotus SmartSuite version 9.lnk - C:\lotus\register\remind32.exe [1998-05-27 12:37:42 67584]
Lotus QuickStart.lnk - C:\lotus\wordpro\ltsstart.exe [1997-05-14 02:23:00 25600]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-16 22:51:48 108544]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Microsoft Office.lnk - C:\Program Files\microsoft office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\APPS\\Inventime\\my.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\jeux et sauvegardes\\PSX\\ePSXe.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\programmes divers\\caratruf\\Truf.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\FileZilla\\filezilla.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\SecondLife\\SLVoice.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9725:TCP"= 9725:TCP:eMule_TCP
"11307:UDP"= 11307:UDP:eMule_UDP
"4662:TCP"= 4662:TCP:4662 TCP
"4711:TCP"= 4711:TCP:4711 TCP
"4672:UDP"= 4672:UDP:4672 UDP
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2007-04-12 07:46]
S3 gAGP440p;gAGP440p;C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys []
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-14 06:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 17:32:31
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
.
Temps d'accomplissement: 2008-05-27 17:35:11
ComboFix-quarantined-files.txt 2008-05-27 15:35:01
Pre-Run: 68,761,071,616 octets libres
Post-Run: 68,920,332,288 octets libres
187 --- E O F --- 2008-05-16 03:18:05
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
27 mai 2008 à 18:13
27 mai 2008 à 18:13
Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):
Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):
Driver:: gAGP440p File:: C:\WINDOWS\system32\tmp.reg C:\hjejovma.sys C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys Folder:: C:\VundoFix Backups C:\Program Files\AskPBar
Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
Fait, et voilà le résultat :
ComboFix 08-05-26.2 - Nicolas Prenant 2008-05-27 19:14:59.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.617 [GMT 2:00]
Endroit: C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Nicolas Prenant\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
FILE ::
C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys
C:\hjejovma.sys
C:\WINDOWS\system32\tmp.reg
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\hjejovma.sys
C:\Program Files\AskPBar
C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096843
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096B70
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096EDB.bin
C:\Program Files\AskPBar\bar\Cache\[u]0/u0097294.bin
C:\Program Files\AskPBar\bar\Cache\[u]0/u00975D0.bin
C:\Program Files\AskPBar\bar\Cache\files.ini
C:\Program Files\AskPBar\bar\History\search2
C:\Program Files\AskPBar\bar\Settings\prevcfg2.htm
C:\VundoFix Backups
C:\WINDOWS\system32\tmp.reg
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_GAGP440P
-------\Service_gAGP440p
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-27 14:49 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-27 07:11 . 2008-05-27 07:11 <REP> d-------- C:\Program Files\Trend Micro
2008-05-26 04:24 . 2008-05-26 04:24 <REP> d-------- C:\Program Files\7-Zip
2008-05-18 18:59 . 2008-05-18 18:59 <REP> d-------- C:\Program Files\EA GAMES
2008-05-14 01:14 . 2008-05-14 01:14 <REP> d-------- C:\Program Files\JoWood
2008-05-14 01:05 . 2008-05-14 01:08 <REP> d-------- C:\Program Files\Kingpin
2008-05-13 17:46 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-13 17:46 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-05-13 17:46 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-05-13 17:46 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-05-13 17:46 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-05-13 17:46 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-05-13 17:41 . 2008-05-21 22:54 <REP> d-------- C:\Program Files\UBISOFT
2008-05-13 00:11 . 2008-05-13 02:21 <REP> d-------- C:\Program Files\Future Pinball
2008-05-11 20:39 . 2008-05-11 20:39 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\DivX
2008-05-11 20:38 . 2008-05-11 20:38 <REP> d-------- C:\Program Files\DivX
2008-05-11 20:38 . 2008-03-21 22:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-05-11 20:38 . 2008-03-21 22:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-05-11 20:33 . 2008-05-12 16:03 38 --a------ C:\WINDOWS\avisplitter.INI
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\The Weather Channel FW
2008-05-05 00:07 . 2008-05-13 05:01 <REP> d-------- C:\Program Files\Trillian
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 02:11 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\uTorrent
2008-05-27 01:55 --------- d-----w C:\Program Files\eMule
2008-05-21 23:44 --------- d-----w C:\Program Files\Wesnoth
2008-05-21 20:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-13 23:13 --------- d-----w C:\Program Files\EA SPORTS
2008-05-13 23:12 --------- d-----w C:\Program Files\IndustryGiant2
2008-05-13 17:34 --------- d-----w C:\Program Files\ASC
2008-05-07 20:48 --------- d-----w C:\Program Files\Soulseek
2008-05-07 13:51 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\AdobeUM
2008-04-23 13:54 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-23 13:54 --------- d-----w C:\Program Files\Windows Live
2008-04-23 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-07 07:47 --------- d-----w C:\Program Files\QuickTime
2008-04-07 07:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-05 17:20 --------- d-----w C:\Program Files\SecondLife
2008-04-03 01:55 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\SecondLife
2008-04-02 13:22 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\Apple Computer
2008-04-01 12:39 --------- d-----w C:\Program Files\Lavalys
2008-03-31 19:43 --------- d-----w C:\Program Files\NVIDIA Corporation
2008-03-31 14:30 --------- d-----w C:\Program Files\Apple Software Update
2008-03-31 14:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
.
((((((((((((((((((((((((((((( snapshot@2008-05-27_17.34.54,09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-27 15:20:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-27 17:18:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-05-27 17:18:49 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_538.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 04:14 81920]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
"WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
"DeathAdder"="C:\Program Files\Razer\DeathAdder\razerhid.exe" [2007-05-07 18:40 159744]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 14:08 180269]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\APPS\\Inventime\\my.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\jeux et sauvegardes\\PSX\\ePSXe.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\programmes divers\\caratruf\\Truf.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\FileZilla\\filezilla.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\SecondLife\\SLVoice.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9725:TCP"= 9725:TCP:eMule_TCP
"11307:UDP"= 11307:UDP:eMule_UDP
"4662:TCP"= 4662:TCP:4662 TCP
"4711:TCP"= 4711:TCP:4711 TCP
"4672:UDP"= 4672:UDP:4672 UDP
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2007-04-12 07:46]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-14 06:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 19:20:07
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\APPS\ABOARD\AOSD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\lotus\register\remind32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-27 19:29:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 17:28:14
ComboFix2.txt 2008-05-27 15:35:12
Pre-Run: 69,054,599,168 octets libres
Post-Run: 68,984,680,448 octets libres
190 --- E O F --- 2008-05-16 03:18:05
ComboFix 08-05-26.2 - Nicolas Prenant 2008-05-27 19:14:59.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.617 [GMT 2:00]
Endroit: C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Nicolas Prenant\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
FILE ::
C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys
C:\hjejovma.sys
C:\WINDOWS\system32\tmp.reg
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\hjejovma.sys
C:\Program Files\AskPBar
C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096843
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096B70
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096EDB.bin
C:\Program Files\AskPBar\bar\Cache\[u]0/u0097294.bin
C:\Program Files\AskPBar\bar\Cache\[u]0/u00975D0.bin
C:\Program Files\AskPBar\bar\Cache\files.ini
C:\Program Files\AskPBar\bar\History\search2
C:\Program Files\AskPBar\bar\Settings\prevcfg2.htm
C:\VundoFix Backups
C:\WINDOWS\system32\tmp.reg
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_GAGP440P
-------\Service_gAGP440p
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-27 14:49 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-27 07:11 . 2008-05-27 07:11 <REP> d-------- C:\Program Files\Trend Micro
2008-05-26 04:24 . 2008-05-26 04:24 <REP> d-------- C:\Program Files\7-Zip
2008-05-18 18:59 . 2008-05-18 18:59 <REP> d-------- C:\Program Files\EA GAMES
2008-05-14 01:14 . 2008-05-14 01:14 <REP> d-------- C:\Program Files\JoWood
2008-05-14 01:05 . 2008-05-14 01:08 <REP> d-------- C:\Program Files\Kingpin
2008-05-13 17:46 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-13 17:46 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-05-13 17:46 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-05-13 17:46 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-05-13 17:46 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-05-13 17:46 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-05-13 17:41 . 2008-05-21 22:54 <REP> d-------- C:\Program Files\UBISOFT
2008-05-13 00:11 . 2008-05-13 02:21 <REP> d-------- C:\Program Files\Future Pinball
2008-05-11 20:39 . 2008-05-11 20:39 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\DivX
2008-05-11 20:38 . 2008-05-11 20:38 <REP> d-------- C:\Program Files\DivX
2008-05-11 20:38 . 2008-03-21 22:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-05-11 20:38 . 2008-03-21 22:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-05-11 20:33 . 2008-05-12 16:03 38 --a------ C:\WINDOWS\avisplitter.INI
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\The Weather Channel FW
2008-05-05 00:07 . 2008-05-13 05:01 <REP> d-------- C:\Program Files\Trillian
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 02:11 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\uTorrent
2008-05-27 01:55 --------- d-----w C:\Program Files\eMule
2008-05-21 23:44 --------- d-----w C:\Program Files\Wesnoth
2008-05-21 20:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-13 23:13 --------- d-----w C:\Program Files\EA SPORTS
2008-05-13 23:12 --------- d-----w C:\Program Files\IndustryGiant2
2008-05-13 17:34 --------- d-----w C:\Program Files\ASC
2008-05-07 20:48 --------- d-----w C:\Program Files\Soulseek
2008-05-07 13:51 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\AdobeUM
2008-04-23 13:54 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-23 13:54 --------- d-----w C:\Program Files\Windows Live
2008-04-23 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-07 07:47 --------- d-----w C:\Program Files\QuickTime
2008-04-07 07:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-05 17:20 --------- d-----w C:\Program Files\SecondLife
2008-04-03 01:55 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\SecondLife
2008-04-02 13:22 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\Apple Computer
2008-04-01 12:39 --------- d-----w C:\Program Files\Lavalys
2008-03-31 19:43 --------- d-----w C:\Program Files\NVIDIA Corporation
2008-03-31 14:30 --------- d-----w C:\Program Files\Apple Software Update
2008-03-31 14:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
.
((((((((((((((((((((((((((((( snapshot@2008-05-27_17.34.54,09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-27 15:20:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-27 17:18:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-05-27 17:18:49 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_538.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 04:14 81920]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
"WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
"DeathAdder"="C:\Program Files\Razer\DeathAdder\razerhid.exe" [2007-05-07 18:40 159744]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 14:08 180269]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\APPS\\Inventime\\my.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\jeux et sauvegardes\\PSX\\ePSXe.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\programmes divers\\caratruf\\Truf.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\FileZilla\\filezilla.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\SecondLife\\SLVoice.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9725:TCP"= 9725:TCP:eMule_TCP
"11307:UDP"= 11307:UDP:eMule_UDP
"4662:TCP"= 4662:TCP:4662 TCP
"4711:TCP"= 4711:TCP:4711 TCP
"4672:UDP"= 4672:UDP:4672 UDP
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2007-04-12 07:46]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-14 06:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 19:20:07
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\APPS\ABOARD\AOSD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\lotus\register\remind32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-27 19:29:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 17:28:14
ComboFix2.txt 2008-05-27 15:35:12
Pre-Run: 69,054,599,168 octets libres
Post-Run: 68,984,680,448 octets libres
190 --- E O F --- 2008-05-16 03:18:05
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
27 mai 2008 à 19:41
27 mai 2008 à 19:41
comment se comporte le PC?
Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le Scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
Faire un Scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/
En bas, à gauche de la fenêtre, clique sur Bit Defender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur Scanner
Les signatures se chargent, etc.
Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le Scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
Faire un Scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/
En bas, à gauche de la fenêtre, clique sur Bit Defender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur Scanner
Les signatures se chargent, etc.
Tout semble bon... Avast ne me signale plus de problème, et je ne trouve plus rien après plusieurs scans des autres programmes.
Le rapport toolscleaner :
-->- Recherche:
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas Prenant\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Nicolas Prenant\Mes documents\Downloads Firefox\HJTInstall.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Mes documents\programmes divers\SmitFraudFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
Le rapport bitdefender :
http://nprenant.free.fr/test/bitd.html
Je pense que tout va bien, maintenant, merci beaucoup pour l'aide.
Le rapport toolscleaner :
-->- Recherche:
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas Prenant\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Nicolas Prenant\Mes documents\Downloads Firefox\HJTInstall.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Mes documents\programmes divers\SmitFraudFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
Le rapport bitdefender :
http://nprenant.free.fr/test/bitd.html
Je pense que tout va bien, maintenant, merci beaucoup pour l'aide.
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
27 mai 2008 à 21:20
27 mai 2008 à 21:20
c'est tout bon!!
si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
conserve néanmoins Ccleaner ou
Télécharge : - Ccleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC
installe ce logiciel très utile et Scanne ton PC avec une fois par semaine au moins...
MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen
Clique sur Enregistrer le rapport et choisis ton Bureau
tu peux le coupler avec celui-ci
Spybot Search and Destroy
https://www.safer-networking.org/?page=download
défragmente
pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet
https://forum.pcastuces.com/default.asp
désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
et bon surf
si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
conserve néanmoins Ccleaner ou
Télécharge : - Ccleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC
installe ce logiciel très utile et Scanne ton PC avec une fois par semaine au moins...
MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen
Clique sur Enregistrer le rapport et choisis ton Bureau
tu peux le coupler avec celui-ci
Spybot Search and Destroy
https://www.safer-networking.org/?page=download
défragmente
pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet
https://forum.pcastuces.com/default.asp
désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
et bon surf